Os ataques de phishing são uma grande ameaça cibernética que continua a evoluir e a se tornar mais sofisticada, causando perdas de bilhões de dólares a cada ano, de acordo com o recente Internet Crime Report. No entanto, os mecanismos tradicionais de detecção de phishing off-line ou em linha são limitados na forma como podem detectar páginas evasivas. Devido aos requisitos de desempenho das soluções em linha, elas só podem detectar campanhas específicas e, na melhor das hipóteses, atuar como um analisador estático básico. Por outro lado, as soluções de detecção off-line dependem muito de rastreadores para coletar conteúdo e atualizar uma lista para impor o bloqueio de páginas de phishing. Elas também são limitadas; as ferramentas off-line não conseguem detectar páginas de phishing evasivas que apresentam conteúdo benigno para um rastreador ou campanhas de curta duração que abandonam o URL antes que ele seja atualizado na lista de bloqueio.
Na Netskope, desenvolvemos um mecanismo de detecção de phishing em linha, baseado em deep learning (DL-IPD) que pode resolver todas essas limitações. Ele nos permite inspecionar o conteúdo da web e bloquear páginas de phishing em tempo real, complementando nossos analisadores off-line e listas de bloqueio. O modelo aprende continuamente os padrões de comportamento dinâmico das páginas de phishing, pode identificar ataques de phishing evasivos e de paciente zero. Semelhante ao pré-treinamento generativo de grandes modelos de linguagem, como o BERT e o ChatGPT/GPT-4, usamos um grande número de páginas da web para treinar o codificador HTML e, em seguida, usá-lo para criar um classificador de phishing. Recebemos três dos EUA patentes por nossa abordagem inovadora de detecção de phishing.
O mecanismo de detecção de phishing em linha (DL-IPD) está disponível para todos os clientes do Intelligent SSE e do Netskope Next Gen-SWG. Nesta postagem do blog, compartilharemos alguns dos exemplos de phishing evasivo e de paciente zero que nosso mecanismo detectou.
Ataques do tipo paciente zero
Para detectar páginas de phishing, soluções off-line tradicionais normalmente rastreiam URLs sinalizados no tráfego ou identificados pela comunidade de segurança. Depois que uma página é identificada como phishing, ela é adicionada a um banco de dados de lista de bloqueio usado para filtragem de URL para impedir o acesso futuro. No entanto, essa abordagem pode resultar em atrasos devido ao tempo necessário para coletar recursos e atualizar o banco de dados, o que pode permitir que a primeira vítima e as tentativas de phishing não sejam detectadas, podendo comprometer toda a organização. A análise em linha oferece uma vantagem ao inspecionar o conteúdo real que os usuários veem, evitando assim ataques do tipo paciente zero. Na seção a seguir, apresentamos exemplos de campanhas de paciente zero que foram detectadas.
Roubo de credenciais e cartões de crédito
Páginas de phishing de roubo de credenciais são projetadas para se parecerem com sites legítimos, como serviços on-line ou sites de comércio eletrônico, e enganarem os usuários para que eles insiram suas credenciais de login e informações de cartão de crédito. A seguir, um exemplo de uma página de phishing de roubo de credenciais do tipo paciente zero que foi detectada pela DL-IPD em 11 de abril de 2023. A campanha imita a página de login dos CTT Correios de Portugal, serviço postal nacional de Portugal, e solicita que as vítimas insiram suas informações pessoais e de cartão de crédito.
Golpe da saúde
Desde a implantação do Netskope Advanced Inline Phishing Detection, conseguimos rastrear várias formas de golpes contra a área da saúde, incluindo curas falsas para doenças graves, suplementos e tratamentos de saúde não comprovados e equipamentos e dispositivos médicos falsos. A seguir, um exemplo de um golpe de saúde detectado pela Netskope em 10 de abril, antes de qualquer outro fornecedor (com base nos registros do VirusTotal). Esse golpe envolve enganar a vítima para que ela compre um pacote de produtos de saúde.
Páginas de adware malicioso
Os sites de adware mal-intencionados exibem anúncios indesejados ou prejudiciais aos usuários. Esses sites geralmente empregam táticas enganosas para induzir os usuários a clicarem nos anúncios que podem redirecioná-los para sites mal-intencionados ou induzi-los a fazer download de malware em seus dispositivos.
O DL-IPD detectou vários tipos de páginas de adware mal-intencionadas que pedem permissão para exibir notificações no navegador. Após a aprovação do usuário, as páginas bombardeiam os usuários com anúncios que os redirecionam para falsos golpes de antivírus, golpes de iPad grátis e outros tipos de golpes. A seguir, uma página de adware do tipo paciente zero que foi identificada por nosso mecanismo de detecção de phishing em linha.
Detecção de páginas de phishing evasivas
Os ataques de phishing estão se tornando mais sofisticados com o uso de camuflagem, rotação de URL, ofuscação e geração de código dinâmico. Essas técnicas são desafiadoras para ferramentas tradicionais de detecção de phishing que dependem de técnicas de extração de recursos clássicas ou baseadas em assinaturas para detectar páginas evasivas.
