Как научиться фишингу


Как создать фишинговую страницу с помощью Kali

В этой статье вы узнаете, как создать фишинговую страницу с помощью Kali Linux.

Здесь, мы попытаемся создать клон страницы, которая будет выглядеть и вести себя как страница входа в систему для сбора данных жертвы с использованием Social Engineering Toolkit.
По сути, мы перенаправим браузер жертвы на наш сервер. Этот дублированный сервер будет содержать указанную клонированную веб-страницу, которая взаимодействует и ведет себя как оригинал, и одна из лучших функций этой страницы заключается в том, что эта страница будет сохранять данные для входа в систему  на нашем локальном диске вместо публикации данных на исходном сервере.

ПРИМЕЧАНИЕ. Эта статья предназначена только для образовательной цели, сайт не несет ответственности за любую незаконную деятельность, выполняемую пользователем.


Давайте начнем.
Открываем терминал (Ctrl+Alt+t) и вводим:

ifconfig

Эта команда покажет ваш IP адрес, запомните его.
Далее, запускаем Social Engineering Toolkit:

setoolkit

Соглашаемся и вводим y.

Теперь мы попадаем в меню SET.

Как показано на скриншоте, выбираем 1. Далее будет похожее меню и нужно будет напечатать 2 (Website Attack Vectors). В следующем меню печатаем 3 (credential Of Victim).

Вы увидите это меню:

Мы хотим получить логин и пароль жертвы, поэтому нам нужно сделать клон оригинальной страницы.
Чтобы начать клонирование, нажмите «2» и вы увидите похожий текст.


На изображении выше, вы могли заметить прямоугольник зеленого цвета. В окне вы найдете сообщение «Tabnabbing: Your IP Address», где вам нужно ввести свой IP-адрес. (Для того чтобы узнать IP-адрес,  введите «ifconfig»)

Обратите внимание, что если вы неправильно указали IP-адрес вашего компьютера, этот метод не будет работать.
Итак, после ввода вашего правильного IP-адреса, нажмите ввод.

Теперь он попросит вас ввести URL веб-страницы, которую вы хотите клонировать, как показано ниже.

Здесь я ввел «http://www.facebook.com», так как хочу украсть данные учетной записи Facebook. Программа сообщит, что работает над клонированием сайта, и займет немного времени. 

Программа автоматически настроит и запустит веб-сервер. Также нужно, чтобы IP адрес был белый.


Этот сервер будет обрабатывать браузер клиента, который посещает наш IP-адрес, он увидит нашу клонированную страницу, которая будет выглядеть как оригинальный веб-сайт. На этом этапе, чтобы увеличить вероятность успеха, можно сократить свой IP-адрес с помощью таких служб, как ADF.LY, Binbox, Goo.gl и т. д. Как только вы введете свой IP-адрес на этих сайтах для сокращения, они предоставят вам короткую ссылку, и все, что вам нужно сделать, это просто отправить эту сокращенную ссылку своей жертве.
Когда жертва посетит URL-адрес, который вы ей отправили, она увидит ту же страницу, URL которой вы ввели для клонирования в программе.

Жертва будет думать, что это оригинальная страница и когда жертва введет  свои учетные данные, вы увидите эту информацию в /var/www/harvester , как показано на скриншоте ниже.

После открытия этого текстового файла вы увидите логин и пароль в формате, указанном ниже.

ПРИМЕЧАНИЕ. Эта статья предназначена только для образовательной цели, сайт не несет ответственности за любую незаконную деятельность, выполняемую пользователем.

Фишинг | Методы фишинга

Существует ряд различных методов, используемых для получения личной информации от пользователей. По мере того, как технологии становятся все более продвинутыми, используемые киберпреступники также становятся все более совершенными.

Чтобы предотвратить интернет-фишинг, пользователи должны знать, как это делают злоумышленники, а также знать о методах защиты от фишинга, чтобы не стать жертвами.


.

Как провести эффективный тест на фишинг на работе

Проведение эффективного теста на фишинг на работе может стать отличием между сотрудником, который нажимает на вредоносные ссылки или вложения, и тем, кто сообщает о них.

Фактически, согласно исследованию, проведенному Ponemon Institute, моделирование фишинга в реальном времени удваивает уровень осведомленности сотрудников и дает около 40% рентабельности инвестиций по сравнению с более традиционной тактикой обучения кибербезопасности.

[Прочтите: все статистические данные о фишинге, которые вам нужно знать, чтобы подготовить вашу организацию.]

