Analýzy hrozeb

Pokroky ve vizuální detekci phishingu

Tomas Trnka, 6. února 2019

Chraňte se před phishingovými útoky pomocí následujících osvědčených postupů a s využitím naší vylepšené AI pro detekci phishingu.

Phishing představuje dlouhodobě známou techniku sociálního inženýrství používanou hackery k podvodnému vylákání citlivých informací, např. čísel kreditních karet a přihlašovacích údajů, z uživatelů. Může mít různou podobu, např. telefonní phishing, smishing (SMS phishing), phishingové e-maily a phishingové weby.

Phishingové odkazy na škodlivé stránky mohou být zasílány v e-mailech, které působí jako odeslané z legitimního zdroje. Mohou být rovněž připojeny ke zprávám v sociálních sítích a aplikacích jako Facebook či WhatsApp. Mohou se rovněž klamně zobrazovat ve výsledcích vyhledávačů.

Phishingové weby lze identifikovat jen velmi těžko. Ve snaze obelstít oběti a přimět je k vyzrazení osobních informací stránky vypadají často k nerozeznání od těch, které imitují. Phishingové e-maily jsou obvykle méně úspěšné díky pokročilým technologiím, které je zařadí mezi spam. Některé phishingové e-maily a odkazy však stále dokážou proniknout do schránky s doručenou poštou.

Phishing nadále zůstává nejčastěji používanou metodou útoků, protože umožňuje počítačovým zločincům cílit na mnoho lidí najednou. Útočníci se při rozesílání podvodných e-mailů obvykle vydávají za zástupce velkých společností, u nichž mají zamýšlené oběti své účty.

Společnost Avast využívá umělou inteligenci (AI) k detekci phishingových útoků a ochraně uživatelů před malwarem a nebezpečnými weby.

Falešné webové stránky

Abychom posílili své schopnosti detekce phishingu, snažili jsme se uvažovat jako počítačoví zločinci. Počítačový zločinec vytvoří phishingový web, který vypadá skoro jako legitimní stránka, aby se mu podařilo uživatele obelstít. Vizuální podobnost je obvykle dostačující, aby důvěřivý uživatel zadal své přihlašovací údaje a další citlivá data požadovaná škodlivým webem.

Teoreticky mohou počítačoví zločinci na svém phishingovém webu použít tytéž grafické prvky jako stránka, kterou napodobují. Vlastníci legitimních webů však dokážou zjistit, že na obrázek, který je uložen na jejich serveru, odkazuje nějaká podvodná stránka.

Vytvoření přesné repliky webu také vyžaduje hodně času a úsilí. Počítačoví zločinci by museli zajistit, aby byl phishingový web správně kódován do posledního pixelu. Proto se snaží sestavit stránky tak, aby co nejlépe připomínaly originál, avšak s nepatrnými rozdíly, kterých si běžný uživatel nemusí všimnout.

Ačkoli naše detekční moduly označují phishingové weby na základě obsahu HTML, důmyslnější metody používané počítačovými zločinci k vytváření phishingových stránek dokážou antivirovou detekci obejít. Náš přístup využívající AI zahrnuje i tyto techniky detekcí stránek, které duplikují obrázky z legitimních webů namísto normálního zobrazení stránky, či stránek s komplikovaným javascriptem, který by se detekci mohl vyhnout.

Detekce phishingu pomocí AI

Avast provozuje síť stovek milionů senzorů, které naší AI poskytují data přispívající k rychlejší detekci hrozeb a lepší ochraně uživatelů. Za tímto účelem testujeme všechny weby, které naši uživatelé navštíví, a pečlivě zkoumáme oblíbenost domén, v nichž jsou tyto weby hostovány. Posuzujeme i další faktory jako certifikát webu, stáří domény a podezřelé tokeny URL, abychom zjistili, zda stránku lze či nelze zpracovat.

Životnost většiny phishingových stránek je velmi krátká – tak krátká, že je vyhledávače nestihnou indexovat. To se projevuje v hodnocení domény. Oblíbenost a historie domény mohou být prvotními indikátory toho, zda je stránka bezpečná či škodlivá. Prověřením těchto skutečností a porovnáním vizuálních vlastností stránky můžeme rozhodnout, zda je stránka čistá či škodlivá.

Podívejme se podrobně na phishingovou stránku, kterou naše AI nedávno odhalila. Je imitací přihlašovací stránky na webu francouzské telekomunikační společnosti Orange (Orange.fr).

Phishingová verze:

orange-fr-screen-capture-1

Skutečná přihlašovací stránka orange.fr:

orange-fr-real-web-page-2

Liší se již na první pohled. Škodlivá verze používá starý vzhled webu Orange, zatímco pravá stránka má modernější a bezpečnější design s vyzváním uživatele k zadání hesla ve druhém kroku namísto políček pro uživatelské jméno a heslo na jedné stránce.

Následující obrázek znázorňuje hodnocení phishingového webu několika různými službami, které lze použít jako ukazatel popularity:

domain-analysis-for-orange-france-websiteAnalýza domény orangefrance.weebly.com – phishingové verze webu

Je patrné, že doména phishingového webu je velmi nepopulární. Naopak legitimní stránka orange.fr má hodnocení 7/10. Phishingový web je sice velmi podobný původní podobě webu orange.fr, avšak není hostován na drese orange.fr ani jiné oblíbené doméně. Tyto informace znamenají, že podobný web je potenciálně nebezpečný, což aktivuje protokol pro hlubší prověření.

Dalším krokem je prověření designu webu. Můžete si myslet, že jednoduché porovnání falešné a čisté stránky pixel po pixelu je postačující. Není tomu tak. Vyzkoušeli jsme jiný přístup s využitím obrazových hashů – metody komprese bohatých obrazových dat do menšího (ale stále významného) prostoru, např. vektoru bajtů s pevnou velikostí a s jednoduchou metrikou. Tento přístup umožňuje AI posuzovat podobné obrázky, pokud nepřekročí určitou mez vzdálenosti. Tato technika však nebyla dostatečně robustní.

Proto jsme hledali jiné způsoby přesnější kontroly designu webů a nakonec jsme se rozhodli využít klasické metody počítačového vidění. Pomocí těchto metod jsou obrázky předávány AI s podrobným pohledem na konkrétní pixely a také pixely v jejich sousedství. K tomu slouží deskriptory, což jsou vektory čísel, které popisují relativní změny plochy v okolí pixelu. Pomocí tohoto procesu můžeme lépe porozumět měnícím se intenzitám v obrázku ve stupních šedé, např. všimnout si, zda obsahuje přechod a jak je tento přechod výrazný.

Pixely zvolené naším algoritmem budeme nyní označovat jako body zájmu. Po získání deskriptorů obrazu můžeme body zájmu porovnat s naší databází uložených deskriptorů. Jak již bylo uvedeno, obraz obsahující pixely podobné jinému obrazu není dostatečný pro stanovení, jak moc se daný obraz podobá obrazu z naší cílové sady. Proto zavádíme další krok, který je označován jako prostorová verifikace – tato technika slouží k porovnání prostorových vztahů mezi určitými pixely v obrázku.

Zde je přijatý příklad prostorové konfigurace pixelů:

spatial-verification-example

A tento příklad byl odmítnut:

rejected-spatial-verification-example

Prostorová verifikace poskytuje dostatečně spolehlivé výsledky, ale abychom se vyhnuli falešně pozitivním detekcím, zavedli jsme další kroky, například již zmíněné obrazové hashe.

Obvyklý problém při detekci bodů zájmu v obrázku nastává, když obrázek obsahuje text. Texty a písmena obsahují řadu přechodů, které z podstaty vytvářejí velké množství okrajů. Když obrázek obsahuje velké množství textu, znamená to, že je velké množství bodů zájmu na malém prostoru, což může vést k falešně pozitivním detekcím i při použití prostorové verifikace.

Z tohoto důvodu jsme vyvinuli software, který dokáže klasifikovat jednotlivé plochy v rámci obrazů a určit, zda daná plocha obsahuje text. V takových případech naše AI nepoužije během porovnávání body z této plochy.

Celý postup je automatický a v 99 procentech je phishingový web rozpoznán za méně než deset sekund, což nám umožňuje zablokovat přístup ke škodlivé stránce našim připojeným uživatelům.

Odhalené phishingové weby

Moderní phishingové weby jsou velmi záludné. Počítačoví zločinci vyvíjejí značné úsilí, aby vypadaly co nejpřesvědčivěji. Následující příklady znázorňují phishingový web, který je velmi podobný svému autentickému protějšku.

google-phishing-login-vs-real-login-webpage

Na výše uvedeném příkladu Google si lze všimnout drobných detailů, kterými se phishingový web odlišuje od skutečné přihlašovací stránky. Phishingová verze neobsahuje loga aplikací Google. Používá rovněž odlišné barvy avatara účtu uživatele a nabízí částečně odlišné možnosti v šedém přihlašovacím okně.

Zde je další příklad:

apple-id-login-page-phishing-page-vs-real-page

Falešná přihlašovací stránka Apple obsahuje trochu jiné ikony. Používá rovněž trochu jiné písmo než oficiální stránka. Jedná se o nepatrné rozdíly, takže uživatel, který se po nich záměrně nedívá, si jich nemusí všimnout.

Phishingové weby se během několika let vyvinuly do podoby přesvědčivých padělků. Některé dokonce využívají protokol HTTPS, což dodává uživatelům falešný pocit bezpečnosti.

Drobné nedostatky ve phishingové stránce mohou být patrné, když je bezprostředně porovnáváte s pravou stránkou, ale při samostatném zobrazení si jich nemusíte všimnout. Vzpomeňte si, kdy jste se naposledy dívali na přihlašovací stránku služby, kterou často používáte. Asi si těžko vzpomenete na všechny detaily a přesně na to phishingoví podvodníci spoléhají, když tvoří své stránky.

Jak je hrozba rozšířena?

Historicky bylo nejobvyklejším způsobem šíření phishingových webů rozesílání phishingových e-mailů, ale využívány jsou i placené reklamy, které se zobrazují mezi výsledky vyhledávání. Mezi další způsoby útoků patří technika nazývaná clickbait. Počítačoví zločinci obvykle používají clickbait na sociálních médiích v podobě lákavých slibů, např. telefonu zdarma, kterými uživatele přimějí kliknout na škodlivý odkaz.

Co se stane v případě úspěšného phishingového útoku?

Stejně jako téměř všechny kybernetické útoky je i phishing používán pro účely finančního zisku. Když uživatelé vyzradí své přihlašovací údaje na phishingové stránce, počítačoví zločinci je mohou zneužít řadou způsobů podle typu stránky, která byla k phishingu použita. Mnoho phishingových útoků imituje peněžní instituce jako banky a společnosti typu Paypal – tyto cíle mohou počítačovým zločincům přinést významný finanční zisk.

Pokud počítačový zločinec vyláká z uživatele přihlašovací údaje k webu doručovací společnosti, např. UPS nebo FedEx, pravděpodobně z přístupu přímo k těmto účtům žádný zisk mít nebude. Může ale zkusit použít stejné přihlašovací údaje pro přístup k jiným účtům s cennějšími informacemi, např. k e-mailovému účtu, s vědomím, že lidé mají často nastaveno stejné heslo pro více různých služeb. Dalším způsobem, jakým může počítačový zločinec dosáhnout zisku, je prodej zcizených přihlašovacích údajů na darkwebu.

Tento mechanismus útoku se nazývá „spray and pray“. Na webu existuje mnoho zastaralých stránek WordPress, které lze hacknout a použít k phishingovým kampaním při velmi nízkých nákladech. Cena za nasazení phishingové sady obvykle odpovídá přibližně 26 dolarům.

Jak se ochránit

Doba mezi úspěšným provedením phishingového útoku a zneužitím přihlašovacích údajů počítačovým zločincem se liší. Čím rychleji dokážeme na hrozbu reagovat, tím více potenciálních obětí ochráníme. Když dojde k odcizení přihlašovacích údajů, jediné, co může uživatel udělat, je to, že své přihlašovací údaje co nejdříve změní.

V roce 2018 jsme dosud zaznamenali mimo jiné škodlivé e-maily rozesílané z napadených účtů MailChimp, vydírání typu sextortion a phishingové kampaně v souvislosti s GDPR. Dále lze očekávat, že se objem phishingových útoků ještě zvýší a objeví se nové techniky kamuflující snahu počítačových zločinců odcizit citlivá data uživatelů.

Následující seznam obsahuje rady, jejichž dodržováním můžete předejít tomu, že se stanete obětí jedné z nejúspěšnějších forem kybernetických útoků:

  • Nejdůležitější je, abyste ve všech zařízeních, ať je to počítač s Windows, mobilní telefon nebo Mac, měli nainstalován antivirový program. Antivirový software slouží jako bezpečnostní síť, která chrání uživatele online.
  • Neklikejte na odkazy ani nestahujte soubory z podezřelých e-mailů. Neodpovídejte na ně, a to ani v případě, že se tváří, jako by byly odeslány důvěryhodnou osobou. Zkuste naopak kontaktovat tyto osoby jiným způsobem a ověřit, zda zpráva skutečně pochází od nich.
  • Vždy, když je to možné, zadávejte adresu URL přímo do prohlížeče, abyste zobrazili přímo požadovanou stránku a ne její podvodnou kopii.
  • Nespoléhejte pouze na zelený zámek HTTPS. To sice znamená, že připojení je šifrováno, ale stránka samotná může být falešná. Počítačoví zločinci své stránky šifrují, aby tak uživatele ještě více zmátli, proto je nutné pečlivě zkontrolovat, zda je zobrazená stránka skutečně ta pravá.

Avast je globální jednička v kybernetickém zabezpečení, která chrání stovky milionů uživatelů z celého světa. Ochraňte všechna svá zařízení naším mnohokrát oceněným bezplatným antivirem. Chraňte své soukromí a šifrujte své online připojení pomocí SecureLine VPN.

Další informace o produktech na ochranu svého digitálního života najdete na webu avast.com. Zpravodajství o aktuálních kybernetických hrozbách a informace, jak se jim bránit, najdete na webu blog.avast.com.