O DL-IPD tem a capacidade de detectar páginas evasivas; em primeiro lugar, como um mecanismo em linha, ele tem acesso ao conteúdo real que será entregue ao usuário, tornando ineficazes as técnicas de evasão no lado do servidor. Além disso, diferentemente das ferramentas em linha baseadas em assinaturas tradicionais ou das técnicas clássicas de extração de recursos, esse classificador usa deep learning para aprender assinaturas complexas e pode detectar sinais de tentativas de ofuscação ou códigos que tentam gerar conteúdo dinâmico.
Na batalha contínua entre os atacantes de phishing e as soluções de phishing, os atacantes estão sempre criando novas maneiras de contornar as soluções de segurança. No entanto, essa ferramenta dificulta ainda mais que as páginas mal-intencionadas escapem da detecção. Na seção a seguir, forneceremos exemplos de páginas evasivas detectadas pelo DL-IPD.
Exemplo 1 - Phishing com conteúdo dinâmico
Os invasores podem usar JavaScript para gerar dinamicamente uma página de phishing em tempo real. Isso significa que a página de phishing não será visível no código-fonte da página, o que pode dificultar a identificação precisa da página pelas ferramentas de detecção. A seguinte página de phishing detectada pela Netskope usa Javascript para adicionar todos os elementos DOM após ser carregada no navegador da vítima.
O corpo do código HTML verifica inicialmente se o navegador é capaz de executar JavaScript ou não. Se não for possível, nenhum conteúdo será exibido. A incapacidade de executar JavaScript já é um sinal de que a página está sendo analisada. Além disso, o corpo do código está praticamente vazio, contendo apenas dois códigos JavaScript ofuscados que adicionam dinamicamente os elementos da página quando carregados em um navegador real, criando uma página de login da Microsoft.
Embora o código para gerar a página de phishing esteja ofuscado, a estrutura da página HTML de destino já é suspeita, pois todo o corpo consiste em apenas dois scripts, nenhum elemento visual e um aviso para ativar o Javascript que mostra uma tentativa de gerar o código dinamicamente. Nosso classificador baseado em DL aprendeu essas estruturas e padrões de página e os bloqueou.
Exemplo 2 - Uso de imagens em vez de código HTML
Às vezes, as páginas de phishing usam imagens em vez de escrever código HTML para imitar visualmente um site legítimo. Ao fazer isso, os invasores podem evitar analisadores estáticos ou soluções de phishing que analisam apenas o código HTML da página. Ao mesmo tempo, as páginas de phishing baseadas em imagens podem parecer mais genuínas para as vítimas e exigem menos esforço para serem criadas.
A seguinte página de phishing em um host comprometido foi detectada pelo Advanced Inline Phishing Detection. Todo o código HTML dessa página consiste em uma imagem codificada em Base64 renderizada em segundo plano como um formulário de autenticação.
Sumário
As abordagens tradicionais de detecção de phishing inline e offline têm limitações na detecção de ataques de phishing sofisticados que usam técnicas de evasão. Neste blog, demonstramos como a Detecção de Phishing Inline baseada em DL (DL-IPD) da Netskope conseguiu preencher essa lacuna e detectar campanhas de phishing anteriormente desconhecidas. A capacidade de aprender e extrair continuamente padrões complicados que podem sinalizar táticas de evasão aumenta a cobertura das soluções tradicionais. A Detecção Avançada de Phishing Inline foi habilitada globalmente para todos os clientes do Netskope Standard Threat Protection em linha desde março de 2023.
O autor gostaria de agradecer as contribuições significativas de Christopher Talampas, Aries De Vera, Maela Angeles e Emmanuel De Vera neste projeto.
IOC Links
- http://lsodeo[.]dbe[.]gov.mm/wp-admin/.Adminser/CTT/signin[.]php
- http://lsodeo[.]dbe[.]gov[.]mm/wp-admin/.Adminser/CTT/wallet[.]php?a8475af7b320248b7381898ca5fbe81485268095
- http://fimdafraquezamuscular[.]site/fu/h50/tab/cdv01/
- https://doutornature[.]com/fu/h50/native/ques1-m[.]php?pagina=cdv01&click_area=obteragora2&_ga=2.180014756.1601786821.1681389141-532695057.1681389141&sf_vid=d3f8521623b974db16e73fd21ae2b714_57&sf_l=690368343
- https://doutornature[.]com/fu/h50/native/presell1-d.php?sf_vid=d3f8521623b974db16e73fd21ae2b714_57&_ga=2.254421640.1601786821.1681389141-532695057.1681389141
- https://pay[.]doutornature[.]com/go/g7w7g?ckp_src=690368620&_ga=2.254421640.1601786821.1681389141-532695057.1681389141&sf_vid=d3f8521623b974db16e73fd21ae2b714_57&sf_l=690368620
- rondureblog[.]com/VD7C6Qr3eJDbumg8kfdzo2LrRqz0mxHtk6qcu2tKCRw/
- https://oneadvupfordesign[.]com/HAj6yqps_tKQK-kQDgSpA3_QiJwwlXAPPwPq1YtK1dM/?cid=ZD4yd7Ing3sAFao7AA9q0wBVNZAAAAAA&sid=46739
- https://clouddoc-authorize[.]firebaseapp[.]com/……xx…/xx…/robots.txt.html
- https://eiinspire[.]com/wp-includes/Text/Diff/Renderer/Diff/index[.]html