Вот как мы создали детектор фишинговых сайтов в реальном времени для MacOS

Это решение для защиты от фишинга в режиме реального времени для macOS выводит обнаружение на основе ссылок на новый уровень, мгновенно предупреждая пользователей Mac о том, что они находятся на фишинговом веб-сайте.

Во-первых, предыстория

Сколько уникальных фишинговых сайтов было опубликовано в 2023 году? Рабочая группа по борьбе с фишингом подсчитано почти 5 миллионов. В начале 2024 года подразделение кибербезопасности MacPaw Moonlock сообщили о AMOS-воре, который полагается на поддельные веб-сайты надежных брендов для распространения вредоносного ПО на компьютерах Apple. Они не только заражают наши устройства, но и собирают учетные данные жертв для вредоносных целей. Поддельные веб-сайты опасны, поэтому моя команда и я решили что-то с ними сделать.

Решение, которое я описываю ниже, началось как экспериментальная проверка концепции Лунный замок . Мы устранили недостатки в технологическом отделе исследований и разработок MacPaw и представили рабочий прототип на выставке STAST 2024. Наш позиционный документ подробно описал решение и был первоначально загружен на arXiv.org . Чтобы заглянуть под капот нашего антифишингового приложения, читайте дальше.

Что мы имеем на руках на данный момент?

Текущие антифишинговые приложения в основном используют три метода обнаружения: черный список, подход на основе классификации и подход на основе ссылок. Каждый метод имеет свои преимущества, но все они требуют дальнейшего улучшения. Давайте рассмотрим каждый из них.

Черный список

Подход с черным списком практичен и точен, но он не может угнаться за скоростью распространения фишинговых веб-сайтов. Он не всегда эффективен, поскольку новые фишинговые веб-сайты все еще могут нуждаться в добавлении в список, в то время как злоумышленники часто меняют URL-адреса, чтобы избежать обнаружения.

Например, Google Safe Browsing использует списки известных фишинговых сайтов. Когда вы пытаетесь посетить веб-сайт, он проверяет адрес по этому списку. Если есть совпадение, он блокирует доступ и предупреждает вас об опасности. Но что, если веб-сайт был опубликован всего несколько минут назад? Его не будет в списке, и пользователь окажется в ловушке.

Подход, основанный на классификации

В этом методе антифишинга машинное обучение анализирует такие особенности веб-страницы, как структуры URL, HTML-контент и метаданные, чтобы определить, является ли веб-сайт поддельным или законным. Классификация отлично подходит для расширений браузера, поскольку она обучается на основе пользовательских данных, чтобы обнаруживать новые фишинговые сайты.

Недостатком здесь является то, что машинное обучение требует сложных алгоритмов и большого количества обучающих данных, в то время как киберпреступники быстро изобретают новые тактики запутывания, чтобы избежать обнаружения. Это делает подходы, основанные на классификации, менее точными и не идеальными для автономных продуктов безопасности.

Подход, основанный на ссылках

Некоторые из решений на основе ссылок считаются передовыми. Они используют компьютерное зрение для анализа внешнего вида веб-страниц и эффективного обнаружения фишинговых веб-сайтов. Однако мы также видим, что решения на основе ссылок могли бы быть быстрее, если бы они не обрабатывали случаи фишинга в облаке.

Между запуском фишингового сайта и добавлением его в список системами обнаружения на основе ссылок существует критический временной промежуток. Мы хотели сократить этот промежуток, чтобы обеспечить более быстрое обнаружение и реагирование.

Как работает наше собственное антифишинговое приложение для macOS

Наша цель состояла в том, чтобы предупредить пользователей Mac о фишинговых сайтах, как только они появятся. Чтобы добиться этого, мы взяли подход на основе ссылок и улучшили его. Мы исключили облачную обработку и предложили выполнять все вычисления локально, стремясь сократить время обнаружения. В качестве бонуса наше решение повышает конфиденциальность, поскольку все пользовательские данные обрабатываются на устройстве и не передаются куда-либо еще.

Мы создали собственное приложение для macOS с использованием Swift, включив фреймворки для захват экрана и машинное обучение. Преобразуя наши модели в CoreML формат, мы обеспечили плавную работу и минимизировали использование системных ресурсов. Таким образом, наш прототип непрерывно сканирует веб-страницы в фоновом режиме, защищая пользователей Mac от фишинговых веб-сайтов без необходимости дополнительных взаимодействий.\Прототип работает независимо от браузеров. MacOS Доступность Метаданные инфраструктуры и доступности помогают приложению сосредоточиться на определенных областях интереса, чтобы оно знало, где искать фишинг.

Вот как это работает вкратце.

Первый шаг: анализ веб-страницы

Находясь на сайте, наше приложение пытается понять макет страницы. Оно определяет ключевые элементы страницы, такие как логотипы, поля ввода и кнопки. Для этой задачи мы выбрали DETR с ResNet-50 из-за его точности и производительности.

На этом этапе важно распознать размещение элементов на сайте, особенно области с логотипом бренда и формами для ввода учетных данных.

Второй шаг: атрибуция бренда

Далее прототип проверяет, совпадает ли обнаруженный на сайте логотип с известными брендами. Вдобавок ко всему, он сравнивает URL-адрес веб-страницы со списком ссылок на легитимные веб-сайты. Если веб-сайт официальный, мы пропускаем дальнейшие шаги.

Кстати, мы были встревожены, увидев, сколько официальных доменов бренды используют для маркетинга. Неудивительно, что фишинговые сайты так эффективны в обмане своих жертв. Например, у DHL есть несколько официальных доменов, таких как dhl.com, express.dhl, mydhli.com, dhlsameday.com и dhlexpresscommerce.com.

Третий шаг: предотвращение сбора учетных данных

Мы классифицируем веб-страницу по двум категориям: требует ли она учетных данных или нет. Этот шаг проверяет, пытается ли фишинговый веб-сайт украсть личную информацию пользователя.

На скриншоте наш прототип нашел поля ввода учетных данных, приписал страницу DHL и проверил URL-адрес по списку официальных доменов DHL. Пользователь получил предупреждение о фишинге, поскольку страница не принадлежит DHL.

Насколько точен прототип?

Наша система поддерживает или превосходит базовую точность и, безусловно, имеет более быстрое время обработки. Мы достигли точности 90,8% в распознавании логотипа и 98,1% в обнаружении ввода учетных данных.

На графике ниже показана наша производительность по сравнению с другими антифишинговыми решениями, а также сравнение точности, полноты и частоты ложных срабатываний. Мы с гордостью обнаружили 87,7% попыток фишинга, сохранив частоту ложных срабатываний на низком уровне 3,4%.

Это также быстро и гладко.

Окончательные метрики показывают, что наше решение работает гладко в фоновом режиме без заметной потери производительности. Использование ЦП минимально: с восемью ядрами в Apple M1 Mac наш прототип использует всего 16% из доступных 800% мощности. Этот уровень потребления аналогичен трем активным вкладкам Safari или одному звонку Zoom.

Заключительные мысли

На рынке представлено множество антифишинговых приложений, но большинство из них обрабатывают данные на внешних серверах. Наш прототип показывает, что оборудование современных компьютеров позволяет нам внедрять модели машинного обучения локально на устройство. Мы можем использовать их для борьбы с фишингом и не беспокоиться о скорости обработки и использовании системных ресурсов. К счастью, экосистема Apple предоставляет фреймворки и инструменты для оптимизации.

Автор: Иван Петруха, старший инженер-исследователь MacPaw Technological R&D, бывший сотрудник Moonlock.