Bezpieczeństwo

Fake newsy i clickbaity

15 lipca 2021

Fake newsy i clickbaity

Kiedy Wy czytacie ten tekst, ja [cokolwiek] nad pięknym polskim morzem. W miejsce [cokolwiek] wstawcie „opalam się”, bądź „moknę” – w zależności od tego, jaka akurat jest pogoda 🙂 Ale jakoś tak, gdy zastanawiałem się, co spakować, wpadł mi pomysł na tekst – szkoda byłoby go zmarnować, prawda?

Większe lub mniejsze, ale wciąż oszustwo

Przyglądaliście się ostatnio (mówimy o latach, nie dniach) mediom? I tym klasycznym i tym społecznościowym. Jak często widzicie w nich wyważone, stonowane opinie? Gdybyście mieli policzyć widziane na stronach internetowych tytuły artykułów – ile z nich po prostu informowało, a ile krzykliwie (z mniejszą lub większą subtelnością) wzbudzało emocje? Wreszcie – jak często samo łapiecie się na takie socjotechniczne „wędki”?

Zatrzymywane przez CyberTarczę regularnie setki, czy nawet tysiące domen, dowodzą, że statystycznie często. Inaczej oszustom nie opłacałoby się generować kolejnych kampanii! Wielkie zarobki, kasjerka z dyskontu odbijająca się od dna dzięki inwestycji w kryptowaluty, wielodzietna rodzina, kupująca za pieniądze z tego źródła wymarzony dom. No i wywołujące olbrzymie emocje informacje o porwaniach dzieci! W czasach pędu z newsem i ciągle brakującego czasu, często najpierw klikamy, a potem – za późno – myślimy…

A w tle czai się socjotechnika

Zaraz zaraz – w pierwszym akapicie piszesz o newsach, a w drugim o phishingu! Jaki to ma sens? Dla każdego z Was, kto tak pomyślał, wielkie brawa. To dowód na to, że nie pochłaniacie tekstu bezrefleksyjnie. A odpowiadając na pytanie: to nie był przypadek. Zastanówcie się, czy nie widzicie podobieństwa mechanizmów, używanych przy phishingu i klasycznych (niestety) dla wielu mediów clickbaitach? W obu przypadkach to socjotechnika i – co więcej – jednym i drugim zależy na pieniądzach! Ale tylko ci drudzy robią to uczci… tzn. zgodnie z prawem.

Czy zatem fake newsa należałoby stawiać na równi z clickbaitem? Na pewno nie zaszkodzi używać na co dzień tych samych mechanizmów, o które Was proszę przy rozpoznawaniu phishingów. Na pewno dlatego, by nie marnować czasu na to, co Was nie interesuje. Ale przede wszystkim ze względu na… bańki.

Im więcej lajków, tym dokładniejszy profil

Wróćmy na chwilę do pierwszego śródtytułu, tam, gdzie pisałem o stonowanych opiniach – czy raczej ich braku. Spójrzcie raz jeszcze jakiś czas wstecz i zastanówcie się, jak często widzieliście w mediach społecznościowych newsy, które Was totalnie nie interesują? Albo takie, które idą zupełnie pod prąd Waszym poglądom? Założenie „im więcej korzystam z social mediów, tym rzadziej” wcale nie jest karkołomne. Co więcej – jest dowiedzione, do czego przyznały się swego czasu również odpowiedzialne osoby ze społecznościowych mediów. Im więcej klikamy, im więcej oglądamy, im więcej „lajkujemy”, czy „serduszkujemy” – tym bardziej dokładny jest nasz profil, wygenerowany przez algorytmy. Często nie zdajemy sobie sprawy jak bardzo dokładny! Co więcej – media społecznościowe mogą nas profilować nawet, gdy nie jesteśmy zalogowani, a nawet… nie mamy na nich konta, Nie wierzycie? Obejrzyjcie choćby Dylemat Społeczny. To nie są wymysły – to fakty. Dla mnie (nawet dla mnie, przy mojej wiedzy) chwilami przerażające. Profilowanie wyborców przed kolejnymi elekcjami w ostatnich latach, w wielu krajach, to nie są bajki z mchu i paproci! Teraz wybory wygrywa się dostarczając odpowiednie informacje odpowiednio sprofilowanym „produktom”. Nam.

