MacOS için Gerçek Zamanlı Kimlik Avı Web Sitesi Algılayıcısını Nasıl Oluşturduğumuzu İşte Öğrenin

macOS için gerçek zamanlı, cihaz üzerinde kimlik avı önleme çözümü, referans tabanlı algılamayı yeni bir düzeye taşıyarak Mac kullanıcılarına bir kimlik avı web sitesinde oldukları konusunda anında uyarı gönderiyor.

İlk olarak, arka plan

2023'te kaç tane benzersiz kimlik avı web sitesi yayınlandı? Kimlik Avı Önleme Çalışma Grubu sayıldı yaklaşık 5 milyon. 2024'ün başında, MacPaw'ın siber güvenlik bölümü Moonlock bildirildi Apple bilgisayarlarında kötü amaçlı yazılım yaymak için güvenilir markaların sahte web sitelerine güvenen AMOS hırsızı hakkında. Sadece cihazlarımıza bulaşmakla kalmıyorlar, aynı zamanda kötü amaçlı amaçlar için kurbanların kimlik bilgilerini de topluyorlar. Sahte web siteleri tehlikelidir, bu yüzden ekibim ve ben onlar hakkında bir şeyler yapmaya karar verdik.

Aşağıda açıkladığım çözüm, bir kavram kanıtı deneyi olarak başladı Ay kilidi MacPaw'ın Teknolojik Ar-Ge'sindeki kırışıklıkları giderdik ve çalışan prototipi STAST 2024'te sunduk. Pozisyon belgemiz çözümü ayrıntılı olarak açıkladı ve başlangıçta şu adrese yüklendi: arXiv.org Anti-phishing uygulamamızın perde arkası hakkında bilgi edinmek için lütfen okumaya devam edin.

Peki şu an elimizde neler var?

Mevcut anti-phishing uygulamaları temel olarak üç tespit yöntemi kullanır: kara listeleme, sınıflandırma tabanlı yaklaşım ve referans tabanlı yaklaşım. Her yöntemin kendine göre avantajları vardır, ancak hepsi daha fazla iyileştirme gerektirir. Her birini inceleyelim.

Kara listeye alma

Kara liste yaklaşımı pratik ve doğrudur, ancak kimlik avı web sitelerinin ne kadar hızlı yayıldığına ayak uyduramaz. Her zaman etkili değildir, çünkü listeye yeni kimlik avı web sitelerinin eklenmesi gerekebilir ve saldırganlar tespit edilmekten kaçınmak için sıklıkla URL'leri değiştirir.

Örneğin, Google Güvenli Tarama bilinen kimlik avı sitelerinin listelerini kullanır. Bir web sitesini ziyaret etmeye çalıştığınızda, adresi bu listeyle karşılaştırır. Bir eşleşme varsa, erişimi engeller ve sizi tehlike konusunda uyarır. Peki ya web sitesi birkaç dakika önce yayınlanmışsa? Listede olmayacak ve kullanıcı tuzağa düşecektir.

Sınıflandırmaya dayalı yaklaşım

Bu kimlik avı önleme yönteminde, makine öğrenimi bir web sitesinin sahte mi yoksa meşru mu olduğunu belirlemek için URL yapıları, HTML içeriği ve meta veriler gibi web sayfası özelliklerini analiz eder. Sınıflandırma, yeni kimlik avı sitelerini tespit etmek için kullanıcı verilerinden öğrendiği için tarayıcı uzantıları için mükemmeldir.

Buradaki dezavantaj, makine öğreniminin karmaşık algoritmalar ve çok sayıda eğitim verisi gerektirmesi, siber suçluların ise tespitten kaçınmak için hızla yeni karartma taktikleri icat etmesidir. Bu, sınıflandırma tabanlı yaklaşımları daha az doğru hale getirir ve bağımsız güvenlik ürünleri için ideal değildir.

Referans tabanlı yaklaşım

Referans tabanlı çözümlerden bazıları son teknoloji olarak kabul edilir. Web sayfası görünümlerini analiz etmek ve kimlik avı web sitelerini etkili bir şekilde tespit etmek için bilgisayarlı görüş kullanırlar. Ancak gördüğümüz bir diğer şey de, kimlik avı vakalarını bulutta işlemeselerdi referans tabanlı çözümlerin daha hızlı olabileceğidir.

Bir kimlik avı web sitesinin yayına girmesi ile referans tabanlı tespit sistemlerinin onu listeye eklemesi arasında kritik bir zaman aralığı vardır. Daha hızlı tespit ve yanıt sağlamak için bu aralığı daraltmak istedik.

Yerel macOS kimlik avı önleme uygulamamız nasıl çalışır?

Amacımız Mac kullanıcılarını kimlik avı web siteleri yayına girer girmez uyarmaktı. Bunu başarmak için referans tabanlı yaklaşımı benimsedik ve geliştirdik. Bulut işlemeyi ortadan kaldırdık ve tespit süresini kısaltmak amacıyla tüm hesaplamaları yerel olarak yapmayı önerdik. Bir bonus olarak, çözümümüz gizliliği artırır çünkü tüm kullanıcı verileri cihazda işlenir ve başka hiçbir yere gitmez.

Swift kullanarak, çerçeveleri de içeren yerel bir macOS uygulaması oluşturduk ekran görüntüsü yakalama ve makine öğrenimi. Modellerimizi dönüştürerek ÇekirdekML biçimini kullanarak sorunsuz bir performans sağladık ve sistem kaynaklarının kullanımını en aza indirdik. Bu şekilde, prototipimiz arka planda sürekli olarak web sayfalarını tarar ve Mac kullanıcılarını ekstra etkileşimler gerektirmeden kimlik avı web sitelerinden korur.\Prototip tarayıcılardan bağımsız olarak çalışır. macOS Erişilebilirlik Çerçeve ve Erişilebilirlik meta verileri, uygulamanın belirli ilgi alanlarına odaklanmasına yardımcı olur, böylece kimlik avı için nerede arama yapması gerektiğini bilir.

İşte özetle şöyle işliyor.

İlk adım: web sayfası analizi

Bir web sitesindeyken, uygulamamız sayfa düzenini anlamaya çalışır. Logolar, giriş alanları ve düğmeler gibi önemli sayfa öğelerini belirler. Bu görev için şunu seçtik: ResNet-50 ile DETR doğruluğu ve performansı nedeniyle.

Bu adımda, web sitesindeki öğelerin, özellikle marka logosunun ve kimlik bilgilerinin girildiği formların bulunduğu alanın yerleşimlerini tanımak önemlidir.

İkinci adım: marka atıfı

Daha sonra, prototip web sitesinde tespit edilen bir logonun herhangi bir tanınmış markayla eşleşip eşleşmediğini kontrol eder. Üstüne üstlük, web sayfası URL'sini meşru web sitelerinin bir referans listesiyle karşılaştırır. Web sitesi resmi ise, diğer adımları atlarız.

Yan not olarak, markaların pazarlama için ne kadar çok resmi alan adı kullandığını görünce dehşete düştük. Kimlik avı yapan web sitelerinin kurbanlarını kandırmada bu kadar etkili olması şaşırtıcı değil. Örneğin, DHL'in dhl.com, express.dhl, mydhli.com, dhlsameday.com ve dhlexpresscommerce.com gibi birkaç resmi alanı var.

Üçüncü adım: Kimlik bilgilerinin toplanmasını önleyin

Web sayfasını iki kategoriye ayırıyoruz: kimlik bilgisi gerektirip gerektirmediği. Bu adım, bir kimlik avı web sitesinin kişisel kullanıcı bilgilerini çalmaya çalışıp çalışmadığını doğrular.

Ekran görüntüsünde, prototipimiz kimlik bilgisi giriş alanlarını buldu, sayfayı DHL'e atfetti ve URL'yi resmi DHL alan adları listesiyle karşılaştırdı. Sayfa DHL'e ait olmadığı için kullanıcı bir kimlik avı uyarısı aldı.

Prototip ne kadar doğru?

Sistemimiz temel doğruluğu korur veya aşar ve kesinlikle daha hızlı işlem sürelerine sahiptir. Logo tanımada %90,8 ve kimlik bilgisi girişini tespit etmede %98,1 doğruluk elde ettik.

Aşağıdaki grafik, diğer kimlik avı önleme çözümlerine karşı performansımızı ve hassasiyet, geri çağırma ve yanlış pozitif oranı açısından nasıl karşılaştırıldığımızı göstermektedir. Sahte pozitif oranını düşük %3,4'te tutarken, kimlik avı girişimlerinin %87,7'sini gururla tespit ettik.

Hızlı ve akıcıdır da

Son ölçümler, çözümümüzün performansta gözle görülür bir kayıp olmadan arka planda sorunsuz bir şekilde çalıştığını gösteriyor. CPU kullanımı minimum düzeyde: Apple M1 Mac'teki sekiz çekirdekle, prototipimiz mevcut %800 kapasitenin yalnızca %16'sını kullanıyor. Bu tüketim seviyesi, üç etkin Safari sekmesine veya bir Zoom görüşmesine benzer.

Son düşünceler

Piyasada çok sayıda kimlik avı önleme uygulaması var, ancak bunların çoğu verileri harici sunucularda işliyor. Prototipimiz, modern bilgisayarlardaki donanımın makine öğrenimi modellerini yerel olarak cihaza getirmemize olanak tanıdığını gösteriyor. Bunları kimlik avıyla mücadele etmek için kullanabilir ve işlem hızları ve sistem kaynaklarının kullanımı konusunda endişelenmeyebiliriz. Neyse ki Apple ekosistemi optimizasyon için çerçeveler ve araçlar sağlıyor.

Yazar: Ivan Petrukha, MacPaw Teknolojik Ar-Ge Kıdemli Araştırma Mühendisi, eski Moonlock.