Но взять самое слабое звено кибербезопасности вашей организации - ее сотрудников - и превратить их в точку опоры - нелегко и не произойдет в одночасье. Вам потребуется терпение, настойчивость и готовность учить, а не рассказывать. Тест на фишинг (или имитация фишинга) - отличный способ повысить вовлеченность сотрудников в инициативы по обеспечению безопасности и предоставить сотрудникам реальный реальный сценарий улучшения их поведения в сфере безопасности.

Что такое проверка на фишинг?

Тест на фишинг используется специалистами по безопасности и ИТ для создания имитирующих фишинговых писем и / или веб-страниц, которые затем отправляются сотрудникам.Эти фальшивые атаки помогают сотрудникам понять различные формы фишинг-атаки, выявить функции и избежать нажатия вредоносных ссылок или утечки конфиденциальных данных в злонамеренных формах.

Для ИТ-специалистов и специалистов по безопасности тест на фишинг повышает осведомленность сотрудников о кибербезопасности в значимой контролируемой среде. Кроме того, поскольку фишинговые тесты находятся под контролем, ИТ-отдел может создать базовую метрику - какой процент организации был успешно «подвергнут фишингу» - чтобы они могли работать с сотрудниками над улучшением со временем.

Сотрудники получают реальный опыт без какого-либо риска. У них также есть возможность существенно улучшить свое поведение в сфере безопасности с учетом обратной связи со стороны ИТ-отдела, когда это необходимо.

В этом кратком руководстве мы рассмотрим, что вы можете сделать до и после проверки на фишинг, чтобы обеспечить максимальное участие и эффективность.

[Читать: Не знаком с фишингом? Узнайте пять распространенных методов, используемых преступниками.]

Что делать перед проверкой на фишинг

Перво-наперво вам нужно найти инструмент для проверки фишинга, который поможет вам в достижении ваших целей.

В зависимости от вашего бюджета, опыта и уровня комфорта существует ряд вариантов фишинговых инструментов - как бесплатных, так и платных - которые должны вам подойти.

После того, как вы выбрали инструмент для проверки фишинга, можно приступать к планированию.

Обучить и уведомить сотрудников

Весь смысл теста на фишинг состоит в том, чтобы обучить сотрудников, чтобы они могли обнаруживать и избегать фишинговых писем в будущем. Попытка поймать их на ошибке без обучения и заблаговременного информирования поставит ИТ-специалистов в положение «мы противих », который помешает вам когда-либо достичь целей осведомленности ваших сотрудников о безопасности. Предоставление обучения и уведомления - важный первый шаг, потому что он делает ваш тест больше, чем просто «Попался!» для нерадивых сотрудников.

Проведите короткое обучение, чтобы определить, что является фишинговым, а что нет, или несколько советов о том, на что обращать внимание (например, проверьте адрес отправителя, срочные запросы, требующие перевода денег и т. Д.), А затем сообщите сотрудникам, что вы будете запускать тесты на фишинг, чтобы помочь им подготовить сотрудников к атаке в контролируемых условиях.

Вам также следует создать адрес электронной почты конкретной компании (например, [email protected]) и сообщить своим сотрудникам, что они должны пересылать подозрительные электронные письма на этот адрес для проверки ИТ. Кроме того, вы можете загрузить кнопку «Сообщить о фишинге», чтобы встроить ее в почтовый ящик каждого сотрудника.

Хорошо поощрять открытое общение, когда сотрудники обнаруживают подозрительные электронные письма. Если они обеспокоены тем, что это может повлиять на других сотрудников, им следует опубликовать предупреждение с помощью средств связи компании (например, Slack).

Сотрудники будут чувствовать себя более комфортно после обучения, если они смогут просто перебрасывать подозрительные электронные письма или сообщать о них непосредственно в ИТ, не нарушая при этом повседневную работу.

Привлечь соответствующие департаменты или менеджеров

Сам по себе фишинг - мощный инструмент для хакеров. Но фишинг в сочетании с социальной инженерией - это лучший инструмент для извлечения информации. «Социальная инженерия» - это эвфемистический термин, который в основном означает обман или манипулирование людьми путем использования их социального контекста, и именно это и попытаются сделать настоящие хакеры.

Люди доверяют тому, что знакомо, поэтому, если хакер может настроить фишинговое письмо для конкретной цели, используя известные имена, компании, даты или веб-сайты, более вероятно, что цель будет фишинговой. Это означает, что когда вы запускаете свой фишинговый тест, вы должны отправлять электронные письма определенным людям или группам людей в каждом тесте, используя тактику социальной инженерии, чтобы действительно измерить их способность противостоять вредоносному письму.

Используйте социальную инженерию, чтобы точно измерить способность сотрудников обнаруживать вредоносные электронные письма.

Представьте, что вы получили электронное письмо с просьбой ввести учетные данные сервера от человека, о котором вы никогда не слышали. А теперь представьте, получили ли вы такое же электронное письмо от генерального директора. Второе письмо, скорее всего, вызовет ответ, верно?

Создать псевдоним фишинга и / или развернуть кнопку встроенного отчета

Во время обучения вы можете предупреждать сотрудников на адрес электронной почты конкретной компании (например, [email protected]) для пересылки подозрительных писем, чтобы ИТ-специалисты могли их просмотреть.Кроме того, вы можете загрузить кнопку сообщения о фишинге, которая встроена в почтовый ящик каждого сотрудника.

Хорошо поощрять открытое общение, когда сотрудники обнаруживают подозрительные электронные письма. Если они обеспокоены тем, что это может повлиять на других сотрудников, они должны опубликовать предупреждение, используя инструмент связи компании (например, Slack).

Сотрудники будут чувствовать себя более комфортно во время обучения, если теперь они смогут просто перебрасывать подозрительные электронные письма или сообщать о них непосредственно в ИТ-отдел без особого расследования.

Планирование проверки на фишинг

Есть несколько правил, которых вы должны придерживаться, чтобы обеспечить максимальную эффективность вашего фишингового теста и улучшить поведение сотрудников в области кибербезопасности в долгосрочной перспективе.

Сроки

Тест должен быть построен как серия имитаций фишинга - кампания - проводимая каждый месяц или каждый квартал. Это единственный способ оценить успехи и улучшения.

Ваша кампания должна быть прогрессивной с точки зрения сложности - ваш первый тест должен быть довольно простым для определения.После этого попробуйте разные ракурсы и разные уровни тонкости в ваших тестах, как описано в следующем разделе. Сотрудники должны уметь ползать, прежде чем ходить!

Использование различных методов фишинга

Используйте различные методы фишинга, чтобы дать сотрудникам множество возможностей для обучения и держать их в напряжении. В то время как первое электронное письмо должно быть базовым шаблоном фишинга, в последующих электронных письмах следует использовать тактику социальной инженерии и более хитрые схемы, чтобы обмануть сотрудника, как это сделал бы хакер.

Определите конкретных сотрудников или определенные группы в организации, для которых они должны использовать электронные письма, которые они обычно получают, - например, электронное письмо от отдела кадров с использованием адреса руководителя отдела кадров в качестве адреса «от». Вы можете попросить их, например, обновить свой пароль для профиля в программном обеспечении для расчета заработной платы.

( Запомните : 1. Вы хотите, чтобы они поверили, что это реально! 2. Если вы используете адрес электронной почты руководителя отдела кадров в тесте на фишинг, они должны знать об этом заранее.)

Включая старшее руководство и руководителей

Крайне важно, чтобы вы включили высшее руководство и руководителей в свой фишинговый тест.Они являются привратниками к наиболее ценным активам вашего бизнеса и поэтому с наибольшей вероятностью станут объектами атак хакеров.

Включите старшее руководство и руководителей в свой тест на фишинг. Они являются привратниками к наиболее ценным активам вашего бизнеса и будут наиболее целенаправленными.

Помимо того, что они являются мишенями, важно, чтобы другие сотрудники знали, что руководители участвуют в тренинге - это повысит вовлеченность сотрудников и даст команде дополнительную мотивацию для улучшения их результатов.

Что делать после проверки на фишинг

Разослан первый тест на фишинг в вашей фишинговой кампании… Что теперь?

Поскольку ваша цель - повысить осведомленность сотрудников о кибербезопасности, ваша работа только начинается. Создайте основу, вознаграждайте лучших, обучите малоэффективных и начните планировать следующий тест!

Отчетность Критично

Есть три ключевых показателя, которые вы хотите измерить:

  1. Показатели переходов по ссылкам
  2. Количество сотрудников, которые утекают конфиденциальные данные (т.е. укажите комбинацию пользователь / пароль)
  3. Количество сотрудников, сообщивших о фишинговом письме

Со временем вы хотите, чтобы номера №1 и №2 снизились, а количество людей, сообщающих о фишинговых письмах, увеличилось. Единственный способ показать прогресс - это записывать эти показатели после каждого теста. Вы должны поделиться результатами с остальной частью организации, но убедитесь, что вы не выделяете какого-либо человека или группу . Все результаты должны быть суммированы!

