Visuelle Erkennung von Phishing: Wie kann man Cyberkriminelle mithilfe von KI und Computervision aufhalten?

Phishing ist eine bekannte Methode des Social Engineering, die viele verschiedene Formen hat: Telefonanrufe,

Smeshing (Phishing per SMS - "High-Tech"), PhishingE-Mails und Websites. Mit ihrer Hilfe locken Cyberkriminelle auf betrügerische Weise vertrauliche Daten wie Kreditkartendaten, Anmeldungen und Passwörter.

Phishing-Links, die zu schädlichen Websites führenoft in Briefen enthalten, die auf den ersten Blick aus zuverlässigen Quellen gesendet werden. Sie werden in Nachrichten von sozialen Netzwerken und Anwendungen wie Facebook und WhatsApp gesendet. Sie können sogar in Suchstrings erscheinen und Benutzer irreführen. Und es kann ziemlich schwierig sein zu bestimmen, ob eine Site Phishing ist. Viele dieser Ressourcen sind fast identisch mit den replizierten Standorten. Phishing-E-Mails sind in der Regel weniger effektiv, da sie von modernen Technologien als Spam erkannt werden. Einige davon landen jedoch immer noch im Posteingang.

Der Grund für die Beliebtheit von Phishing ist klar -Cyberkriminelle können eine große Anzahl von Menschen gleichzeitig angreifen. Um den massiven Angriffen der Benutzer entgegenzuwirken, setzen die Spezialisten von Avast künstliche Intelligenz (KI) ein.

Phishing-Erkennung mit KI

Um Menschen zu täuschen, erstellen Angreifer Websitesdie sehr ähnlich zu realen und zuverlässigen Ressourcen sind. Die visuelle Ähnlichkeit reicht häufig aus, um leichtgläubige Benutzer in die Irre zu führen - sie hinterlassen leicht ihre Anmeldeinformationen und andere vertrauliche Daten.

Theoretisch können Cyberkriminelle auf sich setzenPhishing-Seiten sind die gleichen Bilder wie auf den ursprünglichen Ressourcen. Die Besitzer der ursprünglichen Websites können jedoch auf ihren Servern Links zu Bildern von Betrügern sehen. Das Erstellen einer exakten Kopie der Site erfordert zudem Zeit und Mühe. In diesem Fall müssten Cyberkriminelle das Design auf einer Phishing-Ressource reproduzieren und dabei auf jedes Pixel achten. Dadurch gehen sie kreativ an die Aufgabe heran und erstellen Seiten, die den ursprünglichen sehr ähnlich sind, gleichzeitig aber geringfügige Unterschiede aufweisen, die für den Durchschnittsbenutzer kaum wahrnehmbar sind.

Avast hat ein Netzwerk von Hunderten.Millionen von Sensoren, die AI-Daten liefern. Avast durchsucht jede Site, die Benutzer besuchen, und untersucht sorgfältig die Beliebtheit der relevanten Domains. Bei der Bewertung, ob die Seite geladen werden soll, werden andere Faktoren berücksichtigt, z. B. das Zertifikat der Website, das Alter der Domäne und das Vorhandensein verdächtiger Token in der URL.

Die Lebensdauer einer Phishing-Site ist normalerweise extremklein, und die Suchmaschinen haben keine Zeit, um sie zu indizieren. Dies spiegelt sich in der Bewertung der Domain wider. Seine Popularität und Geschichte können auch die ersten Anzeichen dafür sein, ob eine Seite sicher oder böswillig ist. Nachdem diese Informationen geprüft und mit den visuellen Merkmalen verglichen wurden, schließt das System, ob die Site als vertrauenswürdig eingestuft werden kann.

Phishing-Version der Anmeldeseite von Orange.frDie ursprüngliche Version der Anmeldeseite von Orange.fr

Im Vergleich dazu sehen diese Seiten ausGanz anders: Die bösartige Version verwendet das veraltete Orange-Site-Design, während die ursprüngliche Site moderner und sicherer ist, da das Passwort im zweiten Schritt vom Benutzer abgefragt wird und nicht gleichzeitig mit dem Login auf derselben Seite.

Offensichtlich hat die Domäne der Phishing-Site eine sehrniedriger Bekanntheitsgrad. Zur gleichen Zeit ist die Bewertung der aktuellen Seite von Orange.fr 7/10. Obwohl das Design einer Phishing-Ressource der vorherigen Version der Website Orange.fr sehr ähnlich ist, wird sie nicht auf Orange.fr oder auf einer anderen beliebten Domäne platziert. Diese Informationen, die auf die potenzielle Gefahr einer gefälschten Website hinweisen, starten ein Protokoll, um sie gründlicher zu untersuchen.

Analyse Domain orangefrance.weebly.com - Phishing-Version der Site. Diese Daten können verwendet werden, um die Beliebtheit zu bewerten.

Die nächste Stufe ist die Designüberprüfung. Auf den ersten Blick genügt ein pixelweiser Vergleich einer gefälschten Website mit einer echten Website. Es ist nicht so. Ein anderer Ansatz wird mit Bildhashes verfolgt. Bei diesem Verfahren wird das Originalbild auf eine kleinere Größe komprimiert, wobei die erforderlichen Details erhalten bleiben. Das Ergebnis ist ein Bitvektor mit fester Größe und einer einfachen Metrik. Dank dieses Ansatzes vergleicht die KI dieselbe Art von Bildern mit der angegebenen statistischen Abweichung. Diese Technologie erwies sich jedoch als weniger zuverlässig und fehlertolerant als erwartet.

Eine wesentlich effizientere Methode erwies sich alsVerwendung von Computer Vision. Mit ihrer Hilfe erhält die KI Informationen über Bilder durch eine detaillierte Überprüfung bestimmter Pixel und ihrer Umgebung. Verwenden Sie dazu Deskriptoren - numerische Beschreibungen relativer Änderungen im Fragment um ein Pixel. Dieses Verfahren ermöglicht eine genauere Beurteilung der Variabilität von Graustufen, einschließlich der Erkennung des Vorhandenseins eines Gradienten und der Bestimmung seiner Intensität.

Die vom Algorithmus ausgewählten Pixel, die sogenanntenPoints of Interest können Sie nach dem Empfang auf aktualisierte Datenbank-Deskriptoren überprüfen. Die bloße Tatsache, dass es Pixel in dem Bild gibt, die den Pixeln eines anderen ähnlich sind, reicht jedoch nicht aus, um zu schließen, dass das Bild dem in der Datenbank entspricht. Aus diesem Grund wird die Methode der "räumlichen Verifizierung" verwendet, um die räumlichen Beziehungen zwischen den einzelnen Bildpunkten des Bildes zu vergleichen.

a) Ein Beispiel für eine gültige räumliche Konfiguration von Pixelnb) Ein Beispiel, das als ungültig abgelehnt wurde

Die räumliche Verifizierung ist die Quellegültige Daten, es werden jedoch zusätzliche Schritte hinzugefügt, um mögliche falsch positive Ergebnisse zu beseitigen, einschließlich der Überprüfung von Bildhashes.

Analyse von interessanten Punkten im BildDer Text ist voller Probleme. In solchen Bildern gibt es standardmäßig eine große Anzahl von Farbverläufen, da die Buchstaben und Textelemente viele Kanten erzeugen. Selbst ein kleiner Abschnitt eines Beschriftungsmusters enthält viele interessante Punkte, die häufig zu Fehlalarmen führen. Die räumliche Verifizierung ist hier machtlos.

Um dieses Problem zu lösen, wurde entwickeltSoftware zur Analyse von Bildfragmenten auf Text. In diesen Fällen verwendet die KI keine Punkte von solchen Websites, um Bilder zu vergleichen.

Das gesamte Überprüfungsverfahren wird vollständig in durchgeführtAutomatikmodus. In 99% der Fälle hilft es, eine Phishing-Site in weniger als zehn Sekunden zu erkennen, und der Zugriff von verbundenen Avast-Benutzern wird gesperrt.

Phishing-Sites erkannt

Moderne Phishing-Sites sind großartige Betrüger. Cyberkriminelle unternehmen große Anstrengungen, um sie wie echte aussehen zu lassen. Die folgenden Beispiele zeigen, wie eine Phishing-Site dem Original ähnelt.

Im Design der bösartigen Version gibt es keine Google-Anwendungslogos. Es gibt auch leichte Unterschiede in den Farben des Benutzer-Avatars und den Auswahlpunkten im grauen Anmeldemodul. Phishing-SiteAlte Version der Google-Anmeldeseite.

Im Laufe der Jahre haben Phishing-Sites erhebliche Auswirkungenverbessert und sehen sehr überzeugend aus. Einige von ihnen verwenden sogar das HTTPS-Protokoll, und die „grüne Sperre“ in der Browserleiste gibt den Benutzern ein falsches Sicherheitsgefühl.

Die gefälschten Apple-Autorisierungssymbole unterscheiden sich geringfügig von den ursprünglichen. Die offizielle Seite verwendet auch eine andere Schriftart. Phishing-SiteApple ID-Anmeldeseite

Kleine Fehler auf der Phishing-Seitewerden nur im Vergleich mit der ursprünglichen, zuverlässigen Ressource sichtbar. Sie ziehen selbst keine Aufmerksamkeit auf sich. Versuchen Sie jetzt, sich daran zu erinnern, wie die Anmeldeseite des von Ihnen verwendeten Dienstes häufig aussieht. Es ist unwahrscheinlich, dass Sie das Design in allen Details präsentieren können - und darauf verlassen sich Betrüger, die gefälschte Websites erstellen.

Wie verbreitet sich die Bedrohung?

