11 марта 2019

Визуальное распознавание фишинга: как с помощью ИИ и компьютерного зрения остановить киберпреступников

Главная цель киберпреступников — получение персональных данных пользователей, с помощью которых можно обогатиться. Это может быть доступ к банковским счетам или почтовым ящикам, на которых хранятся пароли. С помощью фишинговых ссылок на ненастоящие сайты, практически идентичные реальным ресурсам, злоумышленники легко заставляют пользователя самостоятельно ввести свою пару логин/пароль. Сегодня отличить фишинговый ресурс от настоящего человеку практически нереально, поэтому в дело вступает искусственный интеллект. Исследователь ИИ в Avast Томаш Трнк собрал способы защиты от фишинга и рассказал, как работают алгоритмы на основе компьютерного зрения, определяющие подставные сайты.

Фишинг — хорошо известный метод социальной инженерии, имеющий много различных форм: телефонные звонки, смишинг (фишинг по SMS — «Хайтек»), фишинговые электронные письма и сайты. С его помощью киберпреступники обманом выманивают конфиденциальные данные, например, реквизиты кредитной карты, логины и пароли.

Фишинговые ссылки, ведущие на вредоносные сайты, часто содержатся в письмах, которые, на первый взгляд, отправлены из надежных источников. Их пересылают в сообщениях социальных сетей и приложений вроде Facebook и WhatsApp. Они даже могут встречаться в поисковых строках, вводя пользователей в заблуждение. И бывает достаточно сложно определить, является ли сайт фишинговым. Многие из таких ресурсов практически идентичны копируемым сайтам. Фишинговые электронные письма обычно менее результативны, так как современные технологии распознают их как спам. Однако некоторые из них все же оказываются в папке «Входящие».

Причина популярности фишинга понятна — киберпреступники могут атаковать сразу большое количество людей. Чтобы противостоять массовым атакам пользователей, специалисты Avast используют технологию искусственного интеллекта (ИИ).

Распознавание фишинга с помощью ИИ

Для обмана людей злоумышленники создают сайты, которые весьма похожи на настоящие и надежные ресурсы. Визуального сходства зачастую оказывается достаточно, чтобы ввести в заблуждение доверчивых пользователей — они с легкостью оставляют свои учетные и другие конфиденциальные данные.

В теории киберпреступники могут использовать на фишинговых страницах те же изображения, что и на оригинальных ресурсах. Однако владельцы оригинальных сайтов способны увидеть на своих серверах ссылки на картинки, поставленные мошенниками. Кроме того, для создания точной копии сайта требуются время и усилия. В этом случае киберпреступникам пришлось бы воспроизводить дизайн на фишинговом ресурсе, обращая внимания на каждый пиксель. В итоге они подходят к задаче творчески и создают страницы, которые очень похожи на оригинальные, но при этом имеют незначительные отличия, малозаметные для среднестатистического пользователя.

У Avast имеется сеть, состоящая из сотен миллионов датчиков, которые снабжают ИИ данными. Avast проводит сканирование каждого сайта, на который пользователи заходят, и тщательно изучает популярность соответствующих доменов. При оценке того, следует ли загружать страницу, учитываются и другие факторы, например, сертификат веб-сайта, возраст домена и наличие подозрительных токенов в URL.

Срок жизни фишингового сайта обычно крайне невелик, и поисковые системы не успевают его индексировать. Это отражается на рейтинге домена. Его популярность и история также могут быть первыми признаками того, является ли страница безопасной или вредоносной. Проверив эту информацию и сравнив ее с визуальными характеристиками, система делает вывод о том, можно ли доверять сайту.

Фишинговая версия страницы входа в систему Orange.fr
Оригинальная версия страницы входа в систему Orange.fr

В сравнении видно, что эти страницы выглядят совершенно по-разному: вредоносная версия использует устаревший дизайн сайта Orange, а у оригинального сайта он более современный и безопасный, так как пароль запрашивается у пользователя на втором шаге, а не на одной странице одновременно с логином.