A skoro algorytmy dostarczają nam dokładnie dopasowane do nas treści (bo to będziemy klikać!), te coraz bardziej wpędzają nas w poczucie słuszności, pewności siebie i wiary, że to właśnie „moja racja jest najmojsza!”. Efekt? Widoczna niemal wszędzie, gdzie spojrzymy, polaryzacja nastrojów! Rozgrzane do czerwoności dyskusje, często między bliskimi przyjaciółmi, nierzadko idące „na noże”. Czy to z nami coś jest nie tak?

Skynet o krok od kontroli?

Nie. To „rozgrywające” nas algorytmy. Nie wiem jak Wy, ale ja czuję trochę analogii ze Skynetem i nieco mnie to mrozi. Nie będę Was namawiał do porzucenia mediów społecznościowych. Ja bez Facebooka żyłem przez przeszło 5 lat, musiałem z kilku powodów „kadłubowo” nań wrócić, ale przede wszystkim ciężko by mi było egzystować bez Twittera.

Staram się jednak (szczerze przyznaję, czasem mi to nie wychodzi) bym to ja decydował o tym, co czytam. Unikam krzykliwych nagłówków, a do wywołujących emocje tematów staram się podchodzić z refleksją. Myśleć samemu, a nie pozwalać, by myślały za mnie algorytmy. Nie być „produktem” – w zalewie robiącej wszystko za nas elektroniki pozostać samodzielnie myślącym człowiekiem.

Czego i Wam życzę.

„Nie daj się nie daj się ogłupić
Nie daj się nie daj się
Ten jeden chce cię sprzedać
A ten drugi chce cię kupić
(…)
I nawet kiedy nie masz na chleb codzienny
Pamiętaj! ty jesteś bezcenna
Pamiętaj!
Pamiętaj! ty jesteś bezcenny”

Brygada Kryzys „Nie daj się” (R. Brylewski/T. Lipiński)

Udostępnij: Fake newsy i clickbaity

Bezpieczeństwo

Flubot rozpowszechnia się jak grypa

10 czerwca 2021

Flubot rozpowszechnia się jak grypa

Rozpowszechnia się jak grypa, korzystając z prostej socjotechnicznej sztuczki. Od kilku miesięcy posiadacze telefonów komórkowych w Polsce (i kilku innych krajach) otrzymują SMSy o nadchodzących rzekomych przesyłkach kurierskich, z linkiem do ich „śledzenia”. Jak się ustrzec przed instalacją skrytego pod linkami trojana Flubot i co zrobić, jeśli jednak go zainstalowaliśmy?

Instaluj tylko ze Sklepu Play!

Najpierw zastanówmy się, czy na pewno cokolwiek zamawialiśmy. Jeśli spodziewamy się, że ktoś mógł nam zrobić miłą niespodziankę? Zerknijmy w adres w linku, czy na pewno ma coś wspólnego z firmą kurierską? Jeśli oszuści użyli skracacza linków, otwórzmy w przeglądarce stronę https://urlscan.io/, skopiujmy adres z SMSa i wklejmy go tam. Po kilku(nastu) sekundach zobaczymy, co się skrywa pod faktycznym adresem. Jeśli strona jest już rozpoznana jako złośliwa, serwis URL Scan od razu nas ostrzeże.

SMS z phishingiem Flubot

Chcąc poczuć odrobinę więcej emocji (użytkownikom o wiedzy podstawowej – odradzam) możemy kliknąć w linka (wyłącznie w telefonie – o tym za chwilę). Faktyczna strona firmy kurierskiej pokaże nam informację o przesyłce wraz z numerem listu przewozowego. Jeśli otwarta strona od razu będzie nas monitować o instalację pliku APK, lub poda nam link, wraz z instrukcją instalacji pliku z nieznanego źródła – mamy pewność, że to oszustwo.

Flubot sam się rozsyła

Flubot to tzw. banker, czyli złośliwy program, wyspecjalizowany w wykradaniu loginów i haseł do aplikacji do e-bankowości. Dlatego właśnie występuje w formie aplikacji na Androida i dlatego, jeśli wejdziemy na strony z phishingowych SMSów na komputerze nie zobaczymy nic, bądź zostaniemy przekierowani na zupełnie niepodejrzane witryny (oszuści ostatnio preferują Leroy Merlin).

Już przy instalacji aplikacja wymaga niestandardowych – i niebezpiecznych – uprawnień: wysyłania i odbierania SMSów oraz dostępu do listy kontaktów. Potrzebne jej to w dwóch celach: odbierania SMSów autoryzacyjnych do banku (o tym dalej) oraz rozsyłania się do kolejnych ofiar. Przestępcy wymyślili sprytną metodę replikacji. Wykradzioną listę kontaktów przesyłają do… innego zainfekowanego urządzenia, by dopiero stamtąd rozesłać phishingowe SMSy. To dlatego, że dla znajomych ofiary A numer ofiary B będzie anonimowy. W przeciwnym przypadku łatwo zorientowalibyśmy się, że coś jest nie w porządku, dostając od znajomych propozycję instalacji „lewej” aplikacji.

Co może się stać?

Cóż – nic dobrego. Cecha charakterystyczna malware’u Flubot to zasłanianie aplikacji bankowych nakładkami (tzw. overlays). W efekcie ofiara, sądząc, że robi przelew znajomemu, może właśnie dodawać konto przestępcy do zaufanych. Albo wpisując login i hasło tak naprawdę podawać je oszustom. Skutki mogą być opłakane, jak to klasycznie w przypadku bankerów – wyczyszczenie konta do zera, nierzadko również wzięcie wszelkich możliwych kredytów.

Na szczęście przestępcom sytuacje może utrudnić… nowa wersja Androida (o tym, jak przydatne są aktualizacje oprogramowania telefonu, napiszę na blogu jutro). Od Androida 10 bowiem system informuje nas za każdym razem, gdy jakaś aplikacja wymaga wyświetlania nad innymi. Za pierwszym razem wymaga naszej zgody. Za kolejnymi – w trakcie korzystania z „nakładkowej” aplikacji wyświetla odpowiednią ikonę na pasku zadań.

Czy Flubot jest łatwy do usunięcia

Jeśli jesteście klientami Orange Polska, CyberTarcza nie dopuszcza do transmisji danych między Waszym telefonem a infrastrukturą wirusa. Nie zmienia to jednak faktu, że trzymanie szkodnika na swoim telefonie byłoby niemądre. Niektóre z wersji Flubota są wykrywane i usuwane przez antywirusy. Jeśli zdarzyło Wam się zainstalować podejrzaną aplikację spoza Sklepu Play (albo sprawdzenie przy użyciu CyberTarczy) wykazało infekcję malwarem Flubot), ale antywirus niczego nie znalazł, przejrzyjcie listę zainstalowanych aplikacji. Jeśli znajdziecie Fedex/DHL, czy też aplikację o innej nazwie z logiem firmy kurierskiej, spróbujcie ją odinstalować.

Udało się – super! Nie udało się, a aplikacja uraczyła Was komunikatem o tym, że system nie pozwala jej usunąć? To w zasadzie też super, bo to dowód na to, że trafiliście w dziesiątkę. Niedoświadczonym użytkownikom polecam wtedy oddanie telefonu w ręce eksperta (możecie podać link do tego tekstu). Doświadczeni i świadomi tego co robią – zajrzyjcie na XDA Developers, gdzie opisane jest dedykowane narzędzie do usuwania Flubota. Ponieważ jest to… plik .apk spoza Sklepu Play, decyzję pozostawiam Wam. Niestety najnowszych wersji Flubota nie da się usunąć tym sposobem, tym niemniej do nas jeszcze nie trafiła taka „nieusuwalna” próbka.

Dla użytkowników z wiedzą techniczną – jeśli jeszcze nie widzieliście, zajrzyjcie na szczegółowe analizy Flubota w wykonaniu CERT Orange Polska. Tutaj znajdziecie pierwszą, a tutaj drugą.

Udostępnij: Flubot rozpowszechnia się jak grypa

Bezpieczeństwo

Phishingi na PGE – uważaj, co akceptujesz!

