Đây là cách chúng tôi tạo ra một công cụ phát hiện trang web lừa đảo thời gian thực cho MacOS

Giải pháp chống lừa đảo theo thời gian thực trên thiết bị dành cho macOS này đưa khả năng phát hiện dựa trên tham chiếu lên một tầm cao mới, cảnh báo ngay lập tức cho người dùng Mac khi họ đang ở trên một trang web lừa đảo.

Đầu tiên, bối cảnh

Có bao nhiêu trang web lừa đảo độc đáo được công bố vào năm 2023? Nhóm làm việc chống lừa đảo đếm được gần 5 triệu. Vào đầu năm 2024, bộ phận an ninh mạng Moonlock của MacPaw đã báo cáo về kẻ đánh cắp AMOS dựa vào các trang web giả mạo của các thương hiệu đáng tin cậy để phát tán phần mềm độc hại trên máy tính Apple. Chúng không chỉ lây nhiễm thiết bị của chúng tôi mà còn thu thập thông tin đăng nhập của nạn nhân cho mục đích xấu. Các trang web giả mạo rất nguy hiểm, vì vậy nhóm của tôi và tôi quyết định làm gì đó về chúng.

Giải pháp tôi mô tả dưới đây bắt đầu như một thí nghiệm chứng minh khái niệm tại Khóa mặt trăng . Chúng tôi đã giải quyết các vấn đề còn tồn đọng tại Phòng Nghiên cứu và Phát triển Công nghệ của MacPaw và trình bày nguyên mẫu hoạt động tại STAST 2024. Bài báo lập trường của chúng tôi đã mô tả chi tiết giải pháp và ban đầu được tải lên arXiv.org . Để biết thêm thông tin về ứng dụng chống lừa đảo của chúng tôi, vui lòng đọc tiếp.

Hiện tại chúng ta có gì trong tay?

Các ứng dụng chống lừa đảo hiện tại chủ yếu sử dụng ba phương pháp phát hiện: danh sách đen, phương pháp dựa trên phân loại và phương pháp dựa trên tham chiếu. Mỗi phương pháp đều có ưu điểm riêng, nhưng tất cả đều cần cải tiến thêm. Hãy cùng khám phá từng phương pháp.

Danh sách đen

Cách tiếp cận danh sách đen thực tế và chính xác, nhưng không thể theo kịp tốc độ lan truyền của các trang web lừa đảo. Nó không phải lúc nào cũng hiệu quả vì các trang web lừa đảo mới vẫn có thể cần được thêm vào danh sách, trong khi kẻ tấn công thường thay đổi URL để tránh bị phát hiện.

Ví dụ, Google Safe Browsing sử dụng danh sách các trang web lừa đảo đã biết. Khi bạn cố gắng truy cập một trang web, nó sẽ kiểm tra địa chỉ với danh sách này. Nếu có sự trùng khớp, nó sẽ chặn quyền truy cập và cảnh báo bạn về mối nguy hiểm. Nhưng nếu trang web được công bố chỉ vài phút trước thì sao? Nó sẽ không có trong danh sách và người dùng sẽ bị mắc kẹt.

Phương pháp tiếp cận dựa trên phân loại

Trong phương pháp chống lừa đảo này, máy học phân tích các tính năng của trang web như cấu trúc URL, nội dung HTML và siêu dữ liệu để xác định xem trang web có bị giả mạo hay hợp pháp không. Phân loại rất tuyệt vời cho tiện ích mở rộng trình duyệt vì nó học từ dữ liệu người dùng để phát hiện các trang web lừa đảo mới.

Nhược điểm ở đây là máy học đòi hỏi các thuật toán phức tạp và nhiều dữ liệu đào tạo, trong khi tội phạm mạng nhanh chóng phát minh ra các chiến thuật che giấu mới để tránh bị phát hiện. Điều này làm cho các phương pháp tiếp cận dựa trên phân loại kém chính xác hơn và không lý tưởng cho các sản phẩm bảo mật độc lập.

Phương pháp tiếp cận dựa trên tham chiếu

Một số giải pháp dựa trên tham chiếu được coi là tiên tiến nhất. Chúng sử dụng thị giác máy tính để phân tích giao diện trang web và phát hiện hiệu quả các trang web lừa đảo. Tuy nhiên, chúng tôi cũng thấy rằng các giải pháp dựa trên tham chiếu có thể nhanh hơn nếu chúng không xử lý các trường hợp lừa đảo trên đám mây.

Có một khoảng thời gian quan trọng giữa thời điểm một trang web lừa đảo hoạt động và các hệ thống phát hiện dựa trên tham chiếu thêm trang web đó vào danh sách. Chúng tôi muốn thu hẹp khoảng cách này để đảm bảo phát hiện và phản hồi nhanh hơn.

Ứng dụng chống lừa đảo macOS gốc của chúng tôi hoạt động như thế nào

Mục tiêu của chúng tôi là cảnh báo người dùng Mac về các trang web lừa đảo ngay khi chúng hoạt động. Để đạt được điều này, chúng tôi đã áp dụng phương pháp tiếp cận dựa trên tham chiếu và cải thiện nó. Chúng tôi đã loại bỏ xử lý đám mây và đề xuất thực hiện tất cả các phép tính cục bộ, nhằm mục đích cắt giảm thời gian phát hiện. Như một phần thưởng, giải pháp của chúng tôi tăng cường quyền riêng tư vì tất cả dữ liệu người dùng được xử lý trên thiết bị và không đi bất kỳ nơi nào khác.

