Esta solución antiphishing en tiempo real para macOS lleva la detección basada en referencias a un nuevo nivel, advirtiendo instantáneamente a los usuarios de Mac que están en un sitio web de phishing. Primero, antecedentes ¿Cuántos sitios web de phishing únicos se publicaron en 2023? El Grupo de Trabajo Antiphishing Casi 5 millones. A principios de 2024, la división de ciberseguridad de MacPaw, Moonlock sobre el ladrón de AMOS que se basa en sitios web falsos de marcas confiables para distribuir malware en computadoras Apple. No solo infectan nuestros dispositivos, sino que también recopilan las credenciales de las víctimas con fines maliciosos. Los sitios web falsificados son peligrosos, por lo que mi equipo y yo decidimos hacer algo al respecto. contado reportado La solución que describo a continuación comenzó como un experimento de prueba de concepto en . Resolvimos los problemas en el departamento de I+D tecnológico de MacPaw y presentamos el prototipo funcional en STAST 2024. Nuestro documento de posición describió la solución en detalle y se cargó originalmente en Continúe leyendo para conocer un adelanto de nuestra aplicación antiphishing. Bloqueo de luna arXiv.org ¿Qué tenemos entre manos en este momento? Las aplicaciones antiphishing actuales utilizan principalmente tres métodos de detección: listas negras, enfoque basado en la clasificación y enfoque basado en referencias. Cada método tiene sus ventajas, pero todos requieren mejoras adicionales. Analicemos cada uno de ellos. Lista negra El método de la lista negra es práctico y preciso, pero no puede seguir el ritmo de la rápida propagación de los sitios web de phishing. No siempre es eficaz, ya que es posible que sea necesario añadir nuevos sitios web de phishing a la lista, mientras que los atacantes suelen cambiar las URL para evitar ser detectados. Por ejemplo, Google Safe Browsing utiliza listas de sitios web de phishing conocidos. Cuando intentas visitar un sitio web, comprueba la dirección con esta lista. Si hay una coincidencia, bloquea el acceso y te advierte sobre el peligro. Pero, ¿qué pasa si el sitio web se publicó hace apenas unos minutos? No estará en la lista y el usuario quedará atrapado. Enfoque basado en la clasificación En este método antiphishing, el aprendizaje automático analiza características de la página web, como las estructuras de URL, el contenido HTML y los metadatos, para determinar si un sitio web es falso o legítimo. La clasificación es excelente para las extensiones del navegador porque aprende de los datos del usuario para detectar nuevos sitios de phishing. La desventaja es que el aprendizaje automático requiere algoritmos complejos y una gran cantidad de datos de entrenamiento, mientras que los cibercriminales inventan rápidamente nuevas tácticas de ofuscación para evadir la detección. Esto hace que los enfoques basados en la clasificación sean menos precisos y no sean ideales para productos de seguridad independientes. Enfoque basado en referencias Algunas de las soluciones basadas en referencias se consideran de última generación. Utilizan la visión artificial para analizar la apariencia de las páginas web y detectar eficazmente los sitios web de phishing. Sin embargo, lo que también vemos es que las soluciones basadas en referencias podrían ser más rápidas si no procesaran los casos de phishing en la nube. Existe un lapso de tiempo crítico entre la publicación de un sitio web de phishing y el momento en que los sistemas de detección basados en referencias lo agregan a la lista. Queríamos reducir este lapso para garantizar una detección y una respuesta más rápidas. Cómo funciona nuestra aplicación antiphishing nativa para macOS Nuestro objetivo era advertir a los usuarios de Mac sobre los sitios web de phishing tan pronto como se publican. Para lograrlo, adoptamos el enfoque basado en referencias y lo mejoramos. Eliminamos el procesamiento en la nube y sugerimos realizar todos los cálculos de forma local, con el objetivo de reducir el tiempo de detección. Como beneficio adicional, nuestra solución mejora la privacidad, ya que todos los datos del usuario se procesan en el dispositivo y no van a ningún otro lugar. Creamos una aplicación nativa para macOS usando Swift, incorporando marcos para y aprendizaje automático. Al convertir nuestros modelos a formato, garantizamos un rendimiento fluido y minimizamos el uso de recursos del sistema. De esta manera, nuestro prototipo escanea continuamente páginas web en segundo plano, protegiendo a los usuarios de Mac de sitios web de phishing sin requerir interacciones adicionales. El prototipo funciona independientemente de los navegadores. macOS El marco y los metadatos de accesibilidad ayudan a que la aplicación se centre en determinadas regiones de interés para que sepa dónde buscar phishing. captura de pantalla CoreML Accesibilidad Así es como funciona en pocas palabras. Primer paso: análisis de la página web Cuando estamos en un sitio web, nuestra aplicación intenta comprender el diseño de la página. Identifica elementos clave de la página, como logotipos, campos de entrada y botones. Para esta tarea, elegimos Por su precisión y rendimiento. DETR con ResNet-50 En este paso, es importante reconocer la ubicación de los elementos en el sitio web, particularmente el área con el logotipo de la marca y los formularios para ingresar credenciales. Segundo paso: atribución de marca A continuación, el prototipo comprueba si el logotipo detectado en el sitio web coincide con alguna marca conocida. Además, compara la URL de la página web con una lista de referencia de sitios web legítimos. Si el sitio web es oficial, omitimos los pasos siguientes. Por otra parte, nos sorprendió ver cuántos dominios oficiales utilizan las marcas para fines de marketing. No es de extrañar que los sitios web de phishing sean tan eficaces a la hora de engañar a sus víctimas. Por ejemplo, DHL tiene varios dominios oficiales como dhl.com, express.dhl, mydhli.com, dhlsameday.com y dhlexpresscommerce.com. Tercer paso: evitar la recolección de credenciales Clasificamos la página web en dos categorías: si requiere credenciales o no. Este paso verifica si un sitio web de phishing está intentando robar información personal del usuario. En la captura de pantalla, nuestro prototipo encontró campos de entrada de credenciales, atribuyó la página a DHL y comparó la URL con la lista de dominios oficiales de DHL. El usuario recibió una advertencia de phishing ya que la página no pertenece a DHL. ¿Qué tan preciso es el prototipo? Nuestro sistema mantiene o supera la precisión de referencia y, sin duda, tiene tiempos de procesamiento más rápidos. Logramos una precisión del 90,8 % en el reconocimiento de logotipos y del 98,1 % en la detección de ingreso de credenciales. El gráfico a continuación muestra nuestro desempeño en comparación con otras soluciones antiphishing y cómo nos comparamos en precisión, recuperación y tasa de falsos positivos. Con orgullo detectamos el 87,7 % de los intentos de phishing, mientras que mantuvimos la tasa de falsos positivos en un bajo 3,4 %. Es rápido y fluido también. Las métricas finales demuestran que nuestra solución funciona sin problemas en segundo plano sin una pérdida de rendimiento notable. El uso de CPU es mínimo: con ocho núcleos en el Mac M1 de Apple, nuestro prototipo utiliza solo el 16 % de la capacidad disponible del 800 %. Este nivel de consumo es similar a tres pestañas activas de Safari o una llamada de Zoom. Reflexiones finales Existen muchas aplicaciones antiphishing en el mercado, pero la mayoría procesa datos en servidores externos. Nuestro prototipo muestra que el hardware de los ordenadores modernos nos permite incorporar modelos de aprendizaje automático localmente en el dispositivo. Podemos usarlos para combatir el phishing sin preocuparnos por la velocidad de procesamiento ni por el uso de los recursos del sistema. Afortunadamente, el ecosistema de Apple ofrece marcos y herramientas para la optimización. Ivan Petrukha, ingeniero de investigación sénior en MacPaw Technological R&D, ex-Moonlock. Autor:
