Обзор антифишинговых технологий Текст научной статьи по специальности «Компьютерные и информационные науки»

ТЕХНИЧЕСКИЕ НАУКИ

ОБЗОР АНТИФИШИНГОВЫХ ТЕХНОЛОГИЙ Сторчак С.А.

Сторчак Сергей Александрович - аспирант, кафедра безопасности информационных технологий, Институт компьютерных технологий и информационной безопасности, Южный федеральный университет, г. Таганрог

Аннотация: в статье рассматриваются распространенные эвристические технологии, которые используются в антифишинговых средствах защиты. Также описаны их достоинства и недостатки. Ключевые слова: фишинг, эвристический анализ, фавикон.

Фишинг - это вид мошенничества, посредством которого злоумышленники получают личную информацию пользователя (логины, пароли, реквизиты платежных документов).

Распространение фишинга может осуществляться через электронную почту, приложения для обмена сообщениями (Skype, WhatsApp и т.п.), социальные и профессиональные сети (Вконтакте, Linkedin и т.п.) и другие веб-ресурсы, имеющие большую посещаемость (новостные сайты, тематические форумы, доски объявлений и т.п.).

Фишинг может быть в виде гиперссылки, ведущей на поддельный сайт, где требуется ввести личные данные пользователя, либо в виде вредоносного приложения, которое может содержать следующий функционал: перехват вводимых символов с клавиатуры, кража паролей с операционной системы и браузеров, запись аудио и видео, передача личной информации и взаимодействие с C&C-сервером злоумышленника.

Наибольший ущерб фишинг наносит финансовой сфере. Ежедневно жертвами финансового фишинга в России становится более 900 клиентов банков, что в три раза превышает ежедневное количество жертв от вредоносных программ [2].

Системой IBM X-Force ежедневно фиксируется более восьми миллионов спама и фишинговых атак [1].

Это указывает на то, что фишинговые атаки являются актуальной угрозой для всех сфер деятельности.

На сегодняшний момент используются антифишинговые технологии, основанные на эвристических алгоритмах и репутационных базах (белые и черные списки).

Далее будут рассмотрены распространенные эвристические технологии, которые используются для обнаружения фишинговых ссылок.

- IP-адрес в URL. Большинство легитимных веб-ресурсов регистрируют доменное имя. Фишеры - злоумышленники, которые совершают фишинговые атаки, - часто экономят на регистрации домена. В результате этого на фишинговых сайтах вместо домена в URL-адресе указывается ip-адрес вредоносного веб-сервера, например, http://104.131.37.183/itau.

- Точки в URL: В URL-адресе точки используются для указания на поддомен. Злоумышленники могут создавать домены третьего уровня и выше для того, чтобы адрес сайта выглядел как законный, например, http://settings-upgrade.000webhostapp.com/.

- Подозрительные символы. Фишеры используют специальные символы в имени домена, чтобы обмануть невнимательного пользователя. Часто в URL фишинговой страница можно встретить спецсимволы «@», «&», «-» и «_», например, https://team-update-informations-account.com/.

- Слеши в URL: В URL косые черты (слеши) указывают на наличие подпапок. В результате компрометации легитимного сайта фишер может в имеющуюся подпапку (или вновь созданную) загрузить фишинговую страницу. В результате чего пользователь будет думать, что вводит чувствительные данные на легальном сайте. Пример: http://www.carisma.org.br/css/netflix11/.

- Наличие SSL-сертификата. Данные сертификат указывает на использование защищенного соединения для безопасной передачи данных между клиентом и вебсервером. SSL-сертификаты бывают начального уровня (DomainSSL), бизнес-уровня (OrganizationSSL) и расширенного уровня доверия (ExtendedSSL). Приобретение ExtendedSSL - дорогое удовольствие для злоумышленников. А вот сертификат начального уровня доверия можно получить абсолютно бесплатно, например, в удостоверяющем центре Let's Encrypt. Большинство легитимных сайтов имеют SSL-сертификаты.

- Пустые якоря или якоря, ведущие на сторонние веб-ресурсы. Якорем (англ. anchor) называется HTML-элемент, который содержит ссылку для перехода на определенное место данной веб-страницы или на закладку из другой веб-страницы. Поддельный сайт часто имеет множество пустых якорей или якорей, которые ведут на сторонние веб-ресурсы, что является редкостью для легитимных сайтов [3].

- Позиция URL и/или домена в поисковых системах Google, Bing и Yahoo. Вновь созданные фишинговые сайты не успевают проиндексироваться поисковыми роботами, в результате чего информация о них отсутствует в результатах поисковых запросов [4].

Все вышеперечисленные эвристические алгоритмы обнаружения фишинга имеют как достоинства, так и недостатки. Рассмотрим некоторые из них.

Фишинговые сайты, которые используют IP-адреса в URL, подозрительные символы или расположены на доменах третьего уровня и выше, используются для массовых атак и легко могут быть обнаружены сотрудниками компаний, которые проходили обучение по повышению осведомленности по информационной безопасности. Использование злоумышленниками пустых якорей или якорей, ведущие на сторонние веб-ресурсы также указывает на низкое качество атаки и их массовую направленность. Эвристика «слеши в URL» позволяет обнаруживать поддельную страницу только на взломанных сайтах. Сведения о позиции домена в поисковых системах увеличит вероятность ошибки второго рода, если атака происходит с зараженного легитимного домена, и вероятность ошибки первого рода -для недавно зарегистрированных легитимных доменов. Ложных срабатываний не избежать и при проверке наличия SSL-сертификата. т.к. четверть фишинговых атак происходит с доменов, использующих HTTPS-протокол [5].

Разрабатываемая в рамках научной работы эвристическая технология, основанная на анализе содержимого веб-ресурса, а именно, на анализе фавиконок (маленького изображения, которое отображается на вкладке браузера слева от заголовка открытой вебстраницы), способна обнаруживать целенаправленные фишинговые атаки, которые проводятся с вновь зарегистрированных доменов и поддоменов третьего уровня и выше, но неэффективна против фишинга, осуществляемого с взломанных легитимных сайтов.

Таким образом, каждая антифишинговая технология разработана под конкретную задачу, и лишь использование в совокупности всех этих технологий с применением алгоритмов машинного обучения позволяет с высокой долей вероятности подтвердить или опровергнуть вредоносность веб-ресурса.

Список литературы

1. IBM Security. IBM X-Force Threat Intelligence Index 2017 [Электронный ресурс].

URL: https://www.ibm.com/security/data-breach/threat-intelligence/ (дата обращения:

10.04.2019).

2. Group-IB. Hi-Tech Crime Trends 2017 [Электронный ресурс]. URL: https://www.pacifica.kz/upload/Group-IB_Hi-Tech_Crime_Trends_2017.pdf/ (дата обращения: 03.03.2019).

3. Patil R., Dhamdhere B.D., Dhonde K.S., Chinchwade R.G., Mehetre S.B. A hybrid model to detect phishing sites using clustering and bayesian approach // IEEE International Conference for Convergence of Technology (I2CT), 2014.

4. Ram B. Basnet, Tenzin Doleck. Towards Developing a Tool to Detect Phishing URLs: A Machine Learning Approach // IEEE International Conference on Computational Intelligence & Communication Technology. 2015.

5. Официальный блог PhishLabs. A Quarter of Phishing Attacks are Now Hosted on HTTPS Domains: Why? [Электронный ресурс]. URL: https://info.phishlabs.com/blog/quarter-phishing-attacks-hosted-https-domains/ (дата обращения: 23.12.2018).