Links zu Phishing-Websites werden meistens an Phishing-E-Mails gesendet. Sie können jedoch auch in bezahlten Anzeigen gefunden werden, die in den Suchergebnissen erscheinen.

In den meisten Fällen erstellen Angreifer gefälschte Briefe von bekannten Unternehmen, denen die Benutzer vertrauen: Banken, Fluggesellschaften und soziale Netzwerke.

Ein anderer Angriffsvektor ist eine Technologie namens"Clickback". Cyberkriminelle wenden diese Technik normalerweise in sozialen Netzwerken an: Benutzer sehen einen verlockenden Titel wie „Ein kostenloses Telefon erhalten“ oder „N Marke mit einem unglaublichen Rabatt“ und klicken auf den schädlichen Link.

Darüber hinaus können Hacker gefälschte Konten beliebter Personen hacken oder erstellen und schädliche Links in ihre Profile und Beiträge einfügen.

Was passiert, nachdem das Opfer den Köder gepickt hat?

Das Ziel des Phishing ist wie fast jedes andereCyberangriffe - Erzielung finanzieller Vorteile. Nachdem der Benutzer die Anmeldedaten des Benutzers über die Phishing-Site erhalten hat, kann er sie auf verschiedene Arten verwenden, abhängig von der Art der Köderseite. Handelt es sich dabei um eine schädliche Kopie einer Website eines Finanzinstituts - einer Bank oder eines Unternehmens wie PayPal -, erhält der Hacker direkten Zugriff auf das Geld der betrogenen Person.

Betrügerisch Login und Passwort fürDas Einloggen auf der Website des Transportunternehmens, zum Beispiel UPS oder FedEx, bringt natürlich keinen sofortigen Gewinn. Stattdessen kann der Angreifer versuchen, die Details zu verwenden, um Zugriff auf andere Konten mit wertvolleren Informationen zu erhalten - einschließlich, die E-Mail des Opfers zu knacken. Es ist allgemein bekannt, dass die Benutzer häufig dasselbe Kennwort festlegen, um sich bei verschiedenen Diensten anzumelden. Eine weitere Einnahmequelle für Internetkriminelle besteht darin, gestohlene persönliche Daten über ein Darknet zu verkaufen.

Dies ist der sogenannte "Pointless Attack" -Mechanismus. Es gibt viele veraltete WordPress-Sites im Internet. Sie können kostengünstig gehackt und für Phishing-Kampagnen verwendet werden. Die durchschnittlichen Kosten für die Bereitstellung von Phishing-Tools betragen 26 US-Dollar.

Wie schützen Sie sich?

Zwischen einem erfolgreichen Phishing-Angriff und einer TatsacheCyberkriminelle brauchen normalerweise etwas Zeit, um gestohlene Daten zu verwenden. Je früher die Bedrohung beseitigt wird, desto mehr potenzielle Opfer können wir schützen. Wenn der Benutzername und das Kennwort bereits gestohlen wurden, muss der Benutzer sie nur so schnell wie möglich ändern.

So schützen Sie sich vor einer der erfolgreichsten Cyber-Angriffstechnologien - Phishing:

  • Installieren Sie zunächst Antivirus auf allen Ihren Geräten - PC, Mac, Smartphones und Tablets. Antivirensoftware ist ein Sicherheitsnetz, das Netzwerkbenutzer schützt.
  • Folgen Sie nicht verdächtigen LinksE-Mails und laden Sie keine mit ihnen verbundenen Dateien herunter. Antworten Sie nicht auf einen solchen Brief, auch wenn er auf den ersten Blick von einer Person oder Organisation stammt, der Sie vertrauen. Wenden Sie sich stattdessen an den Empfänger auf einem anderen Kommunikationskanal, um zu bestätigen, dass die Nachricht tatsächlich von dieser Quelle stammt.
  • Versuchen Sie in jedem Fall, die Adresse der Website in den Browser einzugeben - dies schützt Sie vor versehentlichem Wechsel zu der von Betrügern erstellten Version.
  • HTTPS ist kein "grünes Schloss"Sicherheitsgarantie. Dieses Symbol zeigt nur an, dass die Verbindung durch Verschlüsselung geschützt ist. Die Website, auf der Sie sich befinden, kann gefälscht sein. Cyberkriminelle implementieren die Verschlüsselung auf Phishing-Sites, um Benutzer zu täuschen. Daher ist es besonders wichtig, die Authentizität der von Ihnen verwendeten Ressource zu überprüfen und zu überprüfen.

Im Jahr 2018 untersuchten Avast-ExpertenVersenden bösartiger E-Mails von gehackten MailChimp-Konten, Fällen von Sex-Phishing und betrügerischen Kampagnen im Zusammenhang mit der Umsetzung der Bestimmungen der GDPR. Laut Experten wird die Anzahl der Phishing-Angriffe in Zukunft zunehmen. Es wird neue Möglichkeiten geben, die Handlungen von Eindringlingen zu verbergen, um vertrauliche Benutzerdaten zu stehlen.