Chúng tôi đã xây dựng một ứng dụng macOS gốc bằng Swift, kết hợp các khuôn khổ cho chụp màn hình và học máy. Bằng cách chuyển đổi các mô hình của chúng tôi thành CoreML định dạng, chúng tôi đảm bảo hiệu suất mượt mà và giảm thiểu việc sử dụng tài nguyên hệ thống. Theo cách này, nguyên mẫu của chúng tôi liên tục quét các trang web ở chế độ nền, bảo vệ người dùng Mac khỏi các trang web lừa đảo mà không cần tương tác thêm.\Nguyên mẫu hoạt động độc lập với trình duyệt. macOS Khả năng tiếp cận Khung và siêu dữ liệu Trợ năng giúp ứng dụng tập trung vào một số khu vực quan tâm nhất định để biết nơi nào cần tìm kiếm lừa đảo.

Sau đây là cách thức hoạt động tóm tắt của nó.

Bước đầu tiên: phân tích trang web

Khi ở trên một trang web, ứng dụng của chúng tôi cố gắng hiểu bố cục trang. Nó xác định các thành phần chính của trang như logo, trường nhập và nút. Đối với nhiệm vụ này, chúng tôi đã chọn DETR với ResNet-50 vì độ chính xác và hiệu suất của nó.

Ở bước này, điều quan trọng là phải nhận ra vị trí của các thành phần trên trang web, đặc biệt là khu vực có logo thương hiệu và biểu mẫu để nhập thông tin đăng nhập.

Bước thứ hai: ghi nhận thương hiệu

Tiếp theo, nguyên mẫu kiểm tra xem logo được phát hiện trên trang web có khớp với bất kỳ thương hiệu nổi tiếng nào không. Trên hết, nó so sánh URL trang web với danh sách tham chiếu của các trang web hợp pháp. Nếu trang web là chính thức, chúng tôi bỏ qua các bước tiếp theo.

Ngoài ra, chúng tôi rất thất vọng khi thấy có bao nhiêu tên miền chính thức mà các thương hiệu sử dụng để tiếp thị. Không có gì ngạc nhiên khi các trang web lừa đảo lại hiệu quả đến vậy trong việc lừa nạn nhân của chúng. Ví dụ, DHL có một số tên miền chính thức như dhl.com, express.dhl, mydhli.com, dhlsameday.com và dhlexpresscommerce.com.

Bước thứ ba: ngăn chặn việc thu thập thông tin xác thực

Chúng tôi phân loại trang web thành hai loại: có yêu cầu thông tin xác thực hay không. Bước này xác minh xem trang web lừa đảo có đang cố đánh cắp thông tin cá nhân của người dùng hay không.

Trong ảnh chụp màn hình, nguyên mẫu của chúng tôi đã tìm thấy các trường nhập thông tin xác thực, gán trang cho DHL và kiểm tra URL với danh sách các tên miền chính thức của DHL. Người dùng nhận được cảnh báo lừa đảo vì trang không thuộc về DHL.

Nguyên mẫu có độ chính xác đến mức nào?

Hệ thống của chúng tôi duy trì hoặc vượt qua độ chính xác cơ bản và chắc chắn có thời gian xử lý nhanh hơn. Chúng tôi đạt được độ chính xác 90,8% trong nhận dạng logo và 98,1% trong phát hiện thông tin đầu vào.

Biểu đồ bên dưới cho thấy hiệu suất của chúng tôi so với các giải pháp chống lừa đảo khác và cách chúng tôi so sánh về độ chính xác, khả năng thu hồi và tỷ lệ dương tính giả. Chúng tôi tự hào phát hiện 87,7% các nỗ lực lừa đảo trong khi vẫn giữ tỷ lệ dương tính giả ở mức thấp 3,4%.

Nó cũng nhanh và mượt mà

Các số liệu cuối cùng chứng minh rằng giải pháp của chúng tôi chạy mượt mà ở chế độ nền mà không bị giảm hiệu suất đáng kể. Việc sử dụng CPU là tối thiểu: với tám lõi trong Apple M1 Mac, nguyên mẫu của chúng tôi chỉ sử dụng 16% trong tổng số 800% công suất khả dụng. Mức tiêu thụ này tương tự như ba tab Safari đang hoạt động hoặc một cuộc gọi Zoom.

Suy nghĩ cuối cùng

Có rất nhiều ứng dụng chống lừa đảo trên thị trường, nhưng hầu hết chúng đều xử lý dữ liệu trên các máy chủ bên ngoài. Nguyên mẫu của chúng tôi cho thấy phần cứng trên máy tính hiện đại cho phép chúng tôi đưa các mô hình học máy cục bộ vào thiết bị. Chúng tôi có thể sử dụng chúng để chống lừa đảo và không phải lo lắng về tốc độ xử lý và việc sử dụng tài nguyên hệ thống. May mắn thay, hệ sinh thái Apple cung cấp các khuôn khổ và công cụ để tối ưu hóa.

Tác giả: Ivan Petrukha, Kỹ sư nghiên cứu cao cấp tại MacPaw Technological R&D, cựu nhân viên Moonlock.