Recunoașterea vizuală a phishingului: cum să opriți infractorii cibernetici folosind AI și viziunea pe computer

Phishing-ul este o tehnică binecunoscută de inginerie socială, care vine în multe forme diferite: apeluri telefonice,

smishing (phishing prin SMS - Hi-Tech), phishinge-mailuri și site-uri web. Cu ajutorul acestuia, infractorii cibernetici înșală datele confidențiale, cum ar fi detaliile cardului de credit, autentificarea și parolele.

Link-uri de phishing care duc la site-uri rău intenționateadesea conținute în e-mailuri care par a fi din surse de încredere. Ele sunt trimise în mesaje pe rețelele sociale și aplicații precum Facebook și WhatsApp. Ele pot apărea chiar și în șirurile de căutare, inducând în eroare utilizatorii. Și poate fi destul de dificil să determinați dacă un site face phishing. Multe dintre aceste resurse sunt aproape identice cu site-urile copiate. E-mailurile de phishing sunt de obicei mai puțin eficiente, deoarece tehnologia modernă le recunoaște ca spam. Cu toate acestea, unele dintre ele ajung în continuare în căsuța dvs. de e-mail.

Motivul pentru popularitatea phishing-ului este clar -infractorii cibernetici pot ataca un număr mare de oameni simultan. Pentru a contracara atacurile masive ale utilizatorilor, specialiștii Avast folosesc tehnologia inteligenței artificiale (AI).

Detectarea phishingului cu AI

Infractorii creează site-uri web pentru a înșela oameniicare sunt foarte asemănătoare cu resursele reale și de încredere. Asemănarea vizuală este adesea suficientă pentru a induce în eroare utilizatorii creduli - aceștia își părăsesc cu ușurință acreditările și alte date confidențiale.

În teorie, infractorii cibernetici pot folosipaginile de phishing au aceleași imagini ca în resursele originale. Cu toate acestea, proprietarii site-urilor originale pot vedea pe serverele lor link-uri către imagini furnizate de escroci. În plus, este nevoie de timp și efort pentru a crea o copie exactă a site-ului. În acest caz, infractorii cibernetici ar trebui să reproducă designul pe o resursă de phishing, acordând atenție fiecărui pixel. Drept urmare, aceștia abordează sarcina în mod creativ și creează pagini care sunt foarte asemănătoare cu cele originale, dar în același timp au diferențe minore care nu sunt vizibile pentru utilizatorul obișnuit.

Avast are o rețea de sutemilioane de senzori care furnizează AI cu date. Avast scanează fiecare site web vizitat de utilizatori și studiază cu atenție popularitatea domeniilor în cauză. Alți factori, cum ar fi certificatul site-ului web, vechimea domeniului și prezența token-urilor suspecte în adresa URL sunt de asemenea luați în considerare atunci când se evaluează dacă o pagină trebuie încărcată.

Durata de viață a unui site de phishing este de obicei extremămici, iar motoarele de căutare nu au timp să-l indexeze. Acest lucru se reflectă în evaluarea domeniului. Popularitatea și istoria sa pot fi, de asemenea, primele semne ale faptului dacă o pagină este sigură sau rău intenționată. După verificarea acestor informații și compararea acestora cu caracteristicile vizuale, sistemul concluzionează dacă site-ul poate fi de încredere.

Versiunea de phishing a paginii de conectare Orange.frVersiunea originală a paginii de conectare Orange.fr

Prin comparație, aceste pagini aratăîn moduri diferite: versiunea rău intenționată utilizează designul site-ului Orange învechit, în timp ce site-ul original are o imagine mai modernă și mai sigură, deoarece parola este solicitată de utilizator în al doilea pas și nu pe aceeași pagină în același timp cu login-ul.

Evident, domeniul site-ului phishing are foarte multnivel scăzut de popularitate. În același timp, ratingul paginii actuale a Orange.fr este de 7/10. Deși designul unei resurse de phishing este foarte similar cu versiunea anterioară a site-ului Orange.fr, acesta nu este plasat pe Orange.fr sau pe un alt domeniu popular. Aceste informații, care atestă potențialul pericol al unui site web fals, inițiază un protocol pentru studierea mai amănunțită a acestuia.

Domeniul de analiză orangefrance.weebly.com - versiunea de phishing a site-ului. Aceste date pot fi folosite pentru a evalua popularitatea acestuia.

Următoarea etapă este verificarea designului. La prima vedere, o comparație pixel-cu-pixel a unui site fals cu unul real este suficient. Nu este. O abordare diferită este luată folosind hashes-ul imaginii. În această metodă, imaginea originală este comprimată la o dimensiune mai mică, menținând în același timp detaliile necesare. Rezultatul este un vector de biți cu dimensiune fixă, cu o simplă valoare. Datorită acestei abordări, AI compară același tip de imagini cu deviația statistică dată. Cu toate acestea, această tehnologie sa dovedit a fi mai puțin fiabilă și tolerantă la erori decât era de așteptat.

S-a dovedit a fi o metodă mult mai eficientăutilizarea viziunii computerizate. Ajută AI să obțină informații despre imagini, aruncând o privire detaliată asupra anumitor pixeli și a împrejurimilor acestora. Pentru aceasta se folosesc descriptori - descrieri numerice ale modificărilor relative în fragmentul din jurul pixelului. Acest proces vă permite să evaluați mai precis variabilitatea nuanțelor de gri, inclusiv detectarea prezenței unui gradient și determinarea intensității acestuia.

Pixelii selectați de algoritm, așa-numițiipunctele de interes pot fi verificate cu baza de date de descriptori actualizată după ce sunt primite. Totuși, simplul fapt al prezenței pixelilor într-o imagine care sunt similari cu pixelii alteia nu este suficient pentru a concluziona că imaginea corespunde cu cea din baza de date. Din acest motiv, metoda „verificarea spațială” este utilizată pentru a compara relațiile spațiale dintre pixelii individuali dintr-o imagine.

a) Un exemplu de configurare spațială a pixelilorb) Un exemplu care a fost respins ca nevalid

Spațializarea este sursadate valide, dar sunt adăugați pași suplimentari pentru a elimina posibilele rezultate pozitive false, inclusiv verificarea hash-urilor de imagini.

Analiza punctelor de interes dintr-o imagine care continetextul este plin de probleme. Aceste imagini au o mulțime de degrade în mod implicit, deoarece literele și elementele de text creează o mulțime de margini. Chiar și o zonă mică a unui model de litere conține multe puncte de interes, ceea ce duce adesea la rezultate false pozitive. Verificarea spațială este neputincioasă aici.

Pentru a rezolva această problemă, dezvoltatsoftware capabil de a analiza fragmente de imagine pentru text. În aceste cazuri, AI nu va utiliza puncte din astfel de site-uri în procesul de comparare a imaginilor.

Întreaga procedură de verificare se desfășoară integral înmod automat. În 99% din cazuri, ajută la recunoașterea unui site de phishing în mai puțin de zece secunde, iar utilizatorii Avast conectați vor fi blocați să-l acceseze.

Adresele de phishing au fost detectate

Site-urile moderne de phishing sunt mari trișori. Criminalii cibernetici fac eforturi mari pentru a le face să pară acelea reale. Exemplele de mai jos arată modul în care un site de phishing poate fi similar cu cel original.

Designul versiunii rău intenționate nu are sigleaplicații Google. Există, de asemenea, mici diferențe între culorile avatarului utilizatorului și opțiunile de selecție din modulul gri de conectare. Site de phishing.Versiunea veche a paginii de conectare Google.

De-a lungul anilor, site-urile de phishing au avut în mod semnificativîmbunătățit și arata foarte convingător. Unele dintre ele utilizează chiar și protocolul HTTPS, iar "blocarea verde" din bara de browser oferă utilizatorilor un sentiment fals de securitate.

Pictogramele site-ului fals de conectare Apple sunt ușor diferite de cele originale. Pagina oficială folosește, de asemenea, un font diferit. Site de phishing.Pagina de autentificare a ID-ului Apple.

Defecte mici în pagina de phishingdevin vizibile numai în comparație cu resursele originale și de încredere. Prin ele însele, ele nu atrag atenția. Încercați acum să vă amintiți cum arată de multe ori pagina de conectare a serviciului pe care îl utilizați. Este puțin probabil să puteți prezenta designul în toate detaliile sale - și asta contează pe cei care fraudează care creează site-uri false.

Cum se răspândește amenințarea?

Link-urile către site-uri de phishing sunt trimise cel mai adesea în e-mailuri de phishing, dar pot fi găsite și în reclamele plătite care apar în rezultatele căutării.

Cel mai adesea, atacatorii creează e-mailuri false de la companii cunoscute în care utilizatorii au încredere: bănci, companii aeriene, rețele sociale.

Un alt vector de atac este o tehnologie numită"Klikbeyt". Criminalii cibernetici folosesc de obicei această tehnică pe rețelele sociale: utilizatorii văd un titlu tentant cum ar fi "Obțineți un telefon gratuit" sau "Brand N cu o reducere incredibilă" și faceți clic pe link-ul rău intenționat.

Hackerii pot, de asemenea, să pirateze sau să creeze conturi false ale unor persoane populare și să posteze linkuri rău intenționate pe profilurile și postările lor.

Ce se întâmplă după ce victima a lovit momeala?

Scopul phishing-ului este ca aproape oricare altulatacuri cibernetice – obținerea de beneficii financiare. Odată ce un criminal cibernetic a obținut acreditările de conectare ale unui utilizator printr-un site de phishing, le poate folosi într-o varietate de moduri, în funcție de tipul de pagină de momeală. Dacă este o copie rău intenționată a site-ului unei instituții financiare - o bancă sau o companie precum PayPal, hackerul va avea acces direct la banii persoanei fraudate.

Ați primit în mod fraudulos login și parola pentruLogarea pe site-ul companiei de transport, de exemplu, UPS sau FedEx, desigur, nu va aduce profituri imediate. În schimb, atacatorul poate încerca să folosească detaliile pentru a avea acces la alte conturi cu informații mai valoroase - inclusiv, încercați să spargeți e-mail-ul victimei. Este bine cunoscut faptul că utilizatorii adesea stabilesc aceeași parolă pentru a vă conecta la diverse servicii. Un alt mod de a obține venituri pentru infractorii cibernetici este de a vinde date personale furate pe o rețea întunecată.

Acesta este mecanismul așa-numit "atac inutil". Există multe site-uri WordPress învechite pe Internet. Acestea pot fi hacked pentru un cost redus și utilizate pentru campaniile de phishing. Costul mediu de utilizare a instrumentelor de phishing este de 26 USD.

Cum să vă protejați

Între un atac de phishing reușit și faptDe obicei, este nevoie de ceva timp pentru ca infractorii cibernetici să folosească detalii furate. Cu cât amenințarea este eliminată mai repede, cu atât putem proteja mai multe victime potențiale. Dacă login-ul și parola au fost deja furate, utilizatorul le poate schimba doar și cât mai repede posibil.

Cum să vă protejați de una dintre cele mai de succes tehnologii de atacuri cibernetice - phishing:

  • Mai întâi, instalați antivirus pe toate dispozitivele dvs. - PC, Mac, smartphone-uri și tablete. Software-ul antivirus este o plasă de siguranță care protejează utilizatorii rețelei.
  • Nu urmați linkurile suspectee-mailuri și nu descărcați fișiere atașate acestora. Nu răspundeți la o astfel de scrisoare, chiar dacă, la prima vedere, a venit de la o persoană sau o organizație în care aveți încredere. În schimb, contactați destinatarul pe un alt canal de comunicare pentru a confirma faptul că mesajul a provenit efectiv din această sursă.
  • Încercați să introduceți în toate cazurile adresa site-ului în browser - acest lucru vă va proteja de comutarea accidentală la versiunea creată de escroci.
  • HTTPS nu este o "blocare verde"garanție de securitate. Această pictogramă indică numai faptul că conexiunea este protejată prin criptare. Site-ul pe care vă aflați poate fi fals. Cybercriminalii implementează criptarea pe site-urile de phishing pentru a înșela utilizatorii, deci este deosebit de important să verificați și să verificați autenticitatea resurselor pe care le utilizați.

În 2018, specialiștii Avast au investigattrimiterea de e-mailuri rău intenționate din conturi MailChimp piratate, cazuri de sex phishing și campanii frauduloase legate de implementarea regulamentului GDPR. În viitor, potrivit experților, volumul atacurilor de tip phishing va crește. Vor exista noi modalități de a deghiza acțiunile atacatorilor care vizează furtul datelor confidențiale ale utilizatorilor.