Методи протидії фішинговим атакам в інформаційному просторі

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Методи протидії фішинговим атакам в інформаційному просторі

Хроленко Я.О.

аспірант ІПРІ НАН України

Крадіжка персональних даних сьогодні є гострою проблемою через фішингові лінки. Державна служба спеціального зв'язку та захисту інформації України повідомила, що російські хакери здійснюють дедалі більше кібератак проти звичайних українців, також зростає кількість інформаційно-психологічних операцій у соцмережах та мессенджерах. Хакери часто спекулюють на патріотичних темах та виплатах від держави. Наразі існують інструменти, які попереджають користувача про те, що посилання, за яким він намагається перейти, за допомогою комп'ютерного зору потрапить на фальшиві сторінки сайту, а також аналіз сторінки за допомогою штучних нейронних мереж. Також проведено порівняльне дослідження фішингових ресурсів, розглянуто алгоритми отримання даних, основні критерії підозри у фішингу, а також соціальну значимість виявлення фішингу, алгоритми розпізнавання фішингових сайтів: аналіз текстового контенту сторінок, основи розпізнавання образів, нейронних мереж, а також описані основні методи протидії.

Багато послуг тепер доступні через Інтернет. Безпека платежів у цих системах забезпечується різноманітними високотехнологічними рішеннями, такими як сертифікати безпеки, криптографічні протоколи тощо. Однак усі ці рішення виявляються неефективними, коли зловмисники використовують методи соціальної інженерії, які використовують слабкі сторони людського фактору. Одним із найпоширеніших видів подібних атак сьогодні є фішинг. Фішинг (від англ. phishing, password fishing) - вид онлайн-шахрайства, метою якого є отримання доступу до конфіденційних даних користувача шахрайським шляхом. Популярною технікою фішингу є створення фальшивих веб-сайтів, які на вигляд неможливо відрізнити від справжніх. Збитки від злочинів, пов'язаних з фішингом, тільки в 2010 році склали мільярди доларів США. При цьому, згідно зі статистикою, кількість фішингових атак щорічно зростає приблизно в півтора рази. Стрімкий розвиток цього виду злочинності можна зупинити, створивши комплексні системи захисту від фішинго- вих атак. Оскільки арсенал фішерів зростає швидкими темпами, необхідно забезпечити можливість навчання таких систем. На даний момент подібних рішень немає, тому створення комплексної, піддається навчанню, високоефективної системи захисту від фішингових атак є цікавим і актуальним напрямком. Створення такої системи передбачає попереднє вивчення особливостей фішингових ресурсів і розробку на їх основі методів оцінки ступеня небезпеки інформаційного ресурсу та виявлення потенційно небезпечних ресурсів. Цьому в основному присвячена дана робота [1].

Метою роботи є виконання наступного комплексу завдань: опис основних методів і способів фішингу, аналіз існуючих підходів до вирішення проблеми протидії фішингу, а також опис основних методів автоматизованого антифішингу.

Основна проблема фішингу полягає в тому, що існує кілька видів фі- шингу, які мають свою специфіку, а програмного забезпечення, яке б повністю захистило людей і компанії, немає.

Ознаками фішингових ресурсів є:

- Схожість графічного вмісту. Основне завдання кіберзлочинців під час фішингової атаки - змусити користувача повірити в справжність фішингового ресурсу. Найпростіший спосіб зробити це - запозичити графічне оформлення з атакованого сайту.

- Схожість змісту тексту. Поняття схожості текстів також є незрозумілим, і, як і в попередньому випадку, можна лише стверджувати з упевненістю про їх повну тотожність.

Однак на практиці, змінюючи текстовий вміст оригінального ресурсу, зловмисники зазвичай використовують стандартний набір перетворень, наприклад [2]:

- вставка наборів випадкових символів;

- довільна вставка та видалення пробілів;

- заміна символів одного кодування на символи іншого кодування, схожі за написанням;

- вставка ключових слів у випадкових позиціях.

Наявність ресурсу у фішингових базах. Інтернет-спільнота підтримує велику кількість баз небезпечних ресурсів. Деякі користувачі додають посилання на такі ресурси, інші підтверджують або спростовують їх небезпеку.

Використання функцій форматування URL-адреси. Формат URL- адреси має багато параметрів, деякі з яких рідко використовуються на практиці. Часто зловмисники використовують більш повну форму, додаючи рідко використовувані параметри, щоб ввести в оману користувача і переконати його в достовірності фішингового ресурсу.

Підозрілі облікові дані ресурсу. Реєстраційні дані можуть включати географічне розташування, дату реєстрації домену, ім'я власника сайту або назву організації-власника. Як правило, фішингові сайти активні протягом перших п'яти днів після їх створення.

Наявність ресурсу на одній IP-адресі з раніше ідентифікованими фі- шинговими ресурсами. Розташування кількох ресурсів на одній IP-адресі є досить поширеною ситуацією, тому доцільно використовувати списки IP-адрес, на яких були виявлені фішингові ресурси.

Використання великої кількості скриптів. Як правило, кількість виконуваного коду на сторінці зростає пропорційно її інформаційному наповненню та наданій функціональності.

Запропоновано алгоритми визначення ступеня небезпеки інформаційних ресурсів з урахуванням описаних ознак [2]:

Послідовне використання алгоритмів оцінки ознак. Всі характеристики перевіряються безпосередньо. Оскільки різні алгоритми аналізу даних використовують ознаки різної значущості, необхідно також подати таблицю значущості ознак на вхід охоплюючого алгоритму.

Використання булевої функції. При визначенні ступеня небезпеки інформаційного ресурсу певний набір ознак може бути достатнім для віднесення ресурсу до категорії небезпечних. Наприклад, якщо доменне ім'я сайту міститься у фішингових базах, решту ознак перевіряти не потрібно - такий сайт апріорі небезпечний.

Використання нейронних мереж. Одним із способів відмови від таблиці значущості ознак є використання статистичних методів.

Використання методів лінійної регресії. Для побудови наближеної функції використовуються задані значення небезпек деяких інформаційних ресурсів. Коли функція визначення ступеня небезпеки невідома, не зовсім зрозуміло, як отримати досить велику кількість значень цієї функції при заданих значеннях аргументів. Ця проблема вирішується за допомогою експертних оцінок.

Машинне навчання допомагає автоматизувати виявлення загроз. Особливо це стосується нових загроз, від яких традиційні антивірусні системи та брандмауери не можуть захистити. Машинне навчання може зменшити кількість помилкових спрацьовувань, які становлять серйозну загрозу в традиційному виявленні загроз, на 50-90%.

На відміну від інструментів виявлення на основі сигнатур попереднього покоління, машинне навчання може відстежувати та реєструвати моделі використання мережі серед співробітників організації та своєчасно сповіщати менеджерів про виявлення аномальної поведінки.

Одним із найпоширеніших методів машинного навчання для класифікації фішингу є використання списку ключових функцій для представлення електронної пошти та застосування алгоритму навчання для класифікації електронної пошти як фішингу чи хамів на основі вибраних ознак. Чандрасекаран та ін. [3] запропонував нову методику класифікації фішингових електронних листів на основі чітких структурних характеристик, таких як структура теми електронного листа та деякі функціональні слова. Вони використовували SVM для перевірки своїх функцій на 400 електронних листах і отримали 95% точність. Однак вони не виконували різних розподілів між навчальними та тестовими даними через малий розмір вибірки. Fette та ін. [4] використали десять різних особливостей, специфічних для оманливих методів для класифікації фішингу, і отримали F1-показник понад 90% за допомогою машинного класифікатора опорних векторів. Однак у своєму моделюванні вони використовували значно більше електронних листів любителів (7000), ніж фішингових (860).

Останні досягнення в глибокому навчанні зробили можливим текстовий аналіз великої кількості фішингових електронних листів різних типів. З цієї причини вважається, що загальні особливості фішингових електронних листів можна витягти та дізнатися глибокою нейронною мережею, такою як модель довготривалої короткочасної пам'яті для виявлення фішингу.

Висновки

фішингова атака інформаційний

Таким чином, штучний інтелект, і зокрема інструменти нейронних мереж, є найкращим вибором проти загрози фішингових атак, дозволяючи швидко створити інтелектуальний захист ще до того, як буде здійснено атаку.

Література

1. Lininger, R., and Vines, D. R. (2005). Phishing: cutting the identity theft line. Print book. Indiana: Wiley Publishing, Inc.

2. Vayansky, Ike & Kumar, Sathish. (2018). Phishing - challenges and solutions. Computer Fraud & Security. 2018. 15-20. 10.1016/S1361- 3723(18)30007-1.

3. Madhusudhanan Chandrasekaran, Krishnan Narayanan, and Shambhu Upadhyaya. Phishing e-mail detection based on structural properties. In Proceedings of the NYS Cyber Security Conference, 2006.

4. Ian Fette, Norman Sadeh, and Anthony Tomasic. Learning to detect phishing emails. In Proceedings of the International World Wide Web Conference (WWW), 2007

Размещено на Allbest.ru