Хотя результаты всей организации должны быть агрегированными, единственный способ помочь отдельным лицам и командам стать лучше - показать им (в тихой, приватной обстановке), что они сделали неправильно (или правильно), чтобы добиться успеха во время следующего моделирования.

Награда за высокие результаты

Есть человек или группа, которые показали очень хорошие результаты? Покажи им немного любви!

Вы можете писать электронные письма людям, которые добились успеха (т. Е. Не переходили по ссылке и / или не утекали конфиденциальные данные и не отправляли электронное письмо в ИТ), и сообщать им, что они делают отличную работу по обеспечению безопасности бизнеса от киберпреступников. Вы также можете отправить электронное письмо целым отделам, если их результаты являются лучшими в организации.

Хотите перейти на новый уровень? Организуйте конкурс между отделами, чтобы отдел-победитель (самый низкий рейтинг кликов и самый высокий процент сообщений о фишинге) в конце каждого квартала получал спонсируемый обед или ужин.

Обеспечить дополнительное обучение для низкоэффективных сотрудников

Это, вероятно, самая важная часть любого фишингового теста - помощь малоэффективным специалистам в достижении успеха.

Будь то генеральный директор или стажер, нет причин для грубости или покровительства, когда вы говорите с сотрудником о его плохой работе на фишинг-тесте.

Вы хотите, чтобы сотрудники чувствовали себя комфортно, говоря с вами о своей борьбе с кибербезопасностью, и вы хотите, чтобы они всегда выбирали посылать вам что-то подозрительное, а не пытаться ориентироваться самостоятельно.Они будут делать это только в том случае, если будут уверены, что вы уважаете их и цените их усилия.

Для тех, кто впервые нарушает правила, можно просто отправить электронное письмо с уведомлением о том, что они допустили ошибку при проверке на фишинг. Вы должны еще раз подчеркнуть важность кибербезопасности и предоставить дополнительные обучающие материалы о том, как обнаружить фишинговое письмо - сообщите им, что скоро будут новые фишинговые тесты, и у них будет возможность добиться успеха, если они будут осторожны! Кроме того, не забудьте нажать кнопку «Сообщить о фишинге» или «phishing @ yourcompany».com, который вы настроили.

Подтвердите важность кибербезопасности и предоставьте дополнительные обучающие материалы о том, как обнаружить фишинговое письмо.

Если у вас есть личные отношения с низкоэффективными сотрудниками, вы также можете обращаться к ним индивидуально.

Если у отдельных лиц или групп лиц по-прежнему возникают проблемы с обнаружением фишинговых писем, вам необходимо вмешиваться более активно. Возможно, определенным лицам или группам необходимо дать краткое руководство по обнаружению фишинговых писем, включая популярные примеры и вещи, которые произошли с другими компаниями.Для них действительно важно признать легитимность угрозы и вероятность того, что в какой-то момент они получат настоящее фишинговое письмо.

Следующие шаги

Следуя приведенным здесь инструкциям, вы заложили основу для того, что обязательно будет успешной и полезной программой, которая помогает ограничить поверхность атаки вашей организации и защитит ваших сотрудников от злонамеренных посторонних.

Что дальше? Вы угадали: начните готовиться к следующему тесту на фишинг!

В конце каждого квартала или каждого года готовьте краткое изложение, которое вы можете показать руководству и команде в целом, чтобы стимулировать постоянное улучшение.Осведомленность о фишинге и постоянное тестирование необходимы по мере роста вашей компании и развития методов фишинга.

Осведомленность о фишинге и постоянное тестирование необходимы по мере роста вашей компании и развития методов фишинга.

Первым шагом к устранению проблемы является понимание того, что она существует. Вы сделали первый шаг к защите своей организации. Мы надеемся, что это руководство поможет вам достичь максимальной осведомленности сотрудников о кибербезопасности, чтобы вы могли расслабиться, зная, что сотрудники не будут обмануты, нажав на следующую фишинговую ссылку, которая появится в их почтовом ящике.

.

