[lacnog] CONSULTA PHISHING

Reyna Avila, Alejandro Gustavo areyna en antel.com.uy
Mie Dic 20 11:47:31 BRST 2017


En lo personal me sumo a los comentarios vertidos anteriormente respecto al bloqueo. Actualmente la mayoría d elos casos de phishing usan o abusan d ela infraestructura residente en la nube y con diversas medidas de protección y enmascarado de los dominios. Bloquear IPs o dominios es impráctico porque se corre el riesgo casi seguro de bloquear sitios grandes y conocidos de infraestructuras en la nube, además de que los dominios suelen rotar y cambiar con asombrosa velocidad lo que muchas veces hace la remediación un parche.

Sí creo que hay que trabajar para que los grandes sitios de servicios en la nube sean más proactivos o al menos atiendan los reclamos de otras empresas que se ven afectadas. No digo siquiera al usario final, pero sí si tu reclamo viene como ISP afectado.

Nosotros como ISP en el CSIRT de Antel hemos tenido retrasos en las respuestas de muchos de estos sitios a reclamos sobre hosteo de sitios e incluso respuestas donde en teoría sus departamentos legales les dicen que no son incidentes en los que deban hacer mucho pues no les cabe responsabilidad. Quizás sea un tema de las puertas que tocamos, es cierto, o incluso un tema de escala, ya que esos sitios son una aguja en un pajar.

Eso hace que el combate del origen de los phishing sea complicado, ya que el mero bloqueo como ISP, no solo atenta contra la neutralidad (en mi opinión), sino que no escala, además de ser disruptivo con servicios legítimos de esos sitios, que son la mayoría absoluta. Los bloqueos de cuentas cuando el phishing se trasmite con correos nos ha resultado un poco más sencillo, pero las páginas web donde se soportan son un verdadero dolor de cabeza.

El mejor combate sigue siendo concientización del usario final y un seguimiento continuo.

Disculpen los extenso, y saludos a todos.


-----Mensaje original-----
De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Carlos M. Martinez
Enviado el: martes, 19 de diciembre de 2017 14:10
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] CONSULTA PHISHING

Hola a todos,

Además de que coincido con el comentario de Ernesto sobre el tema de bloqueos en general, también me gustaría agregar que LACNIC no tiene potestad alguna ni posibilidad operativa alguna de realizar bloqueos.

Lo que nosotros podemos hacer es obrar de enlace entre las partes involucradas y proveerles con la mayor cantidad de información.

Quienes tienen la posibilidad operativa de realizar bloqueos o filtrados son los registradores de los dominios o los proveedores de servicio de Internet.

s2

/Carlos

On 19 Dec 2017, at 14:06, Ernesto Pérez Estévez wrote:

> On 12/19/2017 11:52 AM, Juan Edwards wrote:
>> Muchas gracias Dario.
>>
>>
>> Como acción de mitigatorio del phishing es posible bloquear dicho
>> phishing , ya sea el dominio o por IP en cierta pais a donde va
>> afectando el ataque phishing. es posible hacer dicha acción ?
>>
>
> hola Juan
> técnicamente sí podrías pero deberías valorar muy fuertemente el hecho
> de que este dominio pueda ser utilizado por tus usuarios no solamente
> producto del phishing sino que le usen normal y usualmente, con un fin
> totalmente válido. Al bloquearle podrías afrontar quejas de parte de
> ellos.
>
> saludos
> epe
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

________________________________

El presente correo y cualquier posible archivo adjunto está dirigido únicamente al destinatario del mensaje y contiene información que puede ser confidencial. Si Ud. no es el destinatario correcto por favor notifique al remitente respondiendo anexando este mensaje y elimine inmediatamente el e-mail y los posibles archivos adjuntos al mismo de su sistema. Está prohibida cualquier utilización, difusión o copia de este e-mail por cualquier persona o entidad que no sean las específicas destinatarias del mensaje. ANTEL no acepta ninguna responsabilidad con respecto a cualquier comunicación que haya sido emitida incumpliendo nuestra Política de Seguridad de la Información


This e-mail and any attachment is confidential and is intended solely for the addressee(s). If you are not intended recipient please inform the sender immediately, answering this e-mail and delete it as well as the attached files. Any use, circulation or copy of this e-mail by any person or entity that is not the specific addressee(s) is prohibited. ANTEL is not responsible for any communication emitted without respecting our Information Security Policy.


Más información sobre la lista de distribución LACNOG