13 maja 2021

Phishingi na PGE – uważaj, co akceptujesz!

Choć do tupetu i bezczelności sieciowych przestępców przez lata zdążyłem się już przyzwyczaić, zdarzają się sytuacje, gdy nóż po raz kolejny sam otwiera mi się w kieszeni. Co ciekawe, phishingowy schemat, który za chwilę opiszę, nie jest nowy. Jednak ewentualna niefrasobliwość ofiary pozwoli przestępcy zabrać jej wszystkie (i jeszcze więcej) pieniądze.

Znowu „drobne” do dopłacenia

Zaczyna się od SMSa, w naszym przypadku podszywającego się pod zaległość w fakturze za energię dla PGE.

Energetyczna spółka w ostatnim czasie jest jednym z ulubionych celów oszustów. Jeśli damy się przekonać, że nie dopłaciliśmy kilku złotych i klikniemy w link w wiadomości, „skracacz” rozwinie się na pełny adres.

Tu wprawne oko dojrzy nie tylko nie mający nic wspólnego z PGE ani jakimikolwiek płatnościami adres (hxxps://thepostowanie[.]xyz). Zobaczycie także to, przed czym od miesięcy ostrzegamy – drobną kwotę do zapłaty. To prostacka socjotechniczna sztuczka, mająca uspokoić nasz mózg. „To przecież drobna kwota, na takie kwoty się nie okrada!”. To prawda – chcą Was okraść na znacznie większą. Ale o tym zaraz. Jeśli przejdziemy do „płatności”, pojawi się kolejna czerwona flaga. Spójrzcie:

Co to jest to „48”? Można się domyślić, że chodzi o numer telefonu, ale z treści stron nic nie wynika. Spodziewałbym się jednak, że to też niedługo ulegnie zmianie. Przestępcy postarają się, żeby wyglądało jeszcze naturalniej. Kolejny krok to już znany standard:

z informacją „dane nabywcy” tam gdzie – jak zakładam – oszuści chcieliby dostać numer telefonu ofiary.

Co mnie zatem tak wyjątkowo zdenerwowało?

Instalują mobilną aplikację banku!

Zazwyczaj przestępcy w kolejnym kroku podstawiają na swojej stronie formularz logowania do banku, wykradając nasz login i hasło. Tu jednak jest inaczej:

Od kiedy do mTransferu potrzebny jest PESEL i nazwisko panieńskie matki? Ano od nigdy – to dane potrzebne, by aktywować aplikację mobilną banku (i dać jej pełne uprawnienia do naszego konta)! Kolejne kroki mogą się udać tylko w przypadku osób, które nigdy nie korzystały z aplikacji mobilnej, dlatego to bardzo ważne, byście w tym aspekcie uświadomili mniej świadome osoby, np. seniorów, którzy nie korzystają z aplikacji na smartfony.

Przestępcy proszą bowiem o podanie dwóch kluczowych kodów. Najpierw PINu, „uwalniającego” blokadę drugiego ciągu cyfr, a po jego wpisaniu – finalnego kodu, aktywującego aplikację mobilną. Po drodze automatyczny konsultant WIELOKROTNIE komunikuje (do znudzenia wręcz), że kody te służą on do aktywacji aplikacji i by nie podawać ich NIKOMU, wpisując na klawiaturze telefonu (!) i w aplikacji! To miało ukrócić praktyki przestępców, ale skoro wciąż atakują m.in. klientów mBanku należałoby założyć, że nawet takie ostrzeżenie nie zawsze działa!

Uważajcie i ostrzeżcie mniej technicznych członków rodziny/znajomych. Ja wiem, że słuchanie IVRów potrafi być ekstremalnie nudne, ale gdy idzie o transakcje finansowe

słuchamy dokładnie i szczegółowo, co do nas mówi automat!

Taka ostrożność wystarczy, by nie zostać oszukanym w opisywanym przeze mnie schemacie.

Kto za tym stoi?