Общая информация о фишинге и советы по предотвращению

  • Сообщить о фишинге
  • О нас
  • Проверка безопасности на фишинг
  • Фишинг 101
    • Что такое фишинг?
    • История фишинга
    • Методы фишинга
  • Типы фишинговых атак
    • Распространенные фишинговые атаки
    • Примеры фишинга
    • Фишинг и спуфинг
    • Фишинг и кража личных данных
  • Защита от фишинга
    • 10 способов избежать фишинговых атак
    • Как поговорить с сотрудниками
  • Фишинговые ресурсы
    • Для ИТ-специалистов
    • Викторина для пользователей
  • ЗНАЕТЕ ЛИ ВЫ?

    НЕ БУДЬ СЛЕДУЮЩЕЙ ЖЕРТВОЙ

    Узнайте, как выявлять фишинговые атаки и бороться с ними
.

Обнаружение фишинговых URL-адресов с помощью ML. Фишинг - это форма мошенничества, при которой… | автор: Ebubekir Büber

Многие пользователи невольно переходят по фишинговым доменам каждый день и каждый час. Злоумышленники нацелены как на пользователей, так и на компании. Согласно 3-му отчету Microsoft Computing Safer Index Report, опубликованному в феврале 2014 года, ежегодный мировой ущерб от фишинга может достигать 5 миллиардов долларов.

В чем причина такой стоимости?

Основная причина - неосведомленность пользователей.Но защитники безопасности должны принять меры, чтобы пользователи не могли столкнуться с этими вредоносными сайтами. Предотвращение этих огромных затрат может начаться с осознания людей в дополнение к созданию надежных механизмов безопасности, которые способны обнаруживать и предотвращать попадание фишинговых доменов к пользователю.

Давайте проверим структуру URL, чтобы четко понять, как думают злоумышленники, когда они создают фишинговый домен.

Унифицированный указатель ресурсов (URL) создается для адресации веб-страниц.На рисунке ниже показаны соответствующие части в структуре типичного URL-адреса.

Он начинается с протокола, используемого для доступа к странице. Полное доменное имя определяет сервер, на котором размещена веб-страница. Он состоит из зарегистрированного доменного имени (домен второго уровня) и суффикса, который мы называем доменом верхнего уровня (TLD). Часть доменного имени ограничена, так как она должна быть зарегистрирована Регистратором доменного имени. Имя хоста состоит из имени поддомена и имени домена. Фишер имеет полный контроль над частями субдомена и может устанавливать для них любое значение.URL-адрес также может содержать путь и компоненты файла, которые также могут быть изменены фишером по своему желанию. Имя поддомена и путь полностью контролируются фишером. Мы используем термин FreeURL для обозначения этих частей URL-адреса в оставшейся части статьи.

Злоумышленник может зарегистрировать любое доменное имя, которое не было зарегистрировано ранее. Эта часть URL может быть установлена ​​только один раз. Фишер может изменить FreeURL в любое время, чтобы создать новый URL. Причина, по которой защитники безопасности не могут обнаружить фишинговые домены, заключается в уникальной части домена веб-сайта (FreeURL).Если домен обнаружен как мошеннический, его легко предотвратить до того, как пользователь получит к нему доступ.

Некоторые компании по анализу угроз обнаруживают и публикуют мошеннические веб-страницы или IP-адреса в виде черных списков, что упрощает предотвращение этих вредоносных активов другими лицами. (cymon, firehol)

Злоумышленник должен разумно выбрать доменные имена, потому что цель должна убедить пользователей, а затем установить FreeURL, чтобы затруднить обнаружение. Давайте проанализируем приведенный ниже пример.

Хотя настоящее доменное имя - active-userid.com, злоумышленник попытался сделать домен похожим на paypal.com, добавив FreeURL. Когда пользователи видят paypal.com в начале URL-адреса, они могут доверять сайту и подключаться к нему, а затем могут поделиться своей конфиденциальной информацией с этим мошенническим сайтом. Это часто используемый злоумышленниками метод.

Другие методы, которые часто используются злоумышленниками, - это киберсквоттинг и типосквоттинг.

Киберсквоттинг (также известный как сквоттинг доменов) - это регистрация, незаконный оборот или использование доменного имени с недобросовестным намерением извлечь выгоду из репутации торговой марки, принадлежащей другому лицу.Киберсквоттер может предложить продать домен физическому или юридическому лицу, владеющему товарным знаком, содержащимся в названии, по завышенной цене или может использовать его в мошеннических целях, таких как фишинг. Например, название вашей компании - «abcompany», и вы регистрируетесь как abcompany.com. Затем фишеры могут зарегистрировать abcompany.net, abcompany.org, abcompany.biz и использовать их в мошеннических целях.

