Sul suo blog dedicato alla sicurezza, Ross Anderson, famoso professore di Security Engineering all’Università di Cambridge (qui la sua pagina in questo sito) ha pubblicato il 16 maggio 2007 un interessante post dal titolo "How quickly are phishing websites taken down?" in cui si sintetizzano i contenuti della ricerca condotta insieme a Tyler Moore "An Empirical Analysis of the Current State of Phishing Attack and Defence" (pdf, 286 K) che sara presentato al prossimo "Workshop on the Economics of Information Security" (WEIS 2007).
Sono stati monitorati migliaia di siti di phishing per un periodo di circa due mesi; di media ogni sito di phishing rimane on line per circa 20 ore; un sottoinsieme significativo di tali siti fraudolenti può essere ricollegato a vere e proprie bande di criminali informatici, definiti "rock-phish" gang, che attaccano più banche contemporaneamente; in questo caso la media di vita dei siti è di 55 ore. Infine usando una architettura innovativa di attacco, basata su centinaia di macchine compromesse, architettura denominata “fast-flux”, la vita media del sito di phishing sale a 202 ore.
 

La difesa

Gli autori consigliano di migliorare le difese riducendo l’asimmetria informativa tra le parti; uno dei vantaggi dei phisher è infatti di agire nell’ombra nascondendosi tra migliaia di altri criminali informatici (hacker, virus writers, autori di frodi alla "nigeriana", spammer, eccetera) costringendo la controparte a disperdere le forze inseguendo tutte le minacce. I difensori dei siti web e gli investigatori dovrebbero invece concentrare i loro sforzi proprio sulle "rock-phish" gang che da sole sono causa dei maggiori danni. Dunque la difesa deve cominciare da una attività di intelligence che consiste nel profilare gli avversari alla ricerca di pattern comportamentali (così come fanno gli investigatori nel mondo reale quando indagano su un crimine old economy).
 

Link (in questo sito)

• La pagina di Ross Anderson
• La pagina di  Bruce Schneier