Vizuální rozpoznávání phishingu: jak zastavit kybernetické zločince pomocí AI a počítačového vidění

Phishing je známá metoda sociálního inženýrství, která má mnoho různých forem: telefonní hovory,

smeshing (phishing pomocí SMS - "High-tech"), phishinge-maily a weby. Kybernetičtí zločinci podvodně lákali důvěrná data, jako jsou údaje o kreditních kartách, přihlašovací údaje a hesla.

Phishingové odkazy vedoucí k škodlivým webůmčasto obsaženy v dopisech, které jsou na první pohled zasílány ze spolehlivých zdrojů. Jsou posílány ve zprávách sociálních sítí a aplikací jako Facebook a WhatsApp. Mohou se dokonce objevovat ve vyhledávacích řetězcích, které zavádějí uživatele. A to může být docela těžké určit, zda je web phishing. Mnohé z těchto zdrojů jsou téměř identické s replikovanými stránkami. Phishingové e-maily jsou obvykle méně efektivní, protože moderní technologie je rozpoznávají jako spam. Některé z nich však stále skončí ve složce Doručená pošta.

Důvod popularity phishingu je jasný -počítačoví zločinci mohou napadnout velký počet lidí najednou. Pro boj proti masivním útokům uživatelů používají specialisté Avast technologii umělé inteligence (AI).

Detekce phishingu s AI

Klamat lidi, útočníci vytvořit webové stránkykteré jsou velmi podobné skutečným a spolehlivým zdrojům. Vizuální podobnost je často dost na to, aby zaváděla důvěryhodné uživatele - snadno zanechávají svá pověření a další důvěrná data.

Teoreticky mohou kriminálníci používatPhishingové stránky jsou stejné jako na původních zdrojích. Nicméně, majitelé původních stránek jsou schopni vidět na svých serverech odkazy na obrázky, které podvodníci. Vytvoření přesné kopie stránek navíc vyžaduje čas a úsilí. V tomto případě by počítačoví zločinci museli reprodukovat design na phishingovém zdroji a věnovat pozornost každému pixelu. Výsledkem je, že k tomuto úkolu přistupují kreativně a vytvářejí stránky, které jsou velmi podobné těm původním, ale zároveň mají menší rozdíly, které jsou průměrnému uživateli sotva patrné.

Avast má síť stovek.miliony senzorů, které poskytují data AI. Avast prohledává všechny stránky, které uživatelé navštěvují, a pečlivě studuje popularitu příslušných domén. Při vyhodnocování, zda se má stránka načíst, se berou v úvahu další faktory, například certifikát webové stránky, věk domény a přítomnost podezřelých tokenů v adrese URL.

Životnost phishingového webu je obvykle extrémně vysokámalé a vyhledávače nemají čas jej indexovat. To se odráží v hodnocení domény. Jeho popularita a historie mohou být také prvními známkami toho, zda je stránka bezpečná nebo nebezpečná. Po zkontrolování těchto informací a jejich porovnání s vizuálními charakteristikami systém dospěje k závěru, zda lze stránky důvěřovat.

Phishingová verze přihlašovací stránky Orange.frPůvodní verze přihlašovací stránky Orange.fr

Pro srovnání, tyto stránky vypadajízcela odlišným způsobem: škodlivá verze používá zastaralý design stránek Orangeu, zatímco původní stránka má modernější a bezpečnější, protože heslo je požadováno od uživatele ve druhém kroku a ne na stejné stránce ve stejnou dobu jako přihlášení.

Je zřejmé, že doména phishingu má velminízká úroveň popularity. Současně je hodnocení současné stránky Orange.fr 7/10. Ačkoliv je design phishingového zdroje velmi podobný předchozí verzi webu Orange.fr, není umístěn na Orange.fr ani na jiné oblíbené doméně. Tyto informace, které svědčí o potenciálním nebezpečí falešné webové stránky, začíná protokol pro důkladnější studium.

Analýza domény orangefrance.weebly.com - phishingová verze webu. Tato data mohou být použita k posouzení jeho popularity.

Další etapou je ověření návrhu. Na první pohled je srovnání falešných webových stránek se skutečným obrazem po jednotlivých pixelech dostačující. To není. Jiný přístup je používán s použitím hash obrazu. V této metodě je původní obraz komprimován na menší velikost při zachování potřebných detailů. Výsledkem je bitový vektor s pevnou velikostí s jednoduchou metrikou. Díky tomuto přístupu AI porovnává stejný typ obrazu s danou statistickou odchylkou. Tato technologie se však ukázala jako méně spolehlivá a tolerantní k chybám, než se očekávalo.

Ukázalo se, že je mnohem účinnější metodavyužití počítačového vidění. Díky své pomoci AI získává informace o obrazech prostřednictvím podrobného přehledu o konkrétních pixelech a jejich prostředí. K tomu použijte deskriptory - numerické popisy relativních změn ve fragmentu kolem pixelu. Tento proces umožňuje přesněji posoudit variabilitu odstínů šedé, včetně detekce přítomnosti gradientu a určování jeho intenzity.

Pixely vybrané algoritmem, tzvPo obdržení můžete zkontrolovat aktualizované deskriptory databáze. Pouhá skutečnost, že v obraze jsou pixely podobné obrazovým bodům jiného, ​​však nestačí k závěru, že obraz odpovídá obrazu v databázi. Z tohoto důvodu se metoda "prostorového ověřování" používá k porovnání prostorových vztahů mezi jednotlivými pixely obrazu.

a) Příklad platné prostorové konfigurace pixelůb) Příklad, který byl odmítnut jako neplatný

Zdrojem je prostorové ověřeníplatná data, ale přidávají se další kroky, aby se vyloučily případné falešně pozitivní výsledky, včetně kontroly hašování obrazu.

Analýza bodů zájmu v obrazeText je plný problémů. V takových obrazech je ve výchozím nastavení velký počet přechodů, protože písmena a textové prvky vytvářejí mnoho hran. Dokonce i malá část písma obsahuje mnoho zajímavých bodů, což často vede k falešně pozitivním výsledkům. Prostorové ověření je zde bezmocné.

Chcete-li tento problém vyřešit, vyvinutýsoftware schopný analyzovat fragmenty obrazu pro text. V těchto případech AI nepoužije body z těchto stránek v procesu porovnávání obrázků.

Celý postup ověřování se provádí zcela vautomatický režim. V 99% případů pomáhá rozpoznat phishingovou stránku za méně než deset sekund a přístup připojených uživatelů Avastu k ní bude blokován.

Byly zjištěny stránky útoků typu phishing

Moderní phishingové stránky jsou skvělými podvodníky. Kybernetičtí zločinci vynakládají velké úsilí, aby vypadali jako skutečné. Níže uvedené příklady ukazují, jak mohou být phishingové stránky podobné originálu.

V návrhu škodlivé verze nejsou žádná loga aplikace Google. Tam jsou také nepatrné rozdíly v barvách uživatelského avatara a body výběru v šedém přihlašovacím modulu. Místo phishingu.Stará verze přihlašovací stránky Google.

Za ta léta, phishingové stránky mají významnězlepšení a vypadají velmi přesvědčivě. Někteří dokonce používají protokol HTTPS a „zelený zámek“ v panelu prohlížeče dává uživatelům falešný pocit bezpečí.

Ikony falešných autorizačních stránek Apple se mírně liší od původních. Oficiální stránka také používá jiné písmo. Místo phishingu.Přihlašovací stránka Apple ID.

Malé chyby na phishingové stránceviditelné pouze ve srovnání s původním, spolehlivým zdrojem. Samy o sobě nepřitahují pozornost. Zkuste si nyní pamatovat, jak často vypadá podobná přihlašovací stránka služby, kterou používáte. Je nepravděpodobné, že budete moci prezentovat design ve všech jeho detailech - a na to se spoléhají podvodníci, kteří vytvářejí falešné stránky.

Jak se šíří hrozba?

Odkazy na phishingové stránky jsou nejčastěji odesílány na phishingové e-maily, ale lze je také najít v placených reklamách, které se zobrazují ve výsledcích vyhledávání.

Nejčastěji útočníci vytvářejí falešné dopisy od známých společností, kterým uživatelé důvěřují: banky, letecké společnosti, sociální sítě.

Dalším útočným vektorem je technologie zvaná"Clickback". Kybernetičtí zločinci obvykle používají tuto techniku ​​na sociálních sítích: uživatelé vidí lákavý titul jako „Získejte bezplatný telefon“ nebo „značku N s neuvěřitelnou slevou“ a klikněte na škodlivý odkaz.

Kromě toho mohou hackeři zaseknout nebo vytvořit falešné účty populárních lidí a umístit škodlivé odkazy do svých profilů a příspěvků.

Co se stane poté, co oběť nakopla návnadu?

Cíl phishingu, jako téměř každý jinýkybernetické útoky, - získání finančních výhod. Po obdržení přihlašovacích údajů uživatele prostřednictvím phishingového webu může kybernetický zločinec použít různé způsoby v závislosti na typu stránky návnady. Pokud se jedná o nebezpečnou kopii stránky finanční instituce - banky nebo společnosti jako PayPal, hacker získá přímý přístup k penězům podvedené osoby.

Dostal podvodné přihlášení a heslo proPřihlašování na webové stránky dopravní společnosti, například UPS nebo FedEx, samozřejmě nepřinese okamžitý zisk. Namísto toho se útočník může pokusit použít podrobnosti, aby získal přístup k jiným účtům s cennějšími informacemi - včetně pokusu o rozbití e-mailu oběti. Je dobře známo, že lidé často nastavují stejné heslo pro přihlášení k různým službám. Dalším způsobem příjmů kybernetických zločinců je prodej odcizených osobních údajů na tmavém pozadí.

Jedná se o tzv. Mechanismus „nesmyslného útoku“. Existuje mnoho zastaralých stránek WordPress na internetu. Mohou být hacknuty za nízkou cenu a použity pro phishingové kampaně. Průměrná cena za nasazení phishingových nástrojů je 26 USD.

Jak se chránit

Mezi úspěšným phishingovým útokem a faktemkybernetičtí zločinci obvykle nějakou dobu potřebují, aby použili ukradené údaje. Čím dříve je hrozba odstraněna, tím více potenciálních obětí můžeme chránit. Pokud jsou již uživatelské jméno a heslo odcizeny, uživatel je potřebuje pouze změnit a co nejrychleji.

Jak se chránit před jednou z nejúspěšnějších technologií kybernetického útoku - phishing:

  • Nejprve nainstalujte antivirový program na všechna zařízení - PC, Mac, smartphony a tablety. Antivirový software je bezpečnostní síť, která chrání uživatele sítě.
  • Nesledujte odkazy v podezřelýche-maily a nestahují soubory, které jsou k nim připojeny. Na takový dopis neodpovídejte, i když na první pohled přišel od osoby nebo organizace, které důvěřujete. Místo toho se obraťte na adresáta na jiném komunikačním kanálu a ověřte, že zpráva skutečně pochází z tohoto zdroje.
  • Pokuste se zadat adresu webu v prohlížeči ve všech případech - to vás ochrání před náhodným přepnutím na verzi vytvořenou podvodníky.
  • HTTPS není „zelený zámek“zabezpečení. Tato ikona označuje pouze to, že je spojení chráněno šifrováním. Stránky, na kterých se nacházíte, mohou být falešné. Kybernetičtí zločinci implementují šifrování na phishingových webech, aby oklamali uživatele, takže je obzvláště důležité zkontrolovat a ověřit pravost používaného zdroje.

V roce 2018 vyšetřovali odborníci společnosti Avastzasílání škodlivých e-mailů z napadených účtů MailChimp, případy sex-phishingu a podvodných kampaní souvisejících s implementací nařízení GDPR. V budoucnu podle expertů poroste množství phishingových útoků. Tam budou nové způsoby, jak zamaskovat akce vetřelců zaměřené na krádeže důvěrných uživatelských dat.