macOS için gerçek zamanlı, cihaz üzerinde kimlik avı önleme çözümü, referans tabanlı algılamayı yeni bir düzeye taşıyarak Mac kullanıcılarına bir kimlik avı web sitesinde oldukları konusunda anında uyarı gönderiyor.
2023'te kaç tane benzersiz kimlik avı web sitesi yayınlandı? Kimlik Avı Önleme Çalışma Grubu
Aşağıda açıkladığım çözüm, bir kavram kanıtı deneyi olarak başladı
Mevcut anti-phishing uygulamaları temel olarak üç tespit yöntemi kullanır: kara listeleme, sınıflandırma tabanlı yaklaşım ve referans tabanlı yaklaşım. Her yöntemin kendine göre avantajları vardır, ancak hepsi daha fazla iyileştirme gerektirir. Her birini inceleyelim.
Kara liste yaklaşımı pratik ve doğrudur, ancak kimlik avı web sitelerinin ne kadar hızlı yayıldığına ayak uyduramaz. Her zaman etkili değildir, çünkü listeye yeni kimlik avı web sitelerinin eklenmesi gerekebilir ve saldırganlar tespit edilmekten kaçınmak için sıklıkla URL'leri değiştirir.
Örneğin, Google Güvenli Tarama bilinen kimlik avı sitelerinin listelerini kullanır. Bir web sitesini ziyaret etmeye çalıştığınızda, adresi bu listeyle karşılaştırır. Bir eşleşme varsa, erişimi engeller ve sizi tehlike konusunda uyarır. Peki ya web sitesi birkaç dakika önce yayınlanmışsa? Listede olmayacak ve kullanıcı tuzağa düşecektir.
Bu kimlik avı önleme yönteminde, makine öğrenimi bir web sitesinin sahte mi yoksa meşru mu olduğunu belirlemek için URL yapıları, HTML içeriği ve meta veriler gibi web sayfası özelliklerini analiz eder. Sınıflandırma, yeni kimlik avı sitelerini tespit etmek için kullanıcı verilerinden öğrendiği için tarayıcı uzantıları için mükemmeldir.
Buradaki dezavantaj, makine öğreniminin karmaşık algoritmalar ve çok sayıda eğitim verisi gerektirmesi, siber suçluların ise tespitten kaçınmak için hızla yeni karartma taktikleri icat etmesidir. Bu, sınıflandırma tabanlı yaklaşımları daha az doğru hale getirir ve bağımsız güvenlik ürünleri için ideal değildir.
Referans tabanlı çözümlerden bazıları son teknoloji olarak kabul edilir. Web sayfası görünümlerini analiz etmek ve kimlik avı web sitelerini etkili bir şekilde tespit etmek için bilgisayarlı görüş kullanırlar. Ancak gördüğümüz bir diğer şey de, kimlik avı vakalarını bulutta işlemeselerdi referans tabanlı çözümlerin daha hızlı olabileceğidir.
Bir kimlik avı web sitesinin yayına girmesi ile referans tabanlı tespit sistemlerinin onu listeye eklemesi arasında kritik bir zaman aralığı vardır. Daha hızlı tespit ve yanıt sağlamak için bu aralığı daraltmak istedik.
Amacımız Mac kullanıcılarını kimlik avı web siteleri yayına girer girmez uyarmaktı. Bunu başarmak için referans tabanlı yaklaşımı benimsedik ve geliştirdik. Bulut işlemeyi ortadan kaldırdık ve tespit süresini kısaltmak amacıyla tüm hesaplamaları yerel olarak yapmayı önerdik. Bir bonus olarak, çözümümüz gizliliği artırır çünkü tüm kullanıcı verileri cihazda işlenir ve başka hiçbir yere gitmez.
Swift kullanarak, çerçeveleri de içeren yerel bir macOS uygulaması oluşturduk
İşte özetle şöyle işliyor.
Bir web sitesindeyken, uygulamamız sayfa düzenini anlamaya çalışır. Logolar, giriş alanları ve düğmeler gibi önemli sayfa öğelerini belirler. Bu görev için şunu seçtik:
Bu adımda, web sitesindeki öğelerin, özellikle marka logosunun ve kimlik bilgilerinin girildiği formların bulunduğu alanın yerleşimlerini tanımak önemlidir.
Daha sonra, prototip web sitesinde tespit edilen bir logonun herhangi bir tanınmış markayla eşleşip eşleşmediğini kontrol eder. Üstüne üstlük, web sayfası URL'sini meşru web sitelerinin bir referans listesiyle karşılaştırır. Web sitesi resmi ise, diğer adımları atlarız.
Yan not olarak, markaların pazarlama için ne kadar çok resmi alan adı kullandığını görünce dehşete düştük. Kimlik avı yapan web sitelerinin kurbanlarını kandırmada bu kadar etkili olması şaşırtıcı değil. Örneğin, DHL'in dhl.com, express.dhl, mydhli.com, dhlsameday.com ve dhlexpresscommerce.com gibi birkaç resmi alanı var.
Web sayfasını iki kategoriye ayırıyoruz: kimlik bilgisi gerektirip gerektirmediği. Bu adım, bir kimlik avı web sitesinin kişisel kullanıcı bilgilerini çalmaya çalışıp çalışmadığını doğrular.
Ekran görüntüsünde, prototipimiz kimlik bilgisi giriş alanlarını buldu, sayfayı DHL'e atfetti ve URL'yi resmi DHL alan adları listesiyle karşılaştırdı. Sayfa DHL'e ait olmadığı için kullanıcı bir kimlik avı uyarısı aldı.
Sistemimiz temel doğruluğu korur veya aşar ve kesinlikle daha hızlı işlem sürelerine sahiptir. Logo tanımada %90,8 ve kimlik bilgisi girişini tespit etmede %98,1 doğruluk elde ettik.
Aşağıdaki grafik, diğer kimlik avı önleme çözümlerine karşı performansımızı ve hassasiyet, geri çağırma ve yanlış pozitif oranı açısından nasıl karşılaştırıldığımızı göstermektedir. Sahte pozitif oranını düşük %3,4'te tutarken, kimlik avı girişimlerinin %87,7'sini gururla tespit ettik.
Son ölçümler, çözümümüzün performansta gözle görülür bir kayıp olmadan arka planda sorunsuz bir şekilde çalıştığını gösteriyor. CPU kullanımı minimum düzeyde: Apple M1 Mac'teki sekiz çekirdekle, prototipimiz mevcut %800 kapasitenin yalnızca %16'sını kullanıyor. Bu tüketim seviyesi, üç etkin Safari sekmesine veya bir Zoom görüşmesine benzer.
Piyasada çok sayıda kimlik avı önleme uygulaması var, ancak bunların çoğu verileri harici sunucularda işliyor. Prototipimiz, modern bilgisayarlardaki donanımın makine öğrenimi modellerini yerel olarak cihaza getirmemize olanak tanıdığını gösteriyor. Bunları kimlik avıyla mücadele etmek için kullanabilir ve işlem hızları ve sistem kaynaklarının kullanımı konusunda endişelenmeyebiliriz. Neyse ki Apple ekosistemi optimizasyon için çerçeveler ve araçlar sağlıyor.
Yazar: Ivan Petrukha, MacPaw Teknolojik Ar-Ge Kıdemli Araştırma Mühendisi, eski Moonlock.