So haben wir einen Echtzeit-Phishing-Website-Detektor für MacOS entwickelt

Diese geräteinterne Echtzeit-Antiphishing-Lösung für macOS bringt die referenzbasierte Erkennung auf ein neues Niveau und warnt Mac-Benutzer sofort, wenn sie sich auf einer Phishing-Website befinden.

Erstens, Hintergrund

Wie viele einzigartige Phishing-Websites wurden im Jahr 2023 veröffentlicht? Die Antiphishing Working Group gezählt fast 5 Millionen. Anfang 2024 wird MacPaws Cybersicherheitsabteilung Moonlock gemeldet über den AMOS-Stealer, der sich auf gefälschte Websites vertrauenswürdiger Marken verlässt, um Malware auf Apple-Computern zu verbreiten. Sie infizieren nicht nur unsere Geräte, sondern sammeln auch die Anmeldedaten der Opfer für böswillige Zwecke. Gefälschte Websites sind gefährlich, deshalb haben mein Team und ich beschlossen, etwas dagegen zu unternehmen.

Die Lösung, die ich unten beschreibe, begann als Proof-of-Concept-Experiment bei Mondlocke . Wir haben die Falten bei MacPaws technologischer Forschung und Entwicklung geglättet und den funktionierenden Prototyp auf der STAST 2024 vorgestellt. Unser Positionspapier beschrieb die Lösung im Detail und wurde ursprünglich hochgeladen auf arXiv.org . Lesen Sie weiter, um einen kleinen Einblick in unsere Antiphishing-App zu erhalten.

Was haben wir derzeit zur Verfügung?

Aktuelle Antiphishing-Apps verwenden hauptsächlich drei Erkennungsmethoden: Blacklisting, klassifizierungsbasierter Ansatz und referenzbasierter Ansatz. Jede Methode hat ihre Vorteile, aber alle erfordern weitere Verbesserungen. Lassen Sie uns jede einzelne Methode näher betrachten.

Schwarze Liste

Der Blacklist-Ansatz ist praktisch und präzise, kann jedoch mit der Geschwindigkeit, mit der sich Phishing-Websites verbreiten, nicht Schritt halten. Er ist nicht immer effektiv, da möglicherweise immer noch neue Phishing-Websites zur Liste hinzugefügt werden müssen und Angreifer häufig URLs ändern, um nicht erkannt zu werden.

Google Safe Browsing verwendet beispielsweise Listen bekannter Phishing-Sites. Wenn Sie versuchen, eine Website zu besuchen, gleicht es die Adresse mit dieser Liste ab. Wenn es eine Übereinstimmung gibt, blockiert es den Zugriff und warnt Sie vor der Gefahr. Aber was, wenn die Website erst vor wenigen Minuten veröffentlicht wurde? Dann steht sie nicht auf der Liste und der Benutzer sitzt in der Falle.

Klassifizierungsbasierter Ansatz

Bei dieser Antiphishing-Methode analysiert maschinelles Lernen Webseitenmerkmale wie URL-Strukturen, HTML-Inhalte und Metadaten, um festzustellen, ob eine Website gefälscht oder legitim ist. Die Klassifizierung eignet sich hervorragend für Browsererweiterungen, da sie aus Benutzerdaten lernt, um neue Phishing-Sites zu erkennen.

Der Nachteil dabei ist, dass maschinelles Lernen komplexe Algorithmen und viele Trainingsdaten erfordert, während Cyberkriminelle schnell neue Verschleierungstaktiken entwickeln, um der Entdeckung zu entgehen. Dies macht klassifizierungsbasierte Ansätze weniger genau und nicht ideal für eigenständige Sicherheitsprodukte.

Referenzbasierter Ansatz

Einige der referenzbasierten Lösungen gelten als hochmodern. Sie nutzen Computer Vision, um das Erscheinungsbild von Webseiten zu analysieren und Phishing-Websites effektiv zu erkennen. Wir sehen jedoch auch, dass referenzbasierte Lösungen schneller sein könnten, wenn sie Phishing-Fälle nicht in der Cloud verarbeiten würden.

Zwischen dem Livegang einer Phishing-Website und dem Hinzufügen zur Liste durch die referenzbasierten Erkennungssysteme besteht eine kritische Zeitspanne. Wir wollten diese Lücke verkleinern, um eine schnellere Erkennung und Reaktion zu gewährleisten.

So funktioniert unsere native macOS-Antiphishing-App

Unser Ziel war es, Mac-Benutzer vor Phishing-Websites zu warnen, sobald diese online gehen. Um dies zu erreichen, haben wir den referenzbasierten Ansatz übernommen und verbessert. Wir haben die Cloud-Verarbeitung eliminiert und vorgeschlagen, alle Berechnungen lokal durchzuführen, um die Erkennungszeit zu verkürzen. Darüber hinaus verbessert unsere Lösung die Privatsphäre, da alle Benutzerdaten auf dem Gerät verarbeitet werden und nirgendwo anders hingehen.

