Как отличить фишинговый сайт


Как определить фишинговый сайт — Офтоп на vc.ru

Фишинг — вид интернет-мошенничества, когда злоумышленники пытаются получить конфиденциальную информацию пользователей, например, логин, пароль, данные банковской карты.

С марта 2016 года по март 2017 года компания Google и Калифорнийский университет в Беркли изучали способы обмана в интернете. И выяснилось, что за год 12,4 млн пользователей стали жертвами фишинговых атак. «Лаборатория Касперского» сообщает о том, что более 15,9% уникальных пользователей сталкивались с проблемой фишинга в 2017 году.

В Университете имени Фридриха-Александра в Эрлангене и Нюрнберге выяснили, что 78% опрошенных пользователей знают об опасности перехода по ссылкам от неизвестных отправителей. Но 56% получателей электронной почты и около 40% пользователей Facebook всё равно переходят по ссылкам. У российских пользователей ситуация не лучше. По данным Службы кибербезопасности Сбербанка, 48% людей, получивших письма из незнакомых источников, переходили на фишинговые ресурсы и вводили логины, пароли или данные банковских карт.

Как мошенники заманивают пользователей на фишинговые сайты?

Для того чтобы заманить на поддельный сайт, мошенники используют социальные сети, SMS или электронную почту.

Социальные сети

Вам могут написать с неизвестного аккаунта или со взломанного профиля знакомого с просьбой перейти по ссылке. Как правило, просят побыстрее кликнуть на ссылку, чтобы узнать нечто необычное или ценное.

Злоумышленники заманивают жертву с помощью упоминания в записи сообщества. Например, мошенники фальсифицируют группу известной радиостанции, и сообщают в публикации от имени группы, что вы выиграли ценный приз и должны прямо сейчас перейти на сайт для получения дальнейших инструкций.

Кстати, если вам предлагают оплатить пересылку или страховку за выигрыш или подарок, то это тоже признак мошенничества.

Если вы когда-либо размещали или разместите объявление на популярных интернет-площадках, таких как Avito, злоумышленники могут включить ваш номер в SMS-рассылку. В этом случае вам придут SMS с предложением обмена и ссылкой на страницу якобы товара. Ссылка будет вести на фишинговый сайт, а может, и на зараженную вирусом страницу.

Как и в случае с социальными сетями, мошенники могут прикинуться знакомыми и предложить перейти по ссылке, чтобы увидеть информацию якобы о вас.

Электронная почта

Способов заманить пользователей на фишинговый сайт с помощью электронной почты у мошенников просто множество. Ведь письма поддерживают HTML-вёрстку и адрес фишингового сайта можно замаскировать под знакомый пользователям домен.

Письма подделываются под сообщения о якобы взломе почты, банковского счёта, страницы в социальных сетях; уведомления от органов власти, благотворительных организаций и судебных инстанций; информацию о возможном возврате НДС при зарубежных покупках и необходимости оплатить налоги или штрафы. Все письма будут содержать ссылки для перехода на фишинговый сайт.

Ссылка может быть выполнена и в виде QR-кода. Например, вам предложат полезную программу для возврата налогов или снижения штрафов.

Какие сайты подделывают мошенники?

Фишинг направлен на кражу персональных данных пользователей под предлогом оплаты или регистрации в качестве клиента. Так подделывают сайты:

  • авиакомпаний;
  • банковских и микрофинансовых организаций;
  • пл

Что такое фишинг? Как это работает и как это предотвратить

ПоискБезопасность Поиск в сети TechTarget Зарегистрироваться сейчас. Начни мой бесплатный неограниченный доступ. Авторизоваться регистр
  • Сеть Techtarget
  • Новости
  • Характеристики
  • подсказок
  • Другой контент
    • ответы
    • Справочники покупателя
    • Определения
    • Основные руководства
    • Отзывы
    • Фоторепортажи
    • Подкасты
    • Тесты
    • Технические ускорители
    • Учебники
    • Спонсируемые сообщества
  • Школы
  • ПоискБезопасность
  • Тема Угрозы информационной безопасности
    • Безопасность данных
    • Управление идентификацией и доступом
    • Сетевая безопасность
    • Обучение и работа в сфере безопасности
    • Программы Infosec
    • Стратегии управления рисками
    • Обнаружение сетевых угроз
    • Безопасность платформы
    • Соответствие безопасности
    • Безопасность программного обеспечения
    • Инструменты веб-безопасности
    • Безопасность беспроводной и мобильной связи
    • Все темы
  • Подраздел

.

Полное руководство по фишингу | MetaCompliance

1. Несоответствующий URL

Первое, что нужно проверить в подозрительном электронном письме, - это действительность URL-адреса. Если вы наведете указатель мыши на ссылку, но не щелкнете по ней, вы должны увидеть полный адрес с гиперссылкой. Несмотря на то, что он кажется совершенно законным, если URL-адрес не соответствует отображаемому адресу, это указывает на то, что сообщение является мошенническим и, вероятно, является фишинговым.


2. Электронное письмо запрашивает личную информацию

Компания с хорошей репутацией никогда не будет рассылать клиентам электронные письма с просьбой предоставить личную информацию, такую ​​как номер учетной записи, пароль, PIN-код или контрольные вопросы. Если вы получили электронное письмо с запросом этой информации, скорее всего, это фишинговое письмо, и его следует немедленно удалить.

Смотрите наши ресурсы на:

Что такое электронная почта от программ-вымогателей? 5 советов, как обнаружить один

Как распознать фишинг-мошенничество


3.Плохая орфография и грамматика

Киберпреступники не славятся своим высоким качеством орфографии и грамматики. Всякий раз, когда законные компании рассылают клиентам электронные письма, их часто проверяют копирайтеры, чтобы убедиться в правильности орфографии и грамматики. Если вы обнаружите какие-либо орфографические ошибки или плохую грамматику в электронном письме, маловероятно, что оно было отправлено официальной организацией и могло указывать на наличие фишингового письма.

Подробнее о характеристиках фишинг-атаки


4.Использование угрожающих или срочных слов

Распространенная тактика фишинга - вызвать чувство страха или срочности, чтобы заставить кого-то щелкнуть ссылку. Киберпреступники часто используют угрозы, указывающие на то, что ваша безопасность была скомпрометирована и что требуются срочные меры для исправления ситуации. Будьте осторожны с темами, в которых утверждается, что в вашу учетную запись была внесена «попытка несанкционированного входа» или «ваша учетная запись была приостановлена». Если вы не уверены в законности запроса, свяжитесь с компанией напрямую через их официальный сайт или официальный номер телефона.


5. Неожиданная переписка

Если вы получите электронное письмо с информацией о том, что вы выиграли соревнование, в котором не участвовали, или с просьбой перейти по ссылке, чтобы получить приз, велика вероятность быть фишинговым письмом. Если предложение кажется слишком хорошим, чтобы быть правдой, обычно так оно и есть!

.

Фишинг | Методы фишинга

Существует ряд различных методов, используемых для получения личной информации от пользователей. По мере того, как технологии становятся все более продвинутыми, используемые киберпреступники также становятся все более совершенными.

Чтобы предотвратить интернет-фишинг, пользователи должны знать, как это делают злоумышленники, а также знать о методах защиты от фишинга, чтобы не стать жертвами.


.

Обнаружение фишинговых URL-адресов с помощью ML. Фишинг - это форма мошенничества, при которой… | автор: Ebubekir Büber

Многие пользователи невольно переходят по фишинговым доменам каждый день и каждый час. Злоумышленники нацелены как на пользователей, так и на компании. Согласно 3-му отчету Microsoft Computing Safer Index Report, опубликованному в феврале 2014 года, ежегодный мировой ущерб от фишинга может достигать 5 миллиардов долларов.

