Prácticas recomendadas para usar la API de Submission

En este documento, se describe la implementación recomendada para la API de Submission.

Mejora la detección con ThreatInfo y ThreatDiscovery

Recomendamos usar los campos ThreatInfo y ThreatDiscovery para proporcionar información adicional sobre los envíos, lo que podría mejorar la detección y aumentar las probabilidades de que se bloquee un envío.

• Usa los campos ThreatInfo para proporcionar más información sobre el motivo del envío del URI.
• Usa los campos ThreatDiscovery para proporcionar más información sobre cómo se encontró la amenaza.

Ejemplo

Un atacante lanza un sitio de suplantación de identidad (phishing) de credenciales que se orienta a clientes de un banco de Italia. Los clientes objetivo comienzan a recibir mensajes de texto engañosos de ese atacante con un vínculo a una página de acceso falsa. El banco recibe informes de clientes que recibieron los mensajes de texto, inicia una investigación y confirma que el sitio está suplantando su identidad (phishing) en busca de credenciales. Para proteger a sus clientes, el banco envía el sitio de suplantación de identidad (phishing) a Web Risk con el siguiente cuerpo de solicitud:

{
  "submission": {
    "uri": "http://example.com/login.html"
  },
  "threatDiscovery": {
    "platform": "ANDROID",
    "regionCodes": "IT"
  },
  "threatInfo": {
    "abuseType": "SOCIAL_ENGINEERING",
    "threatJustification": {
      "labels": ["USER_REPORT", "MANUAL_VERIFICATION"],
      "comments": "Site is impersonating a bank and phishing for login credentials"
    },
    "threatConfidence": {
      "level": "HIGH"
    }
  }
}

Cuando el banco verifica el estado del envío con el nombre de la operación que muestra la API de envío, el estado es SUCCEEDED, lo que indica que la URL enviada se agregó a la lista de entidades bloqueadas de Navegación segura.

¿Qué sigue?

• Consulta la referencia de la API para ThreatInfo y ThreatDiscovery (RPC, Rest).