Типосквоттинг, также называемый перехватом URL-адресов, - это форма киберсквоттинга, основанная на ошибках, таких как опечатки, допущенные пользователями Интернета при вводе адреса веб-сайта в веб-браузер, или на опечатках, которые трудно заметить при быстром чтении.URL-адреса, созданные с помощью Typosquatting, выглядят как доверенный домен. Пользователь может случайно ввести неправильный адрес веб-сайта или щелкнуть ссылку, которая выглядит как доверенный домен, и, таким образом, он может посетить альтернативный веб-сайт, принадлежащий фишеру.

Известным примером Typosquatting является goggle.com , чрезвычайно опасный веб-сайт. Еще одна похожая вещь - yutube.com , которая похожа на goggle.com , за исключением пользователей Youtube .Аналогичным образом, www.airfrance.com был опечатан как www.arifrance.com , что перенаправило пользователей на веб-сайт, торгующий скидками на поездки. Еще несколько примеров; paywpal.com , microroft.com , applle.com , appie.com .

В академической литературе и коммерческих продуктах существует множество алгоритмов и самых разных типов данных для обнаружения фишинга. Фишинговый URL-адрес и соответствующая страница имеют несколько функций, которые можно отличить от вредоносного URL-адреса.Например; злоумышленник может зарегистрировать длинный и запутанный домен, чтобы скрыть реальное доменное имя ( Cybersquatting, Typosquatting). В некоторых случаях злоумышленники могут использовать прямые IP-адреса вместо доменного имени. Этот тип события выходит за рамки нашей области применения, но его можно использовать для той же цели. Злоумышленники также могут использовать короткие доменные имена, которые не имеют отношения к законным торговым маркам и не содержат каких-либо дополнений FreeUrl. Но этот тип веб-сайтов также выходит за рамки нашей компетенции, потому что они больше подходят для мошеннических доменов, чем для фишинговых.

Помимо функций на основе URL-адресов, используются различные виды функций, которые используются в алгоритмах машинного обучения в процессе обнаружения академических исследований. Функции, собранные в результате академических исследований для обнаружения фишинговых доменов с помощью методов машинного обучения, сгруппированы, как указано ниже.

  1. Функции на основе URL
  2. Функции на основе домена
  3. Функции на основе страниц
  4. Функции на основе содержимого

Функции на основе URL

URL - это первое, что нужно проанализировать веб-сайт, чтобы определить, является ли он фишингом или не.Как мы упоминали ранее, URL-адреса фишинговых доменов имеют некоторые отличительные особенности. Функции, связанные с этими точками, получаются при обработке URL-адреса. Некоторые из функций на основе URL-адресов приведены ниже.

  • Количество цифр в URL-адресе
  • Общая длина URL-адреса
  • Проверка, является ли URL-адрес Typosquatted или нет. (google.com → goggle.com)
  • Проверка, содержит ли он законный бренд или нет (apple-icloud-login.com)
  • Количество субдоменов в URL-адресе
  • Домен верхнего уровня (TLD) является одним из наиболее распространенных использовал один?

Доменные функции

Цель обнаружения фишинговых доменов - обнаружение фишинговых доменных имен.Таким образом, пассивные запросы, связанные с доменным именем, которые мы хотим классифицировать как фишинговые или нет, предоставляют нам полезную информацию. Ниже приведены некоторые полезные доменные функции.

  • Его доменное имя или его IP-адрес в черных списках известных репутационных служб?
  • Сколько дней прошло с момента регистрации домена?
  • Имя регистранта скрыто?

Страничные функции

Страничные функции используют информацию о страницах, которые рассчитываются службами ранжирования репутации.Некоторые из этих функций дают информацию о том, насколько надежен веб-сайт. Некоторые из страничных функций приведены ниже.

  • Глобальный рейтинг страницы
  • Рейтинг страницы страны
  • Позиция Alexa Top 1 миллион сайтов

Некоторые страничные функции дают нам информацию об активности пользователей на целевом сайте. Некоторые из этих функций приведены ниже. Получить такие функции непросто. Есть несколько платных сервисов для получения этих функций.

  • Расчетное количество посещений домена за день, неделю или месяц
  • Среднее количество просмотров страниц за посещение
  • Средняя продолжительность посещения
  • