Bezpečnost | Malware | Phishing

Phishing je už natolik dobrý, že proti němu musel Avast povolat A.I. se strojovým viděním

  • Zejména zahraniční phishing se rok od roku zlepšuje
  • Záškodníci skvěle napodobují Google i Apple
  • Avast nasadil pokročilé počítačové vidění a kontroluje pixel po pixelu

Nejrozšířenějším typem malwaru je phishing – zpravidla falešné stránky napodobující ty skutečné, skrze které chce záškodník získat naše údaje, které mu k jeho radosti předáme, protože přeci máme pocit, že jsme na skutečném webu PayPalu, Applu, Googlu nebo naší banky.

Češi a obecně obyvatelé menších zemí s vlastním jazykem měli dlouhé roky výhodu, že byl phishing natolik primitivní, aby jej každý prokoukl. Autorům phishingových kampaní se prostě nevyplatilo sehnat nějakého Čecha, který by jim připravil věrohodné texty v naší mateřštině, a tak použili běžně dostupné strojové překladače se všemi jejich chybami.

Jenže i zde už záškodníci udělali obrovský skok vpřed, a tak už dávno neplatí, že co český phishing, to dnes už ikonický drahoušek zákazník. Některé české a úzce cílené phishingové kampaně z poslední doby byly natolik věrohodné, až nebylo překvapením, že přeci jen nějakého toho nešťastníka opravdu ulovily.

Antivir musí stránku opravdu vidět. Podobně jako člověk, ale mnohem lépe.

To je výzva především pro tvůrce antivirů, kteří musejí být v odhalování podobných podvodů ještě lepší. Jeden z těch největších, tuzemský Avast, se nám v e-mailu pochlubil s experimenty s počítačovým viděním a technikami A.I.

Jelikož Avast může sledovat signály ze stovek milionů klientů rozesetých na počítačích po celém světě, ví, jaké adresy navštěvujeme a dokáže je analyzovat. Vedle tradičních metrik jako například hodnocení známosti domén (PageRank aspol.) však do hry zapojil právě i zmíněné počítačové vidění.

0b2e8465-98e0-4c05-ba1a-0dea011099dafb1f069b-13ea-41ac-bfcb-1e2f27aa2d77
Vlevo je záškodnická podoba a vpravo ta skutečná formuláře operátora orange.fr

To v praxi znamená, že když analytickému programu kdesi na serveru dorazí nová adresa, kterou ještě nehodnotil, může ji načíst ve svém virtuálním prohlížeči, vykreslit a analyzovat obrazová data. Když pak narazí na podvodnou stránku třeba francouzského operátora Orange, zjistí, že se na pixelové úrovni podobá originálu, ale nenachází se na důvěryhodné doméně orange.fr.

Právě v tomto okamžiku se pak rozsvítí příslovečný majáček a automat může takovou stránku uložit na černou listinu. Celá analýza přitom trvá kratší dobu než deset sekund. Stroj může být v tomto případě mnohem úspěšnější než člověk, jeho vidění si totiž všimne i nuancí – drobných rozdílů, které by nás vůbec nenapadly.

11b262e6-74d0-4113-9c60-37213e372d7e3fbffe4b-4b3b-4593-9d89-20db1b1c7fd2
Srovnání falešných přihlašovacích stránek Googlu a Applu. Poznali byste okamžitě rozdíl?

Ostatně podívejte se na ukázku třeba této falešné přihlašovací stránky Googlu a té skutečné (starší verze). Když oba snímky položím vedle sebe, je zjevné, že se v drobnostech liší, pointa ale spočívá v tom, že při běžném surfování vedle sebe originál nemáte a těžko byste zaregistrovali, že přihlašovací stránka Googlu, na které se zrovna nacházíte, nemá několik ikonek dalších služeb v zápatí (pozor, opět připomínám, že se jedná o starší verzi přihlašovací stránky).

I phishing má občas HTTPS a certifikát

Možná namítnete, že všechny tyto weby už dnes disponují patřičným certifikátem a šifrováním, a tak v adresním řádku zeleně svítí zámeček, jak však upozorňují experti z Avastu, i mnohé phishingové weby už dnes mají HTTPS a certifikát! Že není vydaný na doménu google.com? To jistě ne, ale jak často při surfování kontrolujete, jestli jste opravdu na google.com a ne třeba na gooogle.com?

185289d9-a861-4696-92cc-a823e074b8a9
Technika strojového vidění porovnává oproti originálu i rozložení pixelů v prostoru. Všimne si proto, že falešný web má některé objekty na stránce trošku odlišné než ten skutečný.

Adresní řádek se při klikání na odkazy stává spíše periferní oblastí zorného pole a nevěnujeme mu takovou pozornost, jakou bychom občas měli. Patrné je to zvláště u prolinků všeho druhu počínaje Facebookem a konče reklamními odkazy ve vyhledávačích, které se záškodníci s menším či větším úspěchem taktéž pokoušejí nakupovat.

Techniky počítačového vidění, kdy stroj kouká na webové stránky jako na vizuální obraz stejně jako my, tedy mohou odhalit i velmi sofistikovaný podvod, protože žádná phishingová stránka nakonec není úplně přesně shodná jako předloha.

Jejich autoři vždycky zapomenou na nějakou drobnost, anebo při tempu současných proměn naservírují oběti přihlašovací stránku třeba do Apple ID, která tak vypadala před půl rokem.

Co nejčastěji navštěvujte stránky přímo, anebo z opravdu důvěryhodného zdroje

Avast proto doporučuje, abychom co nejvíce spoléhali na přímou návštěvnost a ručně vepisovali URL do adresních řádků. Zároveň bychom neměli hned věřit tomu, když adresní řádek svítí zelenkavou barvou a web tedy používá HTTPS, neboť opravdu můžeme přehlédnout zdánlivě jasný překlep, a tedy trošku jinou doménu, než má originál, čehož si při rychlosti dnešního surfování nemusíme na první pohled vůbec všimnout.

A že se vás phishing netýká, protože jste se nikdy nenechali napálit? Možná, přesto se však díky svému masivnímu šíření jedná o zdaleka nejrozšířenější malwarovou techniku, která se zároveň už v šedé zóně i obchodně profesionalizovala, a tak svoji vlastní phishingovou kampaň spustíte za několik málo dolarů.

Diskuze (11) Další článek: October Update je snad nejhorší aktualizací Windows 10 v historii. Opět se objevily další problémy

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,