Очевидно, что домен фишингового сайта имеет очень низкий уровень популярности. В то же время рейтинг настоящей страницы Orange.fr — 7/10. Хотя дизайн фишингового ресурса очень напоминает прежнюю версию сайта Orange.fr, он не размещен ни на Orange.fr, ни на другом популярном домене. Эта информация, свидетельствующая о потенциальной опасности фальшивого сайта, запускает протокол более тщательного его изучения.

Анализ домена orangefrance.weebly.com — фишинговой версии сайта. Эти данные можно использовать для оценки его популярности.

Следующий этап — проверка дизайна. На первый взгляд, попиксельного сравнения фальшивого сайта с настоящим вполне достаточно. Это не так. Применяется другой подход с использованием хэшей изображений. В рамках данного метода исходное изображение сжимается до меньших размеров с сохранением необходимой детализации. В результате получается битовый вектор фиксированного размера с простой метрикой. Благодаря этому подходу ИИ сравнивает однотипные изображения с учетом заданного статистического отклонения. Однако эта технология оказалась менее надежной и устойчивой к ошибкам, чем ожидалось.

Куда более эффективным методом оказалось использование компьютерного зрения. С его помощью ИИ получает информацию об изображениях посредством подробного рассмотрения конкретных пикселей и их окружения. Для этого используются дескрипторы — числовые описания относительных изменений фрагмента вокруг пикселя. Этот процесс позволяет точнее оценить вариативность оттенков серого, в том числе, обнаружить наличие градиента и определить его интенсивность.

Пиксели, выбранные алгоритмом, так называемые точки интереса, можно проверить по обновляемой базе данных дескрипторов после их получения. Однако одного факта наличия в изображении пикселей, похожих на пиксели другого, недостаточно, чтобы сделать вывод о соответствии рисунка тому, который имеется в базе. По этой причине для сравнения пространственных отношений между отдельными пикселями изображения используется метод «пространственная верификация».

а) Пример допустимой пространственной конфигурации пикселей
б) Пример, который был отклонен как недопустимый

Пространственная верификация является источником обоснованных данных, но для исключения возможных ложноположительных результатов добавляются дополнительные этапы, в том числе, проверка по хэшам изображений.

Анализ точек интереса на картинке, содержащей текст, сопряжен с проблемами. В таких изображениях по умолчанию имеется большое число градиентов, так как буквы и текстовые элементы создают множество краев. Даже небольшой участок рисунка с буквами содержит множество точек интереса, что часто приводит к ложным срабатываниям. Пространственная верификация здесь бессильна.

Чтобы решить эту проблему, разработано программное обеспечение, способное анализировать фрагменты изображения на наличие текста. В этих случаях ИИ не будет использовать в процессе сравнения картинок точки с таких участков.

Вся процедура проверки выполняется полностью в автоматическом режиме. В 99% случаев она помогает распознать фишинговый сайт менее, чем за десять секунд, и доступ подключенных пользователей Avast к нему будет заблокирован.

Обнаруженные фишинговые сайты

Современные фишинговые сайты — отличные обманщики. Киберпреступники прилагают большие усилия для того, чтобы они выглядели, как настоящие. На представленных ниже примерах видно, насколько фишинговый сайт может быть похож на оригинал.

В дизайне вредоносной версии отсутствуют логотипы приложений Google. Небольшие отличия также есть в цветах пользовательского аватара и пунктах выбора в сером модуле входа в систему. Фишинговый сайт.
Старая версия страницы входа в Google.

С годами фишинговые сайты значительно усовершенствовались, и выглядят очень убедительно. Некоторые из них даже используют протокол HTTPS, и «зеленый замок» в строке браузера дает пользователям ложное ощущение безопасности.

Иконки фальшивого сайта авторизации Apple немного отличаются от оригинальных. На официальной странице также используется другая гарнитура шрифта. Фишинговый сайт.
Страница входа Apple ID.

Маленькие недоработки фишинговой страницы становятся очевидны только при ее сравнении с оригинальным, надежным ресурсом. Сами по себе они не привлекают внимания. Попытайтесь сейчас вспомнить, как выглядит страница входа в сервис, которым вы часто пользуетесь. Вы вряд ли сможете представить дизайн во всех подробностях — и именно на это рассчитывают мошенники, создающие фальшивые сайты.