В чем причина такой стоимости?

Основная причина - неосведомленность пользователей.Но защитники безопасности должны принять меры, чтобы пользователи не могли столкнуться с этими вредоносными сайтами. Предотвращение этих огромных затрат может начаться с осознания людей в дополнение к созданию надежных механизмов безопасности, которые способны обнаруживать и предотвращать попадание фишинговых доменов к пользователю.

Давайте проверим структуру URL, чтобы четко понять, как думают злоумышленники, когда они создают фишинговый домен.

Унифицированный указатель ресурсов (URL) создается для адресации веб-страниц.На рисунке ниже показаны соответствующие части в структуре типичного URL-адреса.

Он начинается с протокола, используемого для доступа к странице. Полное доменное имя определяет сервер, на котором размещена веб-страница. Он состоит из зарегистрированного доменного имени (домен второго уровня) и суффикса, который мы называем доменом верхнего уровня (TLD). Часть доменного имени ограничена, так как она должна быть зарегистрирована Регистратором доменного имени. Имя хоста состоит из имени поддомена и имени домена. Фишер имеет полный контроль над частями субдомена и может устанавливать для них любое значение.URL-адрес также может содержать путь и компоненты файла, которые также могут быть изменены фишером по своему желанию. Имя поддомена и путь полностью контролируются фишером. Мы используем термин FreeURL для обозначения этих частей URL-адреса в оставшейся части статьи.

Злоумышленник может зарегистрировать любое доменное имя, которое не было зарегистрировано ранее. Эта часть URL может быть установлена ​​только один раз. Фишер может изменить FreeURL в любое время, чтобы создать новый URL. Причина, по которой защитники безопасности не могут обнаружить фишинговые домены, заключается в уникальной части домена веб-сайта (FreeURL).Если домен обнаружен как мошеннический, его легко предотвратить до того, как пользователь получит к нему доступ.

Некоторые компании по анализу угроз обнаруживают и публикуют мошеннические веб-страницы или IP-адреса в виде черных списков, что упрощает предотвращение этих вредоносных активов другими лицами. (cymon, firehol)

Злоумышленник должен разумно выбрать доменные имена, потому что цель должна убедить пользователей, а затем установить FreeURL, чтобы затруднить обнаружение. Давайте проанализируем приведенный ниже пример.

Хотя настоящее доменное имя - active-userid.com, злоумышленник попытался сделать домен похожим на paypal.com, добавив FreeURL. Когда пользователи видят paypal.com в начале URL-адреса, они могут доверять сайту и подключаться к нему, а затем могут поделиться своей конфиденциальной информацией с этим мошенническим сайтом. Это часто используемый злоумышленниками метод.

Другие методы, которые часто используются злоумышленниками, - это киберсквоттинг и типосквоттинг.

Киберсквоттинг (также известный как сквоттинг доменов) - это регистрация, незаконный оборот или использование доменного имени с недобросовестным намерением извлечь выгоду из репутации торговой марки, принадлежащей другому лицу.Киберсквоттер может предложить продать домен физическому или юридическому лицу, владеющему товарным знаком, содержащимся в названии, по завышенной цене или может использовать его в мошеннических целях, таких как фишинг. Например, название вашей компании - «abcompany», и вы регистрируетесь как abcompany.com. Затем фишеры могут зарегистрировать abcompany.net, abcompany.org, abcompany.biz и использовать их в мошеннических целях.

Типосквоттинг, также называемый перехватом URL-адресов, - это форма киберсквоттинга, основанная на ошибках, таких как опечатки, допущенные пользователями Интернета при вводе адреса веб-сайта в веб-браузер, или на опечатках, которые трудно заметить при быстром чтении.URL-адреса, созданные с помощью Typosquatting, выглядят как доверенный домен. Пользователь может случайно ввести неправильный адрес веб-сайта или щелкнуть ссылку, которая выглядит как доверенный домен, и, таким образом, он может посетить альтернативный веб-сайт, принадлежащий фишеру.

Известным примером Typosquatting является goggle.com , чрезвычайно опасный веб-сайт. Еще одна похожая вещь - yutube.com , которая похожа на goggle.com , за исключением пользователей Youtube .Аналогичным образом, www.airfrance.com был опечатан как www.arifrance.com , что перенаправило пользователей на веб-сайт, торгующий скидками на поездки. Еще несколько примеров; paywpal.com , microroft.com , applle.com , appie.com .

В академической литературе и коммерческих продуктах существует множество алгоритмов и самых разных типов данных для обнаружения фишинга. Фишинговый URL-адрес и соответствующая страница имеют несколько функций, которые можно отличить от вредоносного URL-адреса.Например; злоумышленник может зарегистрировать длинный и запутанный домен, чтобы скрыть реальное доменное имя ( Cybersquatting, Typosquatting). В некоторых случаях злоумышленники могут использовать прямые IP-адреса вместо доменного имени. Этот тип события выходит за рамки нашей области применения, но его можно использовать для той же цели. Злоумышленники также могут использовать короткие доменные имена, которые не имеют отношения к законным торговым маркам и не содержат каких-либо дополнений FreeUrl. Но этот тип веб-сайтов также выходит за рамки нашей компетенции, потому что они больше подходят для мошеннических доменов, чем для фишинговых.

Помимо функций на основе URL-адресов, используются различные виды функций, которые используются в алгоритмах машинного обучения в процессе обнаружения академических исследований. Функции, собранные в результате академических исследований для обнаружения фишинговых доменов с помощью методов машинного обучения, сгруппированы, как указано ниже.

  1. Функции на основе URL
  2. Функции на основе домена
  3. Функции на основе страниц
  4. Функции на основе содержимого

Функции на основе URL

URL - это первое, что нужно проанализировать веб-сайт, чтобы определить, является ли он фишингом или не.Как мы упоминали ранее, URL-адреса фишинговых доменов имеют некоторые отличительные особенности. Функции, связанные с этими точками, получаются при обработке URL-адреса. Некоторые из функций на основе URL-адресов приведены ниже.

  • Количество цифр в URL-адресе
  • Общая длина URL-адреса
  • Проверка, является ли URL-адрес Typosquatted или нет. (google.com → goggle.com)
  • Проверка, содержит ли он законный бренд или нет (apple-icloud-login.com)
  • Количество субдоменов в URL-адресе
  • Домен верхнего уровня (TLD) является одним из наиболее распространенных использовал один?

Доменные функции

Цель обнаружения фишинговых доменов - обнаружение фишинговых доменных имен.Таким образом, пассивные запросы, связанные с доменным именем, которые мы хотим классифицировать как фишинговые или нет, предоставляют нам полезную информацию. Ниже приведены некоторые полезные доменные функции.

  • Его доменное имя или его IP-адрес в черных списках известных репутационных служб?
  • Сколько дней прошло с момента регистрации домена?
  • Имя регистранта скрыто?

Страничные функции

Страничные функции используют информацию о страницах, которые рассчитываются службами ранжирования репутации.Некоторые из этих функций дают информацию о том, насколько надежен веб-сайт. Некоторые из страничных функций приведены ниже.

  • Глобальный рейтинг страницы
  • Рейтинг страницы страны
  • Позиция Alexa Top 1 миллион сайтов

Некоторые страничные функции дают нам информацию об активности пользователей на целевом сайте. Некоторые из этих функций приведены ниже. Получить такие функции непросто. Есть несколько платных сервисов для получения этих функций.

  • Расчетное количество посещений домена за день, неделю или месяц
  • Среднее количество просмотров страниц за посещение
  • Средняя продолжительность посещения
  • Доля веб-трафика на страну
  • Количество ссылок из социальных сетей на данный домен
  • Категория домена
  • Подобные сайты и др.

Контентные функции

Для получения этих типов функций требуется активное сканирование на целевой домен. Содержимое страницы обрабатывается, чтобы мы могли определить, используется ли целевой домен для фишинга или нет. Некоторая обработанная информация о страницах приведена ниже.

  • Заголовки страниц
  • Мета-теги
  • Скрытый текст
  • Текст в теле
  • Изображения и т. Д.

Анализируя эту информацию, мы можем собрать такую ​​информацию, как;

  • Требуется ли вход на сайт?
  • Категория сайта
  • Информация о профиле аудитории и т. Д.

Все описанные выше функции полезны для обнаружения фишинговых доменов. В некоторых случаях использование некоторых из них может оказаться бесполезным, поэтому существуют некоторые ограничения для использования этих функций. Например, может быть нелогично использовать некоторые функции, такие как функции на основе содержимого, для разработки механизма быстрого обнаружения, который может анализировать количество доменов от 100 000 до 200 000. Другой пример: если мы хотим анализировать новые зарегистрированные домены, функции на основе страниц не очень полезны.Таким образом, функции, которые будут использоваться механизмом обнаружения, зависят от цели механизма обнаружения. Следует тщательно выбирать, какие функции использовать в механизме обнаружения.

Обнаружение фишинговых доменов - это проблема классификации, поэтому нам нужны помеченные данные, которые содержат образцы как фишинговые домены и законные домены на этапе обучения. Набор данных, который будет использоваться на этапе обучения, является очень важным моментом для построения успешного механизма обнаружения.Мы должны использовать образцы, классы которых точно известны. Это означает, что образцы, помеченные как фишинговые, должны быть абсолютно определены как фишинговые. Аналогичным образом образцы, помеченные как законные, должны быть абсолютно признаны законными. В противном случае система не будет работать правильно, если мы будем использовать образцы, в которых мы не уверены.

Для этого создаются некоторые общедоступные наборы данных для фишинга. Один из самых известных - PhishTank. Эти источники данных обычно используются в академических исследованиях.

Другой проблемой является сбор законных доменов. Для этого обычно используются сервисы репутации сайтов. Эти сервисы анализируют и ранжируют доступные веб-сайты. Этот рейтинг может быть глобальным или зависеть от страны. Механизм ранжирования зависит от множества функций. Веб-сайты, которые имеют высокие рейтинги, являются законными сайтами, которые используются очень часто. Один из известных сервисов рейтинга репутации - Alexa. Исследователи используют топ-листы Alexa для легитимных сайтов.

Когда у нас есть необработанные данные о фишинговых и законных сайтах, следующим шагом должна быть обработка этих данных и извлечение из них значимой информации для обнаружения мошеннических доменов. Набор данных, который будет использоваться для машинного обучения, должен фактически включать эти функции. Итак, мы должны обработать необработанные данные, которые собираются из Alexa, Phishtank или других ресурсов данных, и создать новый набор данных для обучения нашей системы алгоритмам машинного обучения. Значения характеристик должны быть выбраны в соответствии с нашими потребностями и целями и должны быть рассчитаны для каждого из них.

Существует так много алгоритмов машинного обучения, и каждый алгоритм имеет свой собственный рабочий механизм. В этой статье мы объяснили Decision Tree Algorithm , потому что я думаю, что это простой и мощный алгоритм.

Изначально, как мы уже упоминали выше, одной из проблем классификации является фишинговый домен. Итак, это означает, что нам нужны помеченные экземпляры для создания механизма обнаружения. В этой задаче мы имеем два класса: (1) фишинговых и (2) легитимных.

Когда мы вычисляем функции, которые мы выбрали для наших нужд и целей, наш набор данных выглядит так, как показано на рисунке ниже. В наших примерах мы выбрали 12 характеристик и рассчитали их. Таким образом, мы создали набор данных, который будет использоваться на этапе обучения алгоритма машинного обучения.

.

Смотрите также

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Одноклассники
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий