OpenDNS представи нов модел за засичане на фишинг страници

Фишингът, или онлайн измамата, представлява постоянна заплаха за интернет потребителите, която едва ли ще изчезне някога. Компаниите за интернет сигурност се опитват да се борят с всички усилия, премахвайки десетки и стотици страници дневно, надпреварвайки се с онлайн престъпниците, които вече разполагат с различни инструменти за генериране на подобни страници, изготвяйки ги в промишлени количества.Един от методите за борба с мошениците - и вероятно най-популярния - е посредством т.нар. "черни списъци" (blacklists) - внимателно изготвяни масиви, съдържащи зловредни интернет адреси, които биват обновявани редовно. За да бъдат включени адресите в тези списъци обаче, то те трябва да са станали повод за инцидент, т.е. винаги има пострадали. Освен това специалистите не смогват да попълват тези списъци с нужната скорост на появата на тези страници, така че да предпазят максимално добре обикновените хора.Една компания обаче смята, че е направила значителен пробив в борбата с фишинг и зловредните страници, благодарение на изготвен от нея механизъм за маркирането на потенциално опасно съдържание. Става дума за OpenDNS, популярният DNS доставчик на защитени решения и родителски контрол.Специалистите на компанията разкриха появата на NLPRank - иновативен модел за засичане на заплахи, който използва "злонамерения език на Интернет" за идентификация на подозрителни домейни, които биват забелязани почти веднага след регистрацията им. Според Андрю Хей от OpenDNS, използвайки модела, зловредна страница може да бъде засечена и съответно премахната далеч преди да се случи инцидент свързан с нея. Друг разработчик от средите на компанията - Джеремая О'Конър - помислил за изготвянето на NLPRank през ноември миналата година. Той осъзнал, че киберпрестъпниците, участващи в сложни фишинг кампании като DarkHotel и методите на хакерски групировки като APT1 следват един и същ модел в разпространението на зловредни страници и имената, които използват за страниците. Те изготвят името на зловредния домейн така че да изглежда като легитимна страница. "След проведен обстоен анализ над тези кампании, открих, че имената на тези домейни могат да бъдат предсказани", споделя О'Конър в публикация в блога на OpenDNS. Вземайки споменатите две кампании за база, той видял, че някои английски думи се срещат по-често - думи, които призовават посетителите на тези страници да обновят (update), инсталират (install) или "свалят" (download) съдържание. Заедно с тях можело да се открият имената на популярни услуги и компании, като gmail, java или adobe. NLPRank започва да действа като в началото кръстосва подобни често срещащи се думи, които са идентифицирани като част от "зловредния език на интернет речника".След това кръстосване, NLPRank използва техники, използващи се от изчислителната биология, за да класифицира пермутациите на тези домейнови имена, като да речем фрази от рода на "'installad0be", а след това оценява вероятността тези фрази да се използват във фишинг кампании. Когато едно от тези вероятни имена бъде регистрирано от сканирането на DNS записите от страна на OpenDNS, NLPRank проверява някои други данни, за да потвърди подозренията си. Така например механизмът проверява данните от WHOIS, за да види дали регистратора, използван от подозрителния домейн е същият като компанията създала ресурса. Освен това се проверява HTML страницата дали не води към подозрителни локации. Хей обяснява, че обикновено киберпрестъпниците тестват няколко пъти страницата след регистрирането на домейна преди да започнат да го използват за зловредните си цели. "Ние усяваме да регистрираме тези първоначални проби и може да блокираме страницата преди самата кампания да е влязла в ход", споделя Хей.

OpenDNS вече ползват NLPRank в реални условия. Миналият месец с негова помощ е разкрита фишинг кампания, насочена към клиентите на PayPal. Специалистите от компанията споделят и за нещо любопитно. Те тествали технологията срещу домейновите имена на контролните сървъри на кампанията Carbanak, разкрита по-рано тази година от руската компания за информационна сигурност Kaspersky, при която хакери са откраднали милиони долари от банки, като атаките им са започвали с фишинг писма. Оказало се, че NLPRank е бил разпознал контролиращите кампанията домейни още преди седмици. Хей споделя обаче, че на компанията й трябва още малко време, за да пусне NLPRank масово. OpenDNS искат да направят още тестове, така че да се намалят до минимум случаите, в които технологията маркира некоректно "чисти" страници като зловредни. След това, част от плана им е допълнителното разширение на речниковия запас на механизма, така че да разпознава кампании, насочени към конкретни индустрии, които стават жертва на сериозни фишинг кампании като да речем финансовия сектор. Освен това Хей споделя, че OpenDNS е добавила допълнително работна сила към отдела си за проучвания и изследвания, и скоро след излизането на NLPRank, потребителите може да очакват появата и на други решения, които да направят Мрежата по-сигурно място за посещение.

	Коментари
	Все още няма коментари