Wiele wskazuje na to, że ataki „na faktury” to kolejny odłam wschodni grup cyberprzestępczych, które wydają się celować w dominację na polskim rynku. Starając się co najmniej iść krok w krok z nimi (czasami udaje się nawet wyprzedzać kryminalistów) sporo widzimy, choćby nie tylko zbieżność modus operandi z atakami „na Allegro”, czy „na OLX”, ale także zbyt bliskie podobieństwa w zakresie używanej infrastruktury. Na poprawę skuteczności może wpłynąć też fakt, iż oszuści zaczęli wysyłać phishingowe SMSy z polskich numerów (wcześniej przychodziły m.in. z niemieckiej numeracji +49).

Utrudnieniem dla zespołów bezpieczeństwa może być też fakt, iż do kradzieży używana jest niestandardowa infrastruktura. Nie mamy do czynienia z klasycznym botnetem, kierowym przez oszusta sprzed peceta. Analiza ruchu sieciowego wskazuje, iż strony przestępców komunikują się z nimi za pośrednictwem protokołu aplikacji Telegram. To rozwiązanie, używane często w społeczeństwach totalitarnych. Utrudnia ono służbom specjalnym dotarcie do nadawców wiadomości, ale także zespołom bezpieczeństwa wyśledzenie cyfrowych napastników. Na szczęście mamy też inne sposoby. Również te, które całkiem niedawno opisywałem.

No i bloga, za pośrednictwem którego możemy ostrzec Was i poprosić, byście przekazali tę wiedzę wszystkim, co do których obawiacie się, że mogliby dać się oszukać. I oczywiście nie sugerujcie się tym, że aktualna kampania jest na PGE – przestępcy mogą za kolejnym razem wybrać zupełnie inną firmę. Chodzi o schemat działania, który naprawdę warto zapamiętać.

 

Udostępnij: Phishingi na PGE – uważaj, co akceptujesz!

Bezpieczeństwo

Uważajcie na „reklamy” udające bank!

6 maja 2021

Uważajcie na „reklamy” udające bank!

Czasami sieciowy przestępcy potrafią działać w sposób wyrafinowany. Innym razem uderzają „na rympał” – bezczelnie i z tupetem takim, że ciężko uwierzyć. Tak właśnie wygląda trwająca w momencie publikacji tego teksty kampania phishingowa adresowana do klientów Banku Ochrony Środowiska i BNP Paribas.

„El” zamiast „i”

Wszystko zaczęło się wczoraj, w środę, gdy nasze systemy wykryły specyficzny ruch w zakresie rejestracji nowych domen internetowych. Mechanizmy, które opisywałem tydzień temu, wypatrzyły serię rejestrowanych witryn, do złudzenia przypominających adresy BOŚ i BNP Paribas. O nietypowej aktywności poinformowaliśmy przede wszystkim zainteresowanych, publikując również tekst na stronie i krótką informację na Twitterze. Podejrzane domeny w przypadku drugiego z banków wykorzystywały starą sztuczkę z podmianą „i” na „el”. Dodatkowo, wszystkie adresy, które do nas trafiły, umiejscowione były w domenie .com – niestandardowej jak na funkcjonujące w Polsce banki.

Szybko okazało się, że była to tylko część aktywności złych ludzi.

Reklama (nie)prawdę Ci powie?

Kilka godzin później koledzy z Prebytes SIRT ostrzegli, że fałszywe strony Banku Ochrony Środowiska zaczynają pojawiać się w płatnych wyszukiwaniach Google, zaś w czwartek na Twitterze CSIRTu Komisji Nadzoru Finansowego pojawiła się informacja, że podobna sytuacja ma miejsce w przypadku BNP Paribas!

Przypadek? Nie sądzę…

Na czym polega taki sposób ataku? Przestępcy wykupują reklamy na słowa kluczowe kojarzące się z bankiem, by w sytuacji, gdy ofiara zamiast adresu strony wpisze nazwę banku w wyszukiwarce, na górze witryny zobaczyła stronę podstawioną przez oszustów. A, że adres będzie opisany jako reklama? Przyznam Wam szczerze, że sam czasami nie zauważam, które treści w wyszukiwarkach są reklamowe…

Nie byłbym oczywiście sobą, gdybym nie przyjrzał się co na podejrzanych witrynach dzieje się dalej.

Tylko na komórki

Na początku oszustom udało się mnie zmylić, bowiem w sytuacji, gdy wpisanie fałszywego adresu okazało się przekierowywać na prawdziwą stronę banku (co zresztą opisywałem w tekście na stronie CERT Orange Polska) doszedłem do wniosku, że mamy do czynienia jedynie z przygotowaniem do nadchodzącej kampanii. Gdy jednak wspominane reklamy zaczęły się pojawiać na szeroką skalę, kuleczka puknęła mnie w głowę, niczym pomysłowego Dobromira i wszedłem na jedną z witryn przy użyciu emulatora urządzenia mobilnego.

Bingo!

Po wpisaniu loginu ban… tzn. przestępcy proszą o wpisanie HASŁA. Ciekawe, czy dlatego wielkimi literami, żeby brzmiało bardziej przekonująco?

A na koniec… Cóż, nie wiem co na koniec. Biorąc pod uwagę, że poniższy obrazek

widniał, a kółeczko kręciło się, przez kilka minut, stawiam, że przestępcy sprawdzali w locie wpisany login i hasł. Dopiero, gdyby okazały się prawdziwe, pojawiłyby się kolejne monity, w których za pośrednictwem socjotechnicznych sztuczek namawialiby mnie do oddania im moich pieniędzy. Oczywiście nie wpisałem prawdziwego hasła (choćby dlatego, że nie mam konta w żadnym z tych banków). Ciekawe, czy oszustom podobały się „pozdrowienia”, które przesłałem im zamiast hasła? Nie mogłem się powstrzymać 🙂

Co robić?

Będę powtarzał DO ZNUDZENIA:

Logując się do banku przy użyciu podanego linku zawsze dokładnie sprawdzaj adres strony. Jeśli cokolwiek budzi Twój niepokój – nie wpisuj loginu ani hasła!

Najlepiej zadzwoń wtedy do banku i poinformuj o podejrzanej witrynie (bądź potwierdź, że to prawdziwa).

Uważajcie na siebie. W takich akcjach łupem przestępców padają nawet oszczędności całego życia. Oni nie mają skrupułów ani sumienia.

Udostępnij: Uważajcie na „reklamy” udające bank!

Bezpieczeństwo

Sztuczna inteligencja w walce z phishingiem

29 kwietnia 2021

Sztuczna inteligencja w walce z phishingiem

Wiecie, że gdyby nie sztuczna inteligencja, to nasze liczby sięgające nawet setek tysięcy zatrzymanych prób phishingu byłyby chyba niemożliwe do osiągnięcia? Przy liczbach nowych domen „odbijających” się codziennie od naszych serwerów DNS nasi „cyfrowi pracownicy” są nieocenioną pomocą.

W okularach widać lepiej

Pracuję już w naszym „cybersec” tak długo, że pamiętam początki naszego Security Operations Center. Gdy 11 lat temu (!) uruchomiliśmy monitoring zagrożeń w trybie 24/7/365 nagle okazało się, że czyhających w niej zagrożeń jest wyjątkowo dużo. Oczywiście nie chodzi o to, że przestępcy zaczęli Was atakować w ramach „uczczenia” startu SOC. Po prostu, niczym krótkowidz założywszy okulary, zaczęliśmy nagle dużo więcej widzieć!

„Zaprzęgnięcie” do pracy sztucznej inteligencji i uczenia maszynowego było kolejnym, oczywistym etapem rozwoju. Wiem, zabrzmiało to jak straszna oficjałka 🙂 Ale naprawdę liczba generowanych codziennie witryn/domen phishingowych jest olbrzymia. Tak bardzo, że nawet zatrudnienie wyłącznie do tego stu osób nie pozwoliłoby na „przerobienie” nawet 10 procent ruchu. O jakich liczbach mówimy?

Dziennie na części ruchu serwera DNS, z którego korzysta nasze rozwiązanie, obserwujemy 8-10 mld zdarzeń związanych z DNS, wstępnie agregowanych do 70 mln.

W kolejnym kroku robi się z tego 6 mln unikalnych domen, a ostatecznie 2-3 mln takich, których wcześniej na naszym serwerze nie widzieliśmy. Do tego dochodzi jeszcze blisko 25 mln informacji o nowych certyfikatach dla stron https. To – po korelacji z innymi danymi – też może być istotną informacją. Sami przyznacie, że to poziom niewyobrażalny do analizy przez człowieka.

Ostatecznie na koniec dnia do „ręcznej” weryfikacji trafia ok. 100-150 domen. Czyli między 0,00014 a 0,00021% zagregowanych domen. Bez wsparcia maszynowego – nie do przesiania.

Jak my to robimy?

Tutaj w zasadzie muszę, niczym Naczelnik Mieczysław z „Kilera”, rzec:

„Wiem… Ale nie powiem!”.

Tzn. trochę powiem :), ale szczegóły naszego autorskiego rozwiązania są poufne. Poza tym sam nie jestem wystarczająco mądry, by zrozumieć je na tyle, bym potrafił wytłumaczyć je Wam 🙂 Generalnie nasze sondy obserwujące ruch na jednym z serwerów DNS Orange Polska dokładnie przyglądają się wszystkim wpadającym nań zapytaniom. Czy dana domena pojawia się po raz pierwszy, kiedy została zarejestrowana, gdzie, pod jaki adres IP się odwołuje. Wreszcie – last, but not least – jaką ma nazwę. Zbierając te wszystkie dane sztuczna inteligencja przydziela każdej domenie punktację. Jeśli punkty przekraczają ustalony poziom – domena spada z „sitka” na kolejny etap analizy.

Dodatkowo, gdy strona dotrze już do analizy przez człowieka („przesianymi” witrynami phishingowymi zajmuję się np. ja), finalna decyzja – czy mamy do czynienia z wynikiem prawdziwie, czy fałszywie pozytywnym – wpływa na to, jak algorytmy będą traktować kolejne podobne witryny. Pojęcie uczenia maszynowego nie jest li tylko buzzwordem. Nasze rozwiązanie uczy się i z czasem staje się coraz dokładniejsze.

W sumie, korzystając z AI i innych źródeł, tygodniowo blokujemy 2-2,5 tysiąca domen.

Szybsi – pomaga sztuczna inteligencja

Pewnie macie na końcu języka pytanie: „Czy zdarzają się pomyłki?”. Oczywiście, że tak, nawet Skynet się mylił (oj, skojarzenia to przekleństwo 😉 ). Zdarza się to jednak naprawdę rzadko. To dlatego, że algorytm blokuje tylko witryny, które w sposób absolutnie oczywisty są phishingowe/malware’owe (np. na bazie ich wyglądu). To około połowa zablokowanych stron. W przypadku jakichkolwiek wątpliwości ostateczną decyzję podejmuje człowiek. Czy to jeden z naszych dzielnych operatorów SOC na I linii, czy też III linia, czyli wyżej podpisany albo któryś z moich kolegów. Co ciekawe, trafiają się oszuści z wyjątkowym tupetem! Potrafią, pisząc z adresu w domenie @protonmail.com, zażądać odblokowania konkretnej strony. Jeden nawet w ciągu kilku dni z tego samego adresu poprosił o zdjęcie blokady z trzech, bezdyskusyjnie phishingowych. Czasami w przypadku dużych wątpliwości uruchamiamy nawet „inteligencję białkową” 🙂 i wtedy dzwonię do firmy, która wydaje się być właścicielem witryny, by potwierdzić, czy to aby na pewno nie ich.

Gdyby jednak nie wsparcie naszego działającego w mgnieniu oka cyfrowego przyjaciela, na pewno nie byłoby tak łatwo. Nie byłoby mowy o zablokowaniu phishingowej witryny kilkanaście minut po jej powstaniu! Albo uniemożliwieniu (dzięki informacji o wystawieniu certyfikatu) wejścia na strony z SMSowych phishingów czasem nawet zanim wiadomość dotrze do pierwszej ofiary. Pozostaje tylko mieć nadzieję, że nie ma takich ambicji jak filmowy Skynet 😉

Zdjęcie z www.vpnsrus.com na licencji CC BY 2.0

Udostępnij: Sztuczna inteligencja w walce z phishingiem

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej