Исходя из результатов тестирования на выборке из 100 сайтов, святых с различных публичных баз фишинговых сайтов, можно сделать вывод, что расширение, наиболее эффективно справляющееся с предупреждением пользователя о фишинге -- Online Security Pro. Несмотря на то, что оно распознало и заблокировало 63 сайта из 100, оно все же значительно уступает по эффективности работе браузера Google Chrome. В большинстве случаев, при попытке перейти на подозрительную страницу, реагировал непосредственно сам браузер. Пример предупреждающего окна Google Chrome на рисунке 6:

Рисунок 6. Предупреждение о переходе на сайт с плохой репутацией от браузера GoogleChrome

Помимо реагирования браузера, в процессе тестирвоания блокировка мошеннических сайтов осуществлялась различными онлайн-сервисами, в частности, сервисами https://tinyurl.com/ и https://phish.opendns.com/. Спустя 5 дней, при повторном запуске всех сайтов, автор обнаружил, что количество отобранных для тестирования сайтов, заблокированных этими сервисами выросло.

Для проверки работы браузера были отключены все расширения, способные препятствовать переходу на подозрительные страницы. Исходя из этого, можно сделать вывод о том, что применение расширений для защиты от фишинг атак, использующих черные списки - практически бессмысленно.

Для того, чтобы сайт попал в публичный черный список, должно быть соблюдено множество условий, как правило, он туда попадает после многочисленных жалоб посетителей, отчетов антивирусных программ и т.п. По этой причине отдельные фишинговые страницы, созданные и добавленные в черный список совсем недавно, не вызывают никакой реакции ни со стороны браузера, ни со стороны расширения.

Это подтверждает то, что ни один сайт не отреагировал на 20 фишинговых страниц, созданных в процессе исследования, реализации фишинг-атак и атак социальной инженерии на рабочем месте автора в компании ООО «Непрерывные технологии».

2.2 Алгоритм выявления фишинговых страниц

Протестировав работу отобранных расширений, было определено, что они хорошо срабатывают при защите от уже известных в интернете атак, которые успели попасть в публичные черные списки. Такие фишинг-атаки, как правило, массовые, по охвату похожи на спамовые рассылки.

Самый частый сценарий фишинговой атаки посредством создания страницы, имитирующей легитимную, выглядит так:

1. Хакер рассылает персонализированные сообщения по почте/мессенджерам и др. Для увеличения конверсии, от хакера требуется сделать правдоподобным все - начиная от стиля письма и заканчивая схожестью адресной строки;

2.Пользователь, увидев сообщение, принимает его за настоящее, переходит по ссылке и далее видит знакомый интерфейс;

3. Не заметив подвоха, пользователь вводит свои конфиденциальные данные или загружает вредоносный файл;

4. После ввода информации в фишинговую страницу, она автоматически попадает в руки злоумышленников. Загруженный файлы содержат вредоносное ПО и могут совершать сбор информации, запускать или отключать программы и т.п.

5. Хакер проникает в сеть и крадет информацию, данные банковских карт или шифрует данные для требования выкупа.

Целью подобного обмана является заманивание пользователя на фиктивный сайт, имитирующий легитимный, чтобы похитить его персональную или иную конфиденциальную информацию. Также, нередки случаи в последствие заражения компьютера трояном. Компьютер пользователя может быть подключен к ботнет-сети и использоваться в самых разных направлениях, таких как рассылка спама, участие в DDOS, и даже сбора данных с компьютера для дальнейшей их передачи мошеннику. [16]

Задачей стало создание расширения, которое бы реагировало на даже небольшие изменения в URL, которые могут остаться незаметными человеческому глазу, это также касается и популярного способа подделки легитимных сайтов -- использования паникода в URL. Иными словами, расширение должно уметь защищать от паникода, тайпсквоттинга, омографических атак.

Для защиты от подобных атак предлагается алгоритм:

· Пользователю предоставляется возможность создания черных и белых листов веб-страниц;

· При добавлении сайта в «белый» лист, с помощью открытого программного обеспечения, генерируются различные мутации URL. Программные модули DNStwist и OpenDNS обычно используются злоумышленниками при подготовке к фишинг-атакам;

· Мутации сайтов из «белого» листа хранятся в «черном» списке;

· Далее, при переходе пользователем на сайт, схожий на легитимный и имеющий при этом совпадения в длине домена, наличии паникода и др. пользователь получит предупреждение о том, что, скорее всего он находится на фишинговом сайте. Всплывающее окно оставляет за пользователем право добавить открытую страницу в белый или черный список список.

Такой подход позволит снизить вероятность фишинг-атак через адресную строку

Но нередко адресная строка имеет совершенно иную структуру или строение, которые программа не может распознать напрямую. Также,часто основной упор злоумышленника делается на визуальную схожесть сайтов. Как было уже описано в 1 главе, распознавание сайта по его «внешним признакам» возможно осуществить несколькими путями.

Первый из них, это использование расстояния Левенштейна или иначе говоря редакторского расстояния.

Расстояние Левенштейна -- это самое наименьшее число необходимых операций вставки, удаления или замены одного символа на иной для превращения одной строки в другую.

Второй же способ заключается в анализе метаданных сайта, который предположительно является фишинговым. Практика показывает, что злоумышленники зачастую не утруждают себя и используют в html-коде на фишинговых страницах ссылки на легитимные сайты. Это главным образом касается фавиконок (от англ.FAVorites ICON) - значков веб-сайтов. Таким образом, целесообразно будет проводить анализ соответствия данных из URL и данных, которые указаны в ссылках html-кода. Данный способ определения фишинговой страницы по внешним признакам также более быстр и прост в использовании.

Так как веб страница это структурированный текст, то можно сравнивать именно html структуру. Чаще всего мошенники просто копируют html код с оригинальной страницы. Правда, в случае, если мошенники будут использовать вместо букв, например, картинки или просто вставят скриншот оригинального сайта, программа не заподозрит мошенничества.

Для исключения ложных срабатываний, изучение метаданных иhtml структуры страницы можно проводить только для тех сайтов,хостнеймы которых состоят от 5 и менее символов.

Изучив существующие расширения для браузера аналогичной направленности, выделив их недостатки и достоинства, было решено реализовать следующий алгоритм работы расширения:

1. Создание списка самых критичных сайтов пользователем или организацией

2. пользователь добавляет сайт в белый список

2.1. если количество символов в хостнейме более 5:

· из доменов на сервере генерируются различные мутации домена с учетом паникода;

· определяется, есть ли в URL замены в словах, например, замену “mail” => “maii” можно найти по словарю

2.2. если количество символов в хостнейме равно или менее 5:

· определение фишинга по анализу контента страницы, исходя из упоминания оригинального домена или наличия тега <basehref в html-коде

3. При нахождении сайта в черном списке, или же при отсутствии соответствия ссылок в html-коде страницы генерируется предупреждение:

· «Вы точно хотите перейти на сайт ****, в нем присутствует опечатка/подозрительные элементы и т.п.?»

· «Внимание, метаданные данного сайта ссылаются на ****, возможно это фишинг»

4. В расширении может присутствовать универсальный черный список для самых популярных сайтов

Процесс разработки расширения можно разделить на создание:

· серверной части расширения;

· клиентской части;

На рисунке 7 представлен алгоритм работы серверной части расширения для браузера в формате блок-схемы:

Рисунок 7. Блок-схема серверной части расширения

Как можно увидеть на блок-схеме, первым этапом в работе расширения является процесс ввода URL, далее, для того, чтобы привести информацию в единый вид, упорядоченный список, из URL извлекается hostname.

Блок-схема содержит циклы, которые выполняются до тех пор, пока извлеченный hostname не будет сравнен с каждым из списка.

На рисунке 8 представлена другая блок-схема, описывающая клиентскую часть расширения.

Рисунок 8. Блок-схема алгоритма клиентской части расширения

Согласно описанному алгоритму, программа после получения URL ищет его наличие в локальном хранилище. При отрицательному результате, URL отправляется на сервер. После выполнения серверной части расширения пользователь получает предупреждение, в случае фишинга или же страница перезагружается.

В случае, когда пользователь добавляетв белый список извлеченный из URLхостнейм, равный или менее 5 символов, черный список пополняется всеми возможными мутациями хостнейма, которые могут быть фишинговыми. При таком раскладе, весьма высока вероятность ложных срабатываний, так как хостнеймы такой длины очень распространены и среди легитимных сайтов, и, соответственно, среди фишинговых. По причине минимизации ложных срабатываний расширение будет включать дополнительные меры - распознавание содержимого html-кода исследуемого сайта.

Если хостнейм сайта, на который перешел пользователь, находится в черном списке на сервере расширения, и количество символов ? 5, то расширение обращается к коду страницы и выделяет в нем метаинформацию.

На рисунке ниже представлен алгоритм распознавания расширением контента сайта. Он используется в случае, когда количество символов в hostname менее или равно 5. В ином же случае выполняется алгоритм, изображенный на рисунке 9.

После введения URL, hostname которого меньше или равен 5, программа извлекает метаинформацию из html содержимого страницы. Затем, из метаинформации извлекаются ссылки на:

· изображения фавикон;

· OpenGraph.

На рисунке 9 представлена блок-схема алгоритма расширения для процесса распознавания метаданных кода страницы.

Рисунок 9. Блок-схема алгоритма распознавания контента сайта

OpenGraph - это протокол микроразметки, созданный компанией Facebook для создания превью новостям, которыми делятся пользователи, он дает возможность веб-странице быть полноценным объектом в социальных сетях и быстро завоевал популярность.

Далее, после извлечения ссылок на метаданные, из каждой ссылки текущего URL извлекаются hostname без учета зоны TLD (англ. top-leveldomain). Для упрощения, дадим обозначения ссылке на фавикон- h2, а ссылке на OpenGraph - h3.

Затем, для каждой ссылки на метаданные измеряется расстояние Левенштейна по отношению к текущей ссылке (h1). Если значение расстояния Левенштейна более 5, то можно сделать вывод о том, что сайт не фишинговый. В обратном случае, нужно убедиться в том, является ли

hostname ссылок на метаданные h2 и h3 субдоменом h1.

В случае, если введенный пользователем hostname не будет найден в списке, хранящемся на сервере, страница просто загрузится. Если же hostname будет обнаружен на сервере в качестве обозначенного как фишинговый - пользователь получит предупреждение о том, что страница, вероятно, принадлежит мошенникам, которые могут украсть данные его аккаунтов, кредитных карт и т.д. Далее ему будет предоставлена возможность решать, как поступить дальше, есть несколько вариантов:

· добавить сайт в whitelist (белый список);

· выбрать опцию «вернуться к безопасности»;

· закрыть вкладку напрямую.

Для обеспечения анонимности пользователя, данные о посещаемых страницах пользователя на сервер будут передаваться в виде хэш-значений с определенной длиной.

2.3 Архитектура браузерногорасширения

Браузерные расширения дляGoogleChrome, как правило, состоят из:

· манифеста;

· фоновой страницы;

· пользовательского интерфейса;

· сценария;

Файл маниместа под названием manifest.json содержит в себе информацию о заголовке, описании, ярлыках и т.п., которая необходима GoogleChrome.

Фоновая страница существует для того, чтобы объединять весь используемый код в одном месте и не имеет html-разметки, т.е. является невидимой. [24]

Страницы пользовательского интерфейса --страницы, которые передаются пользователю расширением.

Сценарии - файлы в форматеJavaScript, они внедряются в веб-страницы для последующего взаимодействия.

Архитектура клиентской части расширения состоит из:

· расширение;

· браузер;

· хранилище (для белого списка)

Архитектура серверной части:

· веб-сервер;

· API;

· хранилище (для черного списка)

Ниже на рисунке 10 представлено схематическое изображение работы расширения на примере ссылки maii.ru:

· Браузер пользователя обращается к maii.ru;

· Расширение запрашивает в облаке проверку сайта maii.ru;

· Облако проверяет сайт по репутационным базам, содержимому и эвристике (в случае величины числа Левенштейна ?5);

· Пользователь получает предупреждение и не заходит на сайт.

Рисунок 10. Архитектура браузерного расширения

Рисунок 11. Интерфейс DNSTWIST

В реализации расширения использовалось открытое ПО, например, для создания мутаций URL легитимных ссылок применялись программные модули DNSTWIST [25] иURLCRAZY [26]. На рисунке 11 показан результат запроса модификаций хостнейма сайта «mail.ru». Данные программы как правило используются злоумышленниками для поиска свободных URL, чтобы создать фишинг-страницу.

В процессе тестирования эффективности расширенийприменялся открытый программный продукт Gophish [27]. Он создан с целью упрощения процедуры проведения фишинг-атаки, позволяя автоматически создавать письма и копии веб-страниц и популярен как среди злоумышленников, так и специалистов по ИБ. С помощьюGophish в работе создавались фишинг-копии легитимных сайтов для проверки реагирования.

Рисунок 12. Список популярных паникод-символов

Для обнаружения паникода используется открытое ПО под названием Phishai, так же размещенное на Github. Главная его ценность в том, что продукт содержит в себе символы из разных алфавитов, которые похожи на латинские.[27]

На рисунке 12 представлен список самых популярных паникод-символов, которые используются вместо латинских букв в адресных строках фишинговых сайтов.

В разрабатываемом расширении этот список используется для создания всех возможных мутаций легитимного хостнейма, что позволяет разом решить проблему с паникодом, омографическими атаками и опечатками в хостнеймахфишиновых сайтов.

Таким образом, пользователю дается свобода выбора в определении сайта мошенническим, в частности, это обусловлено тем, что невозможно исключить ложные срабатывания и многие легитимные сайты могут иметь похожие названия.

Также, важным условием безопасного использования расширения пользователем, является гарантия его анонимности. В связи с этим, сервер будет получать информацию об адресной строке и непосредственно хостнейме пользователя исключительно в виде хэш-суммы. Многие расширения с функционалом анализа посещаемых сайтов потеряли доверие своих клиентов по причине сбора и хранения данных о посещаемых данных, персональных данных клиентов и т.п.

Вывод:

В данной главе в процессе тестирования имеющихся браузерных расширений GoogleChrome на 100 сайтах из публичных черных списков и 20 специально разработанных фишинговых сайтов с омографами, паникодом и опечатками была выявлена неэффективность работы отобранных расширений. Как оказалось, непосредственно браузер GoogleChrome отлично справляется с блокированием сайтов из черных списков. К тому же, выявлено, что публичные черные списки способны защитить только от массовых фишинговых атак, которые получили достаточное количество жалоб и огласки в интернете, что также говорит о неэффективности защиты.

Разрабатываемое браузерное расширение должно позволить защитить пользователей от самых распространенных техник фишинговых атак, таких как омографы, опечатки, паникод и подмена контента, при этом обеспечивая пользователю абсолютную анонимность.

