Wiecie, że gdyby nie sztuczna inteligencja, to nasze liczby sięgające nawet setek tysięcy zatrzymanych prób phishingu byłyby chyba niemożliwe do osiągnięcia? Przy liczbach nowych domen „odbijających” się codziennie od naszych serwerów DNS nasi „cyfrowi pracownicy” są nieocenioną pomocą.

W okularach widać lepiej

Pracuję już w naszym „cybersec” tak długo, że pamiętam początki naszego Security Operations Center. Gdy 11 lat temu (!) uruchomiliśmy monitoring zagrożeń w trybie 24/7/365 nagle okazało się, że czyhających w niej zagrożeń jest wyjątkowo dużo. Oczywiście nie chodzi o to, że przestępcy zaczęli Was atakować w ramach „uczczenia” startu SOC. Po prostu, niczym krótkowidz założywszy okulary, zaczęliśmy nagle dużo więcej widzieć!

„Zaprzęgnięcie” do pracy sztucznej inteligencji i uczenia maszynowego było kolejnym, oczywistym etapem rozwoju. Wiem, zabrzmiało to jak straszna oficjałka 🙂 Ale naprawdę liczba generowanych codziennie witryn/domen phishingowych jest olbrzymia. Tak bardzo, że nawet zatrudnienie wyłącznie do tego stu osób nie pozwoliłoby na „przerobienie” nawet 10 procent ruchu. O jakich liczbach mówimy?

Dziennie na części ruchu serwera DNS, z którego korzysta nasze rozwiązanie, obserwujemy 8-10 mld zdarzeń związanych z DNS, wstępnie agregowanych do 70 mln.

W kolejnym kroku robi się z tego 6 mln unikalnych domen, a ostatecznie 2-3 mln takich, których wcześniej na naszym serwerze nie widzieliśmy. Do tego dochodzi jeszcze blisko 25 mln informacji o nowych certyfikatach dla stron https. To – po korelacji z innymi danymi – też może być istotną informacją. Sami przyznacie, że to poziom niewyobrażalny do analizy przez człowieka.

Ostatecznie na koniec dnia do „ręcznej” weryfikacji trafia ok. 100-150 domen. Czyli między 0,00014 a 0,00021% zagregowanych domen. Bez wsparcia maszynowego – nie do przesiania.

Jak my to robimy?

Tutaj w zasadzie muszę, niczym Naczelnik Mieczysław z „Kilera”, rzec:

„Wiem… Ale nie powiem!”.

Tzn. trochę powiem :), ale szczegóły naszego autorskiego rozwiązania są poufne. Poza tym sam nie jestem wystarczająco mądry, by zrozumieć je na tyle, bym potrafił wytłumaczyć je Wam 🙂 Generalnie nasze sondy obserwujące ruch na jednym z serwerów DNS Orange Polska dokładnie przyglądają się wszystkim wpadającym nań zapytaniom. Czy dana domena pojawia się po raz pierwszy, kiedy została zarejestrowana, gdzie, pod jaki adres IP się odwołuje. Wreszcie – last, but not least – jaką ma nazwę. Zbierając te wszystkie dane sztuczna inteligencja przydziela każdej domenie punktację. Jeśli punkty przekraczają ustalony poziom – domena spada z „sitka” na kolejny etap analizy.

Dodatkowo, gdy strona dotrze już do analizy przez człowieka („przesianymi” witrynami phishingowymi zajmuję się np. ja), finalna decyzja – czy mamy do czynienia z wynikiem prawdziwie, czy fałszywie pozytywnym – wpływa na to, jak algorytmy będą traktować kolejne podobne witryny. Pojęcie uczenia maszynowego nie jest li tylko buzzwordem. Nasze rozwiązanie uczy się i z czasem staje się coraz dokładniejsze.

W sumie, korzystając z AI i innych źródeł, tygodniowo blokujemy 2-2,5 tysiąca domen.

Szybsi – pomaga sztuczna inteligencja

Pewnie macie na końcu języka pytanie: „Czy zdarzają się pomyłki?”. Oczywiście, że tak, nawet Skynet się mylił (oj, skojarzenia to przekleństwo 😉 ). Zdarza się to jednak naprawdę rzadko. To dlatego, że algorytm blokuje tylko witryny, które w sposób absolutnie oczywisty są phishingowe/malware’owe (np. na bazie ich wyglądu). To około połowa zablokowanych stron. W przypadku jakichkolwiek wątpliwości ostateczną decyzję podejmuje człowiek. Czy to jeden z naszych dzielnych operatorów SOC na I linii, czy też III linia, czyli wyżej podpisany albo któryś z moich kolegów. Co ciekawe, trafiają się oszuści z wyjątkowym tupetem! Potrafią, pisząc z adresu w domenie @protonmail.com, zażądać odblokowania konkretnej strony. Jeden nawet w ciągu kilku dni z tego samego adresu poprosił o zdjęcie blokady z trzech, bezdyskusyjnie phishingowych. Czasami w przypadku dużych wątpliwości uruchamiamy nawet „inteligencję białkową” 🙂 i wtedy dzwonię do firmy, która wydaje się być właścicielem witryny, by potwierdzić, czy to aby na pewno nie ich.

Gdyby jednak nie wsparcie naszego działającego w mgnieniu oka cyfrowego przyjaciela, na pewno nie byłoby tak łatwo. Nie byłoby mowy o zablokowaniu phishingowej witryny kilkanaście minut po jej powstaniu! Albo uniemożliwieniu (dzięki informacji o wystawieniu certyfikatu) wejścia na strony z SMSowych phishingów czasem nawet zanim wiadomość dotrze do pierwszej ofiary. Pozostaje tylko mieć nadzieję, że nie ma takich ambicji jak filmowy Skynet 😉

Zdjęcie z www.vpnsrus.com na licencji CC BY 2.0

W tym tygodniu proponujemy 3 smartfony w niższych cenach: Xiaomi Mi 10 Lite 5G 6/64 GB mniej o 168 zł, OPPO Reno4Z 5G i LG K42 do 120 zł taniej.

Jak kupić telefon w okazyjnej cenie?

Nasza kolejna czwartkowa oferta obowiązuje nowych i obecnych użytkowników Orange Love oraz Planów Mobilnych. Możecie z niej skorzystać, niezależnie od tego, jaki z pakietów posiadacie, choć od tego będzie już zależała cena zakupu nowego telefonu. Szczegóły dostępne są tutaj.

Promocja trwa od 29 kwietnia do 5 maja – do końca dnia.

Smartfony w promocji

• Xiaomi Mi 10 Lite 5G 6/64 GB – nowoczesny model z niższej półki cenowej. Charakteryzuje go poczwórny aparat – z ultraszerokokątnym obiektywem, makro i wieloma narzędziami oraz trybami fotograficznymi. Do tego posiada m.in. inteligentny wyświetlacz z częstotliwością odświeżania 120 Hz oraz filtrem niebieskiego światła, czyli ochroną wzroku. Bezpieczeństwo i komfort użytkowania.

• OPPO Reno4Z 5G – wszechstronny smartfon z pojemną baterią, funkcją szybkiego ładowania, opcją rozpoznawania linii papilarnych i twarzy. Ma duże możliwości fotograficzne oraz liczne udogodnienia np. Hyperboost – poprawiający wydajność w grach czy wysoką rozdzielczość FullHD ekranu.

• LG K42 – praktyczny i wytrzymały smartfon dla miłośników rozrywki, wyzwań i aktywnego trybu życia. Wyróżnia się dużym ekranem HD+, realistyczną jakością dźwięku, a także dużą dbałością o szczegóły obrazów. Sprawdzi się do oglądania filmów, słuchania muzyki, grania, czy robienia zdjęć i animacji. Bez problemu można go zabrać w podróż lub do pracy, niezależnie od warunków, bo jest wytrzymały na wilgoć, temperaturę i upadki.

Który z nich wybieracie?

Zapraszamy do nowej, sezonowej promocji. Od dziś możecie aktywować „Rozmowy, SMS-y i MMS-y bez limitu do wszystkich + pakiet 5GB” i być w kontakcie z bliskimi, a także cieszyć się dodatkowym internetem.

Kto może skorzystać z promocji?

Majówkowa akcja skierowana jest dla użytkowników taryf: Orange YES, Orange POP, Orange Free na kartę oraz oferty Zetafon. Każdy klient może włączyć bonus tylko raz.

Jak aktywować usługę w swoim telefonie?

Aby skorzystać z promocji trzeba wysyłać bezpłatnego SMS-a o treści MAJOWKA – pod numer 364. Pakiet można uruchomić w dniach 29 kwietnia – 3 maja 2021 r. do godz. 23:59.59. Należy mieć aktywne konto główne.

Szczegóły „Majówki” w Orange na kartę dostępne są na stronie orange.pl.