Візуальне розпізнавання фішингу: як за допомогою ІІ і комп'ютерного зору зупинити кіберзлочинців

Фішинг - добре відомий метод соціальної інженерії, що має багато різних форм: телефонні дзвінки,

смішинг (фішинг по SMS - «Хайтек»), фішинговіелектронні листи і сайти. З його допомогою кіберзлочинці обманом виманюють конфіденційні дані, наприклад, реквізити кредитної карти, логіни і паролі.

Фішингові посилання, що ведуть на шкідливі сайти,часто містяться в листах, які, на перший погляд, відправлені з надійних джерел. Їх пересилають в повідомленнях соціальних мереж і додатків на зразок Facebook і WhatsApp. Вони навіть можуть зустрічатися в пошукових рядках, вводячи в оману. І буває досить складно визначити, чи є сайт фішингових. Багато з таких ресурсів практично ідентичні копійованим сайтам. Фішингові електронні листи зазвичай менш результативні, так як сучасні технології розпізнають їх як спам. Однак деякі з них все ж виявляються в папці «Вхідні».

Причина популярності фішингу зрозуміла -кіберзлочинці можуть атакувати відразу велику кількість людей. Щоб протистояти масовим атакам користувачів, фахівці Avast використовують технологію штучного інтелекту (ІІ).

Розпізнавання фішингу за допомогою ІІ

Для обману людей зловмисники створюють сайти,які дуже схожі на справжні і надійні ресурси. Візуального подібності часто виявляється досить, щоб ввести в оману довірливих користувачів - вони з легкістю залишають свої облікові та інші конфіденційні дані.

В теорії кіберзлочинці можуть використовувати нафішингових сторінках ті ж зображення, що і на оригінальних ресурсах. Однак власники оригінальних сайтів здатні побачити на своїх серверах посилання на картинки, поставлені шахраями. Крім того, для створення точної копії сайту потрібні час і зусилля. В цьому випадку кіберзлочинцям довелося б відтворювати дизайн на фішинговому ресурсі, звертаючи уваги на кожен піксель. У підсумку вони підходять до завдання творчо і створюють сторінки, які дуже схожі на оригінальні, але при цьому мають незначні відмінності, малопомітні для середньостатистичного користувача.

У Avast є мережа, що складається з сотеньмільйонів датчиків, які постачають ІІ даними. Avast проводить сканування кожного сайту, на який користувачі заходять, і ретельно вивчає популярність відповідних доменів. При оцінці того, чи слід завантажувати сторінку, враховуються і інші фактори, наприклад, сертифікат веб-сайту, вік домену і наявність підозрілих токенов в URL.

Термін життя фішингових сайту зазвичай вкрайневеликий, і пошукові системи не встигають його індексувати. Це відбивається на рейтингу домену. Його популярність і історія також можуть бути першими ознаками того, чи є сторінка безпечної або шкідливою. Перевіривши цю інформацію і порівнявши її з візуальними характеристиками, система робить висновок про те, чи можна довіряти сайту.

Фішингова версія сторінки входу в систему Orange.frОригінальна версія сторінки входу в систему Orange.fr

У порівнянні видно, що ці сторінки виглядаютьабсолютно по-різному: шкідлива версія використовує застарілий дизайн сайту Orange, а у оригінального сайту він сучасніший і безпечний, тому що Вам необхідно ввести пароль у користувача на другому кроці, а не на одній сторінці одночасно з логіном.

Очевидно, що домен фішингових сайту має дуженизький рівень популярності. У той же час рейтинг справжньою сторінки Orange.fr - 7/10. Хоча дизайн фішингових ресурсу дуже нагадує колишню версію сайту Orange.fr, він не розміщений ні на Orange.fr, ні на іншому популярному домені. Ця інформація, яка свідчить про потенційну небезпеку фальшивого сайту, запускає протокол більш ретельного його вивчення.

Аналіз домену orangefrance.weebly.com - фішинговою версії сайту. Ці дані можна використовувати для оцінки його популярності.

Наступний етап - перевірка дизайну. На перший погляд, попиксельного порівняння фальшивого сайту до цього цілком достатньо. Це не так. Застосовується інший підхід з використанням хеш зображень. В рамках даного методу вихідне зображення стискується до менших розмірів із збереженням необхідної деталізації. В результаті виходить бітовий вектор фіксованого розміру з простий метрикою. Завдяки цьому підходу ІІ порівнює однотипні зображення з урахуванням заданого статистичного відхилення. Однак ця технологія виявилася менш надійною і стійкою до помилок, ніж очікувалося.

Куди більш ефективним методом виявилосявикористання комп'ютерного зору. З його допомогою ІІ отримує інформацію про зображення за допомогою докладного розгляду конкретних пікселів і їх оточення. Для цього використовуються дескриптори - числові опису відносних змін фрагмента навколо пікселя. Цей процес дозволяє точніше оцінити варіативність відтінків сірого, в тому числі, виявити наявність градієнта і визначити його інтенсивність.

Пікселі, обрані алгоритмом, так званіточки інтересу, можна перевірити по оновлюваної бази даних дескрипторів після їх отримання. Однак одного факту наявності в зображенні пікселів, схожих на пікселі іншого, недостатньо, щоб зробити висновок про відповідність малюнка тому, що мається на базі. З цієї причини для порівняння просторових відносин між окремими пікселями зображення використовується метод «просторова верифікація».

а) Приклад допустимої просторової конфігурації пікселівб) Приклад, який був відхилений як неприпустимий

Просторова верифікація є джереломобґрунтованих даних, але для виключення можливих хибнопозитивних результатів додаються додаткові етапи, в тому числі, перевірка по хеш зображень.

Аналіз точок інтересу на зображенні, що міститьтекст, пов'язаний з проблемами. У таких зображеннях за замовчуванням є велика кількість градієнтів, так як літери і текстові елементи створюють безліч країв. Навіть невелика ділянка малюнка з буквами містить безліч точок інтересу, що часто призводить до помилкових спрацьовувань. Просторова верифікація тут безсила.

Щоб вирішити цю проблему, розробленопрограмне забезпечення, здатне аналізувати фрагменти зображення на наявність тексту. У цих випадках ІІ не використовуватиме в процесі порівняння картинок точки з таких ділянок.

Вся процедура перевірки виконується повністю вавтоматичному режимі. У 99% випадків вона допомагає розпізнати фішингових сайтів менш, ніж за десять секунд, і доступ підключених користувачів Avast до нього буде заблокований.

Виявлені фішингові сайти

Сучасні фішингові сайти - відмінні обманщики. Кіберзлочинці докладають великих зусиль для того, щоб вони виглядали, як справжні. На представлених нижче прикладах видно, наскільки фішингових сайтів може бути схожий на оригінал.

У дизайні шкідливої ​​версії відсутні логотипи додатків Google. Невеликі відмінності також є в кольорах призначеного для користувача аватара і пунктах вибору в сірому модулі входу в систему. Фішингових сайтів.Стара версія сторінки входу в Google.

З роками фішингові сайти значновдосконалилися, і виглядають дуже переконливо. Деякі з них навіть використовують протокол HTTPS, і «зелений замок» в рядку браузера дає користувачам помилкове відчуття безпеки.

Іконки фальшивого сайту авторизації Apple трохи відрізняються від оригінальних. На офіційній сторінці також використовується інша гарнітура шрифту. Фішингових сайтів.Сторінка входу Apple ID.

Маленькі недоробки фішинговою сторінкистають очевидні тільки при її порівнянні з оригінальним, надійним ресурсом. Самі по собі вони не привертають уваги. Спробуйте зараз згадати, як виглядає сторінка входу в сервіс, яким ви часто користуєтеся. Ви навряд чи зможете уявити дизайн у всіх подробицях - і саме на це розраховують шахраї, що створюють фальшиві сайти.

Як поширюється загроза?

Посилання на фішингові сайти найчастіше розсилаються в фішингових електронних листах, проте їх можна зустріти і в платних рекламних оголошеннях, які відображаються в результатах пошуку.

Найчастіше зловмисники створюють фейковий листи від відомих компаній, яким користувачі довіряють: банки, авіакомпанії, соціальні мережі.

Ще один вектор атаки - технологія під назвою«Клікбейт». Кіберзлочинці зазвичай використовують цей прийом в соціальних мережах: користувачі бачать привабливий заголовок на кшталт «Отримай безкоштовний телефон» або «бренд N з неймовірною знижкою» і натискають на шкідливе посилання.

Крім того, хакери можуть зламувати або створювати фейковий акаунти популярних людей і розміщувати шкідливі посилання в їх профілях і постах.

Що відбувається після того, як жертва клюнула на приманку?

Мета фішингу, як і практично будь-який іншийкібератаки, - отримання фінансової вигоди. Отримавши через фішингових сайтів реквізити користувача для входу, кіберзлочинець може використовувати їх різними способами, в залежності від типу сторінки-приманки. Якщо це шкідлива копія сайту фінансової установи - банку або компанії на кшталт PayPal, хакер отримає прямий доступ до грошей обманутого людини.

Отримані обманним шляхом логін і пароль длявходу на сайт транспортної компанії, наприклад, UPS або FedEx, звичайно, не принесуть негайного прибутку. Замість цього зловмисник може спробувати використовувати реквізити для отримання доступу до інших облікових записів з більш цінною інформацією - в тому числі, спробувати зламати електронну пошту жертви. Загальновідомо, що люди часто встановлюють один і той же пароль для входу в різні сервіси. Ще один спосіб доходу для кіберзлочинців - продаж вкрадених персональних даних в даркнета.

Це так званий механізм «безадресної атаки». В інтернеті є безліч застарілих сайтів на WordPress. Їх можна зламати за невелику вартість і використовувати для проведення фішингових кампаній. Ціна розгортання інструментів фішингу в середньому становить $ 26.

Як захистити себе

Між успішної фішинговою атакою і фактомвикористання вкрадених реквізитів кіберзлочинцями зазвичай проходить якийсь час. Чим швидше буде усунуто загрозу, тим більше потенційних жертв ми зможемо захистити. Якщо логін і пароль вже викрадено, користувачеві залишається лише поміняти їх, причому настільки швидко, наскільки це можливо.

Як захистити себе від однієї з найуспішніших технологій кібератак - фішингу:

  • В першу чергу, встановіть антивірус на всі ваші пристрої - ПК, Mac, смартфони і планшети. Антивірусне ПЗ - це страхувальна сітка, що захищає користувачів мережі.
  • Не переходьте за посиланнями в підозрілихелектронних листах і не завантажуйте додані до них файли. Не відповідайте на такий лист, навіть якщо, на перший погляд, воно прийшло від людини або організації, яким ви довіряєте. Замість цього зв'яжіться з адресатом по іншому каналу зв'язку, щоб підтвердити, що повідомлення дійсно надійшло з цього джерела.
  • Намагайтеся самостійно вводити адресу сайту в браузері в усіх випадках - це захистить вас від випадкового переходу на версію, створену шахраями.
  • «Зелений замок» протоколу HTTPS не єгарантією безпеки. Цей значок всього лише вказує на те, що з'єднання захищено шифруванням. Сайт, на якому ви перебуваєте, при цьому може бути фальшивим. Кіберзлочинці впроваджують шифрування на фішингових сайтах, щоб обдурити користувачів, тому особливо важливо перевіряти і перевіряти ще раз справжність ресурсу, яким ви користуєтеся.

У 2018 році фахівці Avast розслідувалирозсилки шкідливих листів зі зламаних акаунтів в MailChimp, випадки секс-фішингу та шахрайські кампанії, пов'язані з впровадженням регламенту GDPR. У майбутньому, за прогнозами експертів, обсяг фішингових атак виросте. З'являться нові способи маскування дій зловмисників, спрямованих на викрадення конфіденційних даних користувачів.

Facebook Notice for EU! You need to login to view and post FB Comments!