Фішинг – це відомий метод соціальної інженерії, який має багато різних форм: телефонні дзвінки,
Фішингові посилання на шкідливі сайти часто містяться в електронних листах, які, як видається, надійшли з надійних джерел.Вони пересилаються в повідомленнях із соціальних мереж і програм, таких як Facebook і WhatsApp.Вони навіть можуть з'являтися в рядках пошуку, вводячи користувачів в оману.І може бути досить складно визначити, чи є сайт фішинговим.Багато з цих ресурсів практично ідентичні сайтам, що копіюються.Фішингові листи зазвичай менш ефективні, як визнають сучасні технологіїОднак деякі з них все одно потрапляють до поштової скриньки.
Причина популярності фішингу зрозуміла — кіберзлочинці можуть атакувати відразу велику кількість людей.Для протидії масованим атакам користувачів Avast використовує технологію штучного інтелекту (ШІ).
Розпізнавання фішингу за допомогою ІІ
Щоб обдурити людей, кіберзлочинці створюють сайти, які дуже схожі на реальні та надійні ресурси.Візуальної схожості часто буває досить, щоб ввести в оману довірливих користувачів – вони легко йдутьваші облікові дані та іншу конфіденційну інформацію.
Теоретично кіберзлочинці можуть використовувати на фішингових сторінках ті самі зображення, що й на оригінальних ресурсах.Однак власники оригінальних сайтів можуть бачити посилання на зображення, розміщені шахраями на своїх серверах.Крім того, потрібен час і зусилля на створення точної копії сайту.У цьому випадку кіберзлочинцям довелося б відтворювати дизайн на фішинговому ресурсі, звертаючи увагу на кожен піксель.В результаті вони підходять до завдання творчо і створюють сторінки, які дуже схожі на оригінальні, але при цьому маютьНезначні відмінності, які ледь помітні звичайному користувачеві.
Avast має мережу із сотень мільйонів датчиків, які постачаютьДані штучного інтелекту. Avast сканує кожен сайт, який відвідують користувачі, і ретельно перевіряє їхІнші фактори, такі як сертифікат, також враховуються при оцінці того, чи слід завантажувати сторінкувеб-сайту, вік домену та наявність підозрілих токенів в URL-адресі.
Термін життя фішингових сайту зазвичай вкрайневеликий, і пошукові системи не встигають його індексувати. Це відбивається на рейтингу домену. Його популярність і історія також можуть бути першими ознаками того, чи є сторінка безпечної або шкідливою. Перевіривши цю інформацію і порівнявши її з візуальними характеристиками, система робить висновок про те, чи можна довіряти сайту.
Фішингова версія сторінки входу в систему Orange.fr
Оригінальна версія сторінки входу в систему Orange.fr
У порівнянні видно, що ці сторінки виглядаютьабсолютно по-різному: шкідлива версія використовує застарілий дизайн сайту Orange, а у оригінального сайту він сучасніший і безпечний, тому що Вам необхідно ввести пароль у користувача на другому кроці, а не на одній сторінці одночасно з логіном.
Очевидно, що домен фішингових сайту має дуженизький рівень популярності. У той же час рейтинг справжньою сторінки Orange.fr - 7/10. Хоча дизайн фішингових ресурсу дуже нагадує колишню версію сайту Orange.fr, він не розміщений ні на Orange.fr, ні на іншому популярному домені. Ця інформація, яка свідчить про потенційну небезпеку фальшивого сайту, запускає протокол більш ретельного його вивчення.
Аналіз домену orangefrance.weebly.com - фішинговою версії сайту. Ці дані можна використовувати для оцінки його популярності.
Наступний етап - перевірка дизайну. На перший погляд, попиксельного порівняння фальшивого сайту до цього цілком достатньо. Це не так. Застосовується інший підхід з використанням хеш зображень. В рамках даного методу вихідне зображення стискується до менших розмірів із збереженням необхідної деталізації. В результаті виходить бітовий вектор фіксованого розміру з простий метрикою. Завдяки цьому підходу ІІ порівнює однотипні зображення з урахуванням заданого статистичного відхилення. Однак ця технологія виявилася менш надійною і стійкою до помилок, ніж очікувалося.
Набагато більш ефективним методом виявилося використання комп'ютерного зору.інформацію про зображення, детально розглядаючи конкретні пікселі та їх оточення.Для цього ми використовуємо дескриптори, які представляють собою числові описи відносних змін фрагмента навколо пікселя.Цей процес дозволяє більш точно оцінити варіативність сірих відтінків, в тому числі виявити наявність градієнта і визначити його інтенсивність.
Пікселі, вибрані алгоритмом, так звані точки інтересу, можуть бути перевірені в оновленій базі даних дескрипторів після їх отримання.Однак самого факту того, що на зображенні є пікселі, схожі на пікселі іншого, недостатньо, щоб зробити висновок про те, що зображення відповідає тому, що є в базі даних.З цієї причини метод «просторової перевірки» використовується для порівняння просторових відносин між окремими пікселями зображення.
а) Приклад допустимої просторової конфігурації пікселів
б) Приклад, який був відхилений як неприпустимий
Просторова верифікація є джереломобґрунтованих даних, але для виключення можливих хибнопозитивних результатів додаються додаткові етапи, в тому числі, перевірка по хеш зображень.
Аналізувати цікаві моменти на картинці, яка містить текст, проблематично.Ці зображення за замовчуванням мають велику кількість градієнтів, оскільки літери та текстові елементи створюютьНавіть невеликий розділ малюнка з буквами містить багато цікавих моментів, що часто призводить доПросторова верифікація тут безсила.