Как распространяется угроза?

Ссылки на фишинговые сайты чаще всего рассылаются в фишинговых электронных письмах, однако их можно встретить и в платных рекламных объявлениях, которые отображаются в результатах поиска.

Чаще всего злоумышленники создают фейковые письма от известных компаний, которым пользователи доверяют: банки, авиакомпании, социальные сети.

Еще один вектор атаки — технология под названием «кликбейт». Киберпреступники обычно используют этот прием в социальных сетях: пользователи видят заманчивый заголовок вроде «Получи бесплатный телефон» или «бренд N с невероятной скидкой» и нажимают на вредоносную ссылку.

Кроме того, хакеры могут взламывать или создавать фейковые аккаунты популярных людей и размещать вредоносные ссылки в их профилях и постах.

Что происходит после того, как жертва клюнула на приманку?

Цель фишинга, как и практически любой другой кибератаки, — получение финансовой выгоды. Получив через фишинговый сайт реквизиты пользователя для входа, киберпреступник может использовать их различными способами, в зависимости от типа страницы-приманки. Если это вредоносная копия сайта финансового учреждения — банка или компании вроде PayPal, хакер получит прямой доступ к деньгам обманутого человека.

Полученные обманным путем логин и пароль для входа на сайт транспортной компании, например, UPS или FedEx, конечно, не принесут немедленной прибыли. Вместо этого злоумышленник может попытаться использовать реквизиты для получения доступа к другим учетным записям с более ценной информацией — в том числе, попробовать взломать электронную почту жертвы. Общеизвестно, что люди часто устанавливают один и тот же пароль для входа в различные сервисы. Еще один способ дохода для киберпреступников — продажа украденных персональных данных в даркнете.

Это так называемый механизм «безадресной атаки». В интернете имеется множество устаревших сайтов на WordPress. Их можно взломать за небольшую стоимость и использовать для проведения фишинговых кампаний. Цена развертывания инструментов фишинга в среднем составляет $26.

Как защитить себя

Между успешной фишинговой атакой и фактом использования украденных реквизитов киберпреступниками обычно проходит какое-то время. Чем быстрее будет устранена угроза, тем больше потенциальных жертв мы сможем защитить. Если логин и пароль уже похищены, пользователю остается лишь поменять их, причем настолько быстро, насколько это возможно.


Как защитить себя от одной из самых успешных технологий кибератак — фишинга:

  • В первую очередь, установите антивирус на все ваши устройства — ПК, Mac, смартфоны и планшеты. Антивирусное ПО — это страховочная сетка, защищающая пользователей сети.
  • Не переходите по ссылкам в подозрительных электронных письмах и не скачивайте приложенные к ним файлы. Не отвечайте на такое письмо, даже если, на первый взгляд, оно пришло от человека или организации, которым вы доверяете. Вместо этого свяжитесь с адресатом по другому каналу связи, чтобы подтвердить, что сообщение действительно поступило из этого источника.
  • Старайтесь самостоятельно вводить адрес сайта в браузере во всех случаях — это защитит вас от случайного перехода на версию, созданную мошенниками.
  • «Зеленый замок» протокола HTTPS не является гарантией безопасности. Этот значок всего лишь указывает на то, что соединение защищено шифрованием. Сайт, на котором вы находитесь, при этом может быть фальшивым. Киберпреступники внедряют шифрование на фишинговых сайтах, чтобы обмануть пользователей, поэтому особенно важно проверять и перепроверять подлинность ресурса, которым вы пользуетесь.

В 2018 году специалисты Avast расследовали рассылки вредоносных писем со взломанных аккаунтов в MailChimp, случаи секс-фишинга и мошеннические кампании, связанные с внедрением регламента GDPR. В будущем, по прогнозам экспертов, объем фишинговых атак вырастет. Появятся новые способы маскировки действий злоумышленников, направленных на похищение конфиденциальных данных пользователей.