3. Браузерное расширение для защиты от фишинговых атак

3.1 Описание интерфейса расширения

Важно понимать, что несмотря на распространенность мнения о том, что фишинг-- это главным образом проблема корпораций, актуальность защиты от него среди индивидуальных пользователей более чем обоснована. Коммерческие компании, как правило, имеют ограниченный перечень критичных для них сайтов, контрагентов, разрешенных в компании мессенджеров и, например, банковских сервисов. В то время как для индивидуального пользователя данное количество ничем не ограничивается и мало того, сайты и сервисы регулярно обновляются и заменяются друг другом. Таким образом, вероятность стать жертвой фишинг-атаки каждый раз растет с ростом количества используемых сайтов.

Расширение для браузера может использоваться как индивидуальными пользователями, так и корпоративными. Для корпоративных пользователей возможна настройка доменной политики через доменный сервер. Учитывая сферу деятельности и контрагентов компании, может быть создан объединенный белыйи, соответственно, черный список сайтов.

В случае же с индивидуальными пользователями, каждый из них сам выбирает, какие имена узлов следует добавить в белый список, исходя из частоты использования и критичности данных приложений, сервисов, сайтов и т.п.

Для того, чтобы не попасться на уловку злоумышленника при переходе на ссылке на поддельный сайт, пользователям нужно также соблюдать предосторожность. Двухфакторная аутентификация не позволит ему ввести свой пароль и логин на неоригинальную страницу, а использование менеджера паролей на может дать понять, что сайт, на который он перешел по ссылке, подозрительным образом не обнаруживается в базе сохраненных логинов и паролей.

Ниже на рисунке 13изображено положение иконки расширения HSEAntiFish в интерфейсе браузера.

Рисунок 13. Положение иконки расширения HSE AntiFish в интерфейсе GoogleChrome

При переходе на любой сайт, нажатием на иконку, пользователь, имея основания считать сайт легитимным, сможет добавить сайт в белый список. Для исключения ошибочного добавления в белый список фишинговых сайтов, желательно чтобы пользователь открывал сайт самостоятельно, не переходя по ссылкам из мессенджеров и других каналов связи.

Далее процедура создания черного списка описана более подробно.

На рисунке 14 можно увидеть скриншот сайта оригинального сайта мессенджера Телеграм -- web.telegram.org. Несмотря на его запрет в России, он пользуется популярностью среди людей, стремящихся к анонимности в интернете, беспокоящихся о конфиденциальности. В интернете можно наткнуться на огромное количество фишинговых страниц, мимикрирующих под оригинальный Телеграм. Если человек не привык вчитываться в хостнейм сайта и опирается только на визуальное впечатление от страницы, то велика вероятность принять сайт за легитимный.

Рисунок 14. Скрин экрана легитимной станицы - telegram.org

Перейдя на оригинальную страницу, пользователь может нажать на иконку в правой стороне экрана и далее подтвердить, что он желает создать для данного сайта черный список, состоящий из мутированныххостнеймов.

На рисунке 15 изображен фишинговый сайт telgram.net.

Рисунок 15.Скин экрана фишинговой страницы - telgram.net

Так, например, выше приложен рисунок с фишинговым сайтом https://telgram.net/#/login, внешне не отличимым от настоящего, к тому же, его доменное имя отличается всего на одну букву от оригинального.

Возможность самостоятельно изменять черный список сайтов позволяет снизить количество ложных срабатываний.

При подходе создания черных списков, которые состоят из мутаций имени узла существует вероятность ложных срабатываний и, можно предположить, чтоиной подход, основанный на автоматическом создании черных списков сайтов после каждого посещения нового сайта пользователем был бы более эффективным и не требовал от пользователя каких-либо специальных действий. Но, в действительности, если после каждого посещения сайта будут создаваться мутации hostname, то в число белых списков могут попасть фишинговые, а в число черных - легитимные, что и говорит о еще большей вероятности ложного срабатывания.

При открытии ссылки любого сайта пользователю предоставляется возможность сгенерировать все мутации hostname на сервер путем нажатия кнопки справа.

Рисунок 16. Предупреждение расширения о фишинг-странице

При попытке перехода на страницу, находящуюся в черном списке, расширение выдает следующее предупреждение (Рисунок 16):

В данном случае на индивидуальном пользователе лежит ответственность за то, какой сайт он добавит в «белый список» -- легитимный или не легитимный. Предполагается, что создание таких списков происходит заранее, при открытии ссылок на сайты самостоятельно, а не по ссылкам из полученных сообщений и других каналов связи.

Большинство блеклистов создаются постфактум, уже после того, как сайты с фишингом были разосланы пользователям интернета, а они, впоследствии, заявили о мошеннических действиях сайта в специализированные сервисы или посредством антивируса.

Для повышения эффективности защиты от фишинга, пользователь может сообщить о странице, которая на его взгляд подозрительна или откровенно мошенническая, в разработанном расширении предусмотрена возможность отметить сайт как подозрительный. Впоследствии, информация о данной странице направляется в техническую поддержку компаний Google [38] и Яндекс [39]. Учитывая, что в ходе тестирования расширения при переходе на фишинговые страницы из публичных черных списоков, браузер Google Chrome показал свою эффективность, было решено, что такая обратная связь от индивидуального пользователя будет действенной в обнаружении новых фишинг-страниц.

Таким образом, пользователь имеет гибкую систему предупреждения о возможных фишинг-атаках, в случае ошибочного добавления страницы в черный список, он сможет отменить действие и добавить ее в белый список.

3.1 Тестирование браузерного расширения

Для оценки практической эффективности расширения было проведено тестирование на фишиговых страницах, перечисленных в черных списках из нескольких публичных базблеклистов.

Разработанное расширение тестировалась в отношении следующих функций:

1. проверка расширения по черному списку;

Расширение при распознавании фишинга не обращается к публичным черным спискам, потому что согласно результатам тестирования,с данной функцией эффективно справляется браузер и онлайн службы, такие как OpenDNS, TinyURL и другие.

2. распознавание омографов;

Расширение охватывает случаи имитации оригинального URL путем целенаправленных замены символов на те, которые визуально похожи, например, замена i, о, h на l, 0, n соответственно.

3. распознавание опечаток;

Аналогичная ситуация с опечатками, так как в случае создания черных списков, основанных на мутациях оригинального хостнейма, они включают в себя, как и варианты с омографами, так и варианты с опечатками или тайпсквоттингом.

4. распознавание паникода;

Разработанное расширение также распознает наличие в адресной строке паникода и сигнализирует об этом пользователю путем выдачистраницы с предупреждением. С учетом того, что большинство современных браузеров распознают паникод и отображают его в формате юникода и для упрощения работы расширения оно распознает и сигнализирует о наличии в домене самого популярного алфавита, используемого для атак с применением паникода - кириллического.

5. распознавание копий.

Расширение проводит анализ контента сайта путем сравнения метаданных кода страницы с данными адресной строки.

Данная функция применяется в случае, когда в адресной строке отсутствует количество символов в имени узла слишком мало (менее или равно 5), при анализе мутаций таких сайтов возможно не обнаружить очевидного сходства с настоящим сайтом или, напротив, количество предположительно оригинальных сайтов будет слишком велико. применение данного правила обосновывается тем, что создатели поддельного сайта в коде страницы ссылаются на ресурсы оригинального сайта, как правило это ссылки на изображение фавикон и OpenGraph.

6. анонимность

Одной из актуальных проблем применения браузерных расширений является обеспечение анонимности пользователя. В случае защиты от фишинговых атак возникает проблема транслирования всех ссылок на сайты, по которым переходит пользователь, на сервер.

Так, в 2016 году немецким исследователем на новостном сайте PCWorld [42] было опубликовано расследование, доказавшее, что разработчики популярного расширения WebofTrust, собирали историю посещения сайтов и продавали информацию о пользователях, не обезличив ее предварительно. В 2018 году известность получила хакерская группировка StolenPencil, использовавшая браузерные расширения для кражи паролей и куки [45].