Щоб вирішити цю проблему, розробленопрограмне забезпечення, здатне аналізувати фрагменти зображення на наявність тексту. У цих випадках ІІ не використовуватиме в процесі порівняння картинок точки з таких ділянок.
Вся процедура верифікації повністю автоматична.розпізнати фішинговий сайт менш ніж за десять секунд, і підключені користувачі Avast отримають до нього доступзаблоковано.
Виявлені фішингові сайти
Сучасні фішингові сайти - відмінні обманщики. Кіберзлочинці докладають великих зусиль для того, щоб вони виглядали, як справжні. На представлених нижче прикладах видно, наскільки фішингових сайтів може бути схожий на оригінал.
Також є невеликі відмінності в кольорах аватара користувача і точках вибору в сірому модулі входу. Фішинговий сайт. 
Стара версія сторінки входу в Google.
З роками фішингові сайти значновдосконалилися, і виглядають дуже переконливо. Деякі з них навіть використовують протокол HTTPS, і «зелений замок» в рядку браузера дає користувачам помилкове відчуття безпеки.
Значки підробленого сайту авторизації Apple трохи відрізняються від оригінальних. Фішинговий сайт. 
Сторінка входу Apple ID.
Маленькі недоробки фішинговою сторінкистають очевидні тільки при її порівнянні з оригінальним, надійним ресурсом. Самі по собі вони не привертають уваги. Спробуйте зараз згадати, як виглядає сторінка входу в сервіс, яким ви часто користуєтеся. Ви навряд чи зможете уявити дизайн у всіх подробицях - і саме на це розраховують шахраї, що створюють фальшиві сайти.
Як поширюється загроза?
Посилання на фішингові сайти найчастіше надсилаються у фішингових електронних листах, але їх також можна знайти в платній рекламі, яка з'являється в результатах пошуку.
Найчастіше кіберзлочинці створюють фейкові листи від відомих компаній, яким довіряють користувачі: банків, авіакомпаній, соціальних мереж.
Ще один вектор атаки - технологія під назвою«Клікбейт». Кіберзлочинці зазвичай використовують цей прийом в соціальних мережах: користувачі бачать привабливий заголовок на кшталт «Отримай безкоштовний телефон» або «бренд N з неймовірною знижкою» і натискають на шкідливе посилання.
Крім того, хакери можуть зламувати або створювати фейкові акаунти популярних людей і розміщувати шкідливі посилання на їхні профілі та пости.
Що відбувається після того, як жертва клюнула на приманку?
Метою фішингу, як і майже будь-якої іншої кібератаки, є отримання фінансової вигоди.Отримавши облікові дані користувача для входу через фішинговий сайт, кіберзлочинець можеЯкщо це шкідлива копія сайту фінансової установи — банку або компанії на кшталт PayPal, хакеротримати прямий доступ до грошей ошуканої особи.
Отримані обманним шляхом логін і пароль длявходу на сайт транспортної компанії, наприклад, UPS або FedEx, звичайно, не принесуть негайного прибутку. Замість цього зловмисник може спробувати використовувати реквізити для отримання доступу до інших облікових записів з більш цінною інформацією - в тому числі, спробувати зламати електронну пошту жертви. Загальновідомо, що люди часто встановлюють один і той же пароль для входу в різні сервіси. Ще один спосіб доходу для кіберзлочинців - продаж вкрадених персональних даних в даркнета.
Це так званий механізм «безадресної атаки». В інтернеті є безліч застарілих сайтів на WordPress. Їх можна зламати за невелику вартість і використовувати для проведення фішингових кампаній. Ціна розгортання інструментів фішингу в середньому становить $ 26.
Як захистити себе
Зазвичай існує розрив між успішною фішинговою атакою та тим фактом, що викрадені облікові дані використовуються кіберзлочинцямиЧим швидше загроза буде усунена, тим більше потенційних жертв ми зможемо захистити.Якщо логін і пароль вже були вкрадені, користувачеві потрібно лише змінити їх, причому якомога швидше.
Як захистити себе від однієї з найуспішніших технологій кібератак - фішингу:
- В першу чергу, встановіть антивірус на всі ваші пристрої - ПК, Mac, смартфони і планшети. Антивірусне ПЗ - це страхувальна сітка, що захищає користувачів мережі.
- Не переходьте за посиланнями в підозрілихелектронних листах і не завантажуйте додані до них файли. Не відповідайте на такий лист, навіть якщо, на перший погляд, воно прийшло від людини або організації, яким ви довіряєте. Замість цього зв'яжіться з адресатом по іншому каналу зв'язку, щоб підтвердити, що повідомлення дійсно надійшло з цього джерела.
- Намагайтеся самостійно вводити адресу сайту в браузері в усіх випадках - це захистить вас від випадкового переходу на версію, створену шахраями.
- «Зелений замок» протоколу HTTPS не єгарантією безпеки. Цей значок всього лише вказує на те, що з'єднання захищено шифруванням. Сайт, на якому ви перебуваєте, при цьому може бути фальшивим. Кіберзлочинці впроваджують шифрування на фішингових сайтах, щоб обдурити користувачів, тому особливо важливо перевіряти і перевіряти ще раз справжність ресурсу, яким ви користуєтеся.
У 2018 році компанія Avast розслідувала шкідливі електронні листи зі скомпрометованих облікових записів MailChimp, секс-фішинг і шахрайські кампанії, пов'язані з імплементацією регламенту GDPR.У майбутньому, на думку експертів, обсяги фішингових атак будуть зростати, а також з'являться нові способи маскування дій зловмисників, спрямованих на крадіжку конфіденційних даних користувачів.