Bezpečnost | Malware | Phishing

Phishing je už natolik dobrý, že proti němu musel Avast povolat A.I. se strojovým viděním

  • Zejména zahraniční phishing se rok od roku zlepšuje
  • Záškodníci skvěle napodobují Google i Apple
  • Avast nasadil pokročilé počítačové vidění a kontroluje pixel po pixelu

Nejrozšířenějším typem malwaru je phishing – zpravidla falešné stránky napodobující ty skutečné, skrze které chce záškodník získat naše údaje, které mu k jeho radosti předáme, protože přeci máme pocit, že jsme na skutečném webu PayPalu, Applu, Googlu nebo naší banky.

Češi a obecně obyvatelé menších zemí s vlastním jazykem měli dlouhé roky výhodu, že byl phishing natolik primitivní, aby jej každý prokoukl. Autorům phishingových kampaní se prostě nevyplatilo sehnat nějakého Čecha, který by jim připravil věrohodné texty v naší mateřštině, a tak použili běžně dostupné strojové překladače se všemi jejich chybami.

Jenže i zde už záškodníci udělali obrovský skok vpřed, a tak už dávno neplatí, že co český phishing, to dnes už ikonický drahoušek zákazník. Některé české a úzce cílené phishingové kampaně z poslední doby byly natolik věrohodné, až nebylo překvapením, že přeci jen nějakého toho nešťastníka opravdu ulovily.

Antivir musí stránku opravdu vidět. Podobně jako člověk, ale mnohem lépe.

To je výzva především pro tvůrce antivirů, kteří musejí být v odhalování podobných podvodů ještě lepší. Jeden z těch největších, tuzemský Avast, se nám v e-mailu pochlubil s experimenty s počítačovým viděním a technikami A.I.

Jelikož Avast může sledovat signály ze stovek milionů klientů rozesetých na počítačích po celém světě, ví, jaké adresy navštěvujeme a dokáže je analyzovat. Vedle tradičních metrik jako například hodnocení známosti domén (PageRank aspol.) však do hry zapojil právě i zmíněné počítačové vidění.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Vlevo je záškodnická podoba a vpravo ta skutečná formuláře operátora orange.fr

To v praxi znamená, že když analytickému programu kdesi na serveru dorazí nová adresa, kterou ještě nehodnotil, může ji načíst ve svém virtuálním prohlížeči, vykreslit a analyzovat obrazová data. Když pak narazí na podvodnou stránku třeba francouzského operátora Orange, zjistí, že se na pixelové úrovni podobá originálu, ale nenachází se na důvěryhodné doméně orange.fr.

Právě v tomto okamžiku se pak rozsvítí příslovečný majáček a automat může takovou stránku uložit na černou listinu. Celá analýza přitom trvá kratší dobu než deset sekund. Stroj může být v tomto případě mnohem úspěšnější než člověk, jeho vidění si totiž všimne i nuancí – drobných rozdílů, které by nás vůbec nenapadly.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Srovnání falešných přihlašovacích stránek Googlu a Applu. Poznali byste okamžitě rozdíl?

Ostatně podívejte se na ukázku třeba této falešné přihlašovací stránky Googlu a té skutečné (starší verze). Když oba snímky položím vedle sebe, je zjevné, že se v drobnostech liší, pointa ale spočívá v tom, že při běžném surfování vedle sebe originál nemáte a těžko byste zaregistrovali, že přihlašovací stránka Googlu, na které se zrovna nacházíte, nemá několik ikonek dalších služeb v zápatí (pozor, opět připomínám, že se jedná o starší verzi přihlašovací stránky).

I phishing má občas HTTPS a certifikát

Možná namítnete, že všechny tyto weby už dnes disponují patřičným certifikátem a šifrováním, a tak v adresním řádku zeleně svítí zámeček, jak však upozorňují experti z Avastu, i mnohé phishingové weby už dnes mají HTTPS a certifikát! Že není vydaný na doménu google.com? To jistě ne, ale jak často při surfování kontrolujete, jestli jste opravdu na google.com a ne třeba na gooogle.com?

Klepněte pro větší obrázek
Technika strojového vidění porovnává oproti originálu i rozložení pixelů v prostoru. Všimne si proto, že falešný web má některé objekty na stránce trošku odlišné než ten skutečný.

Adresní řádek se při klikání na odkazy stává spíše periferní oblastí zorného pole a nevěnujeme mu takovou pozornost, jakou bychom občas měli. Patrné je to zvláště u prolinků všeho druhu počínaje Facebookem a konče reklamními odkazy ve vyhledávačích, které se záškodníci s menším či větším úspěchem taktéž pokoušejí nakupovat.

Techniky počítačového vidění, kdy stroj kouká na webové stránky jako na vizuální obraz stejně jako my, tedy mohou odhalit i velmi sofistikovaný podvod, protože žádná phishingová stránka nakonec není úplně přesně shodná jako předloha.

Jejich autoři vždycky zapomenou na nějakou drobnost, anebo při tempu současných proměn naservírují oběti přihlašovací stránku třeba do Apple ID, která tak vypadala před půl rokem.

Co nejčastěji navštěvujte stránky přímo, anebo z opravdu důvěryhodného zdroje

Avast proto doporučuje, abychom co nejvíce spoléhali na přímou návštěvnost a ručně vepisovali URL do adresních řádků. Zároveň bychom neměli hned věřit tomu, když adresní řádek svítí zelenkavou barvou a web tedy používá HTTPS, neboť opravdu můžeme přehlédnout zdánlivě jasný překlep, a tedy trošku jinou doménu, než má originál, čehož si při rychlosti dnešního surfování nemusíme na první pohled vůbec všimnout.

A že se vás phishing netýká, protože jste se nikdy nenechali napálit? Možná, přesto se však díky svému masivnímu šíření jedná o zdaleka nejrozšířenější malwarovou techniku, která se zároveň už v šedé zóně i obchodně profesionalizovala, a tak svoji vlastní phishingovou kampaň spustíte za několik málo dolarů.

Diskuze (11) Další článek: October Update je snad nejhorší aktualizací Windows 10 v historii. Opět se objevily další problémy

Témata článku: Google, Apple, Web, Facebook, Bezpečnost, Internet, Malware, Avast, Antivirus, Podvod, Banka, Phishing, Doména, Pixel, Podobný podvod, Český phishing, První pohled, Falešný web, Skutečný web, Apple ID, Černá listina, Řádek, Záškodník, Počítačové vidění, Celá analýza


Určitě si přečtěte

Samořídicí auto jezdilo po silnicích už v roce 1993. Nemělo radar ani GPS

Samořídicí auto jezdilo po silnicích už v roce 1993. Nemělo radar ani GPS

** Myslíte, že vývoj autonomních vozidel je záležitostí aktuálního století? ** Již před 25 lety Bosch předvedl první autonomní auto ** Historie však sahá ještě o něco hlouběji

Karel Kilián | 14

Blíží se HTTP/3: Web bude rychlejší a bude používat úplně jinou technologii

Blíží se HTTP/3: Web bude rychlejší a bude používat úplně jinou technologii

** Příští verze klíčového protokolu HTTP nebude postavená na TCP ** Namísto toho použije „vylepšené UDP“ ** HTTP/3 bude postavené na QUIC

Jakub Čížek | 60

Užitečné funkce ve Windows 10, o kterých možná ani nevíte

Užitečné funkce ve Windows 10, o kterých možná ani nevíte

** Operační systém Windows 10 nabízí spoustu užitečných drobností ** O některých funkcích mnoho uživatelů není ** Ukážeme vám některé užitečné vychytávky

Vladislav Kluska | 83



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů