Mô hình phát hiện trang web lừa đảo đa giai đoạn hiệu quả

Phishing là phương pháp phổ biến nhất mà tội phạm mạng sử dụng để đánh cắp thông tin ngày nay, và mối đe dọa mạng này ngày càng trở nên tồi tệ hơn khi ngày càng có nhiều báo cáo về rò rỉ quyền riêng tư và tổn thất tài chính do loại tấn công mạng này gây ra. Điều quan trọng cần nhớ là cách ODS phát hiện phishing không hoàn toàn xem xét những gì làm cho phishing hoạt động.

Ngoài ra, các mô hình phát hiện chỉ hoạt động tốt trên một số lượng nhỏ các tập dữ liệu. Chúng cần được cải thiện trước khi có thể sử dụng trong môi trường web thực tế. Vì lý do này, người dùng muốn có những cách mới để nhanh chóng và chính xác tìm ra các trang web phishing. Đối với điều này, các nguyên tắc của kỹ thuật xã hội cung cấp những điểm thú vị có thể được sử dụng để tạo ra các cách hiệu quả để phát hiện các trang web phishing ở các giai đoạn khác nhau, đặc biệt là trên web thực tế.

Lịch sử của Phishing

Hãy nhớ rằng phishing là một loại tấn công kỹ thuật xã hội phổ biến, có nghĩa là hacker sử dụng bản năng tự nhiên, sự tin tưởng, sợ hãi và lòng tham của con người để lừa họ làm những điều xấu. Nghiên cứu về an ninh mạng cho thấy phishing đã tăng 350% trong thời gian cách ly COVID-19. Người ta cho rằng chi phí của phishing hiện nay là 1/4 chi phí của các cuộc tấn công mạng truyền thống, nhưng doanh thu lại gấp đôi so với trước đây. Các cuộc tấn công phishing khiến các doanh nghiệp vừa phải chi trung bình $1,6 triệu đô la để đối phó vì mối đe dọa mạng này khiến việc mất khách hàng dễ dàng hơn là thu hút họ.

Các cuộc tấn công phishing có thể trông khác nhau và thường sử dụng một số cách để giao tiếp với mọi người, như email, tin nhắn văn bản và mạng xã hội. Dù kênh nào được sử dụng, kẻ tấn công thường giả danh các ngân hàng nổi tiếng, công ty thẻ tín dụng hoặc trang thương mại điện tử để khiến người dùng sợ hãi đăng nhập vào trang phishing và thực hiện những điều họ sẽ hối tiếc sau này, hoặc buộc họ phải làm như vậy.

Ví dụ, một người dùng có thể nhận được một tin nhắn tức thì nói rằng có vấn đề với tài khoản ngân hàng của họ và được gửi đến một liên kết web trông rất giống với liên kết mà ngân hàng sử dụng. Người dùng không suy nghĩ hai lần về việc nhập tên người dùng và mật khẩu của mình vào các trường mà tội phạm cung cấp. Anh ta ghi chú lại thông tin của cô ấy, sau đó sử dụng để truy cập vào phiên của người dùng.

Cần cải thiện gì trong các phương pháp chống phishing?

Để trả lời câu hỏi này, chúng ta phải hiểu quy trình phishing điển hình, được thể hiện trong hình dưới đây.

Phương pháp chống phishing chính hiện nay là phát hiện trang web phishing dựa trên học máy. Chế độ phát hiện trực tuyến này, dựa trên học tập thống kê, là phương pháp chống phishing chính; tuy nhiên, tính bền vững và hiệu quả của nó trong môi trường web phức tạp cần được cải thiện. Các vấn đề chính với các phương pháp chống phishing dựa trên học máy được tóm tắt dưới đây.

• Ngày càng có nhiều tính năng bị loại bỏ bởi các phương pháp chống phishing, nhưng không rõ tại sao các tính năng này bị loại bỏ. Các tính năng hiện có không phản ánh chính xác bản chất của phishing, sử dụng giả mạo để đánh cắp thông tin nhạy cảm. Do đó, các chức năng chỉ có hiệu lực trong một số ít kịch bản cụ thể và hạn chế, chẳng hạn như các tập dữ liệu cụ thể hoặc một plugin trình duyệt.

• Các thuật toán hiện có xử lý tất cả các trang web theo cùng một cách, dẫn đến mô hình thống kê không hiệu quả. Nói cách khác, các mô hình không phù hợp để sử dụng trong môi trường web thực tế với một số lượng lớn các trang web phức tạp.

• Hầu hết các tập dữ liệu không có đủ mẫu, và sự đa dạng của các mẫu không được tính đến. Ngoài ra, tỷ lệ mẫu dương và mẫu âm không thực tế. Nói chung, các mô hình được xây dựng từ các loại tập dữ liệu này có rất nhiều hiện tượng overfitting, và tính bền vững của các mô hình cần được cải thiện.

Đã có tiến bộ gì trong các phương pháp chống phishing?

Trong vài năm qua, người ta đã cố gắng phát triển một phương pháp chống phishing quy mô lớn, đáng tin cậy và hiệu quả hoạt động trong môi trường web thực tế. Phương pháp này dựa trên các thuật toán học máy thống kê được cải thiện bởi các thử nghiệm sau:

• Sử dụng phân tích chi tiết về mô hình tấn công phishing để tìm ra các chức năng thống kê cho chống phishing. Các chức năng “giả mạo,” “liên kết,” “trộm cắp,” và “đánh giá” đều được trích xuất bởi các mô hình hiện tại. Chúng được gọi là “chức năng ”CASE”. Mô hình này cho thấy cách kỹ thuật xã hội được sử dụng trong các cuộc tấn công phishing và mức độ liên quan và chất lượng của nội dung trên web. Mô hình CASE xem xét thực tế rằng giả mạo là một phần của phishing, đảm bảo rằng các tính năng có thể được phân biệt và tổng quát hóa, và cung cấp hỗ trợ ở cấp độ tính năng cho việc phát hiện phishing hiệu quả.

• Vì các trang web hợp pháp và phishing không có cùng lượng truy cập, các mô hình phát hiện hiện tại dựa trên hệ thống bảo mật nhiều giai đoạn. Ý tưởng đằng sau các mô hình có nhiều giai đoạn phát hiện là đảm bảo “lọc nhanh và nhận diện chính xác.” Trong giai đoạn lọc nhanh, các trang web hợp pháp được loại bỏ. Nhận diện chính xác có giám sát sau đó được thực hiện bằng cách học các mẫu dương và âm cụ thể trong phạm vi nhỏ hơn. Triết lý phát hiện này đảm bảo hiệu suất cao với thời gian phát hiện ngắn hơn, điều này thực tế hơn cho web thực tế.

• Các mô hình chống phishing mới dựa trên việc xây dựng các tập dữ liệu gần nhất có thể với môi trường web thực tế, với các ngôn ngữ, chất lượng nội dung và thương hiệu khác nhau. Ngoài ra, vì phát hiện phishing là một vấn đề mất cân bằng lớp, nhiều mẫu dương và âm hiện được cho là bị lẫn lộn, điều này làm cho chúng rất khó tìm. Tất cả những điều này làm cho việc phát hiện khó khăn hơn để tạo ra các mô hình phát hiện chống phishing hoạt động tốt và có thể được sử dụng trong môi trường web thực tế.

Ngay cả nhiều mô hình chống phishing hoạt động bằng cách so sánh URL, tiêu đề, liên kết, hộp đăng nhập, thông tin bản quyền, điều khoản bảo mật, thông tin công cụ tìm kiếm, và thậm chí cả logo của các thương hiệu trang web, và đã được chứng minh rằng chúng có thể được sử dụng để tìm các trang web phishing. Trong vài năm qua, nhiều sự chú ý đã được dành cho các tính năng giả mạo trực quan và các tính năng đánh giá. Nhưng chúng chưa đủ mạnh để xác định liệu một trang có phải là trang phishing hay không.

“Hơn 98% các trang web phishing sử dụng tên miền giả,” theo APWG. Đối với các mô hình chống phishing, các nhà nghiên cứu sử dụng thông tin từ chuỗi URL. Tuy nhiên, việc lấy thông tin đằng sau tên miền, chẳng hạn như đăng ký và giải quyết tên miền, cũng rất quan trọng để phát hiện phishing. Thông tin này thường có thể cho thấy liệu một tên miền có được phép cung cấp dịch vụ liên quan đến một thương hiệu hay không. Vì vậy, công việc chính của các nhà nghiên cứu chống phishing là tìm ra các tính năng hiệu quả. Họ làm điều này bằng cách xem xét các cuộc tấn công kỹ thuật xã hội và đề xuất một khung tính năng hoàn chỉnh và dễ hiểu bao quát không chỉ tất cả các khía cạnh của các cuộc tấn công phishing mà còn cả chất lượng và mức độ liên quan của nội dung web.

Phát hiện phishing nhiều giai đoạn

Giai đoạn 1: Lọc danh sách trắng Ở giai đoạn này, các trang web thực tế được tách ra khỏi các trang đáng ngờ dựa trên tên miền phishing của trang web cho thương hiệu mục tiêu.

Giai đoạn 2: Đây là giai đoạn loại bỏ nhanh chóng các hóa đơn giả. Điều này bao gồm việc loại bỏ chức năng tiêu đề giả, chức năng văn bản giả, và chức năng trực quan giả bằng cách sử dụng mô hình phát hiện. Bước cuối cùng là trích xuất và kết hợp các chức năng nhận diện chính xác của giả mạo, trộm cắp, liên kết, đánh giá, đào tạo, và phát hiện các mô hình sử dụng chức năng CASE, là một phát hiện phishing dựa trên đào tạo dựa trên các mô hình đã thay đổi.

Kết luận

Với cách tiếp cận ngăn chặn phishing này, dựa trên phát hiện đa quy mô, sẽ có 883 cuộc tấn công phishing vào China Mobile, 86 vào Ngân hàng Trung Quốc, 19 vào Facebook, và 13 vào Apple trong năm 2022. Điều này chứng minh rằng mô hình CASE bao phủ không gian tính năng phản ánh bản chất giả mạo của phishing, đảm bảo rằng các tính năng có thể được phân biệt và tổng quát hóa, và cung cấp hỗ trợ phát hiện phishing hiệu quả ở cấp độ tính năng.