Wir haben eine native macOS-App mit Swift erstellt und dabei Frameworks für Bildschirmaufnahme und maschinelles Lernen. Durch die Konvertierung unserer Modelle in CoreML Format haben wir eine reibungslose Leistung sichergestellt und die Nutzung von Systemressourcen minimiert. Auf diese Weise scannt unser Prototyp kontinuierlich Webseiten im Hintergrund und schützt Mac-Benutzer vor Phishing-Websites, ohne dass zusätzliche Interaktionen erforderlich sind.\Der Prototyp funktioniert unabhängig von Browsern. Das macOS Zugänglichkeit Framework- und Zugänglichkeitsmetadaten helfen der App, sich auf bestimmte Interessenbereiche zu konzentrieren, sodass sie weiß, wo sie nach Phishing suchen muss.

So funktioniert es in aller Kürze:

Erster Schritt: Webseitenanalyse

Wenn Sie sich auf einer Website befinden, versucht unsere App, das Seitenlayout zu verstehen. Sie identifiziert wichtige Seitenelemente wie Logos, Eingabefelder und Schaltflächen. Für diese Aufgabe haben wir gewählt DETR mit ResNet-50 wegen seiner Genauigkeit und Leistung.

In diesem Schritt ist es wichtig, die Platzierung der Elemente auf der Website zu erkennen, insbesondere den Bereich mit dem Markenlogo und den Formularen zur Eingabe von Anmeldeinformationen.

Zweiter Schritt: Markenzuordnung

Als nächstes prüft der Prototyp, ob ein erkanntes Logo auf der Website mit einer bekannten Marke übereinstimmt. Darüber hinaus vergleicht er die URL der Webseite mit einer Referenzliste legitimer Websites. Wenn die Website offiziell ist, überspringen wir weitere Schritte.

Nebenbei bemerkt waren wir bestürzt darüber, wie viele offizielle Domains Marken für Marketingzwecke verwenden. Es ist kein Wunder, dass Phishing-Websites ihre Opfer so erfolgreich hereinlegen. DHL beispielsweise verfügt über mehrere offizielle Domains wie dhl.com, express.dhl, mydhli.com, dhlsameday.com und dhlexpresscommerce.com.

Dritter Schritt: Verhindern Sie das Sammeln von Anmeldeinformationen

Wir klassifizieren die Webseite in zwei Kategorien: ob sie Anmeldeinformationen erfordert oder nicht. Dieser Schritt überprüft, ob eine Phishing-Website versucht, persönliche Benutzerinformationen zu stehlen.

Im Screenshot hat unser Prototyp Eingabefelder für Anmeldeinformationen gefunden, die Seite DHL zugeordnet und die URL mit der Liste der offiziellen DHL-Domänen abgeglichen. Der Benutzer erhielt eine Phishing-Warnung, da die Seite nicht zu DHL gehört.

Wie genau ist der Prototyp?

Unser System hält die Grundgenauigkeit aufrecht oder übertrifft sie sogar und hat mit Sicherheit schnellere Verarbeitungszeiten. Wir haben eine Genauigkeit von 90,8 % bei der Logoerkennung und 98,1 % bei der Erkennung eingegebener Anmeldeinformationen erreicht.

Die folgende Grafik zeigt unsere Leistung im Vergleich zu anderen Antiphishing-Lösungen und wie wir in puncto Präzision, Trefferquote und False-Positive-Rate abschneiden. Wir konnten stolze 87,7 % der Phishing-Versuche erkennen und die False-Positive-Rate bei niedrigen 3,4 % halten.

Es ist auch schnell und reibungslos

Die abschließenden Messwerte zeigen, dass unsere Lösung im Hintergrund reibungslos läuft, ohne dass es zu einem merklichen Leistungsverlust kommt. Die CPU-Nutzung ist minimal: Mit acht Kernen im Apple M1 Mac nutzt unser Prototyp nur 16 % der verfügbaren 800 % Kapazität. Dieser Verbrauch entspricht etwa drei aktiven Safari-Tabs oder einem Zoom-Anruf.

Abschließende Gedanken

Es gibt viele Antiphishing-Apps auf dem Markt, aber die meisten verarbeiten Daten auf externen Servern. Unser Prototyp zeigt, dass die Hardware moderner Computer es uns ermöglicht, Modelle des maschinellen Lernens lokal auf das Gerät zu bringen. Wir können sie zur Bekämpfung von Phishing verwenden, ohne uns um Verarbeitungsgeschwindigkeiten und die Nutzung von Systemressourcen sorgen zu müssen. Glücklicherweise bietet das Apple-Ökosystem Frameworks und Tools zur Optimierung.

Autor: Ivan Petrukha, leitender Forschungsingenieur bei MacPaw Technological R&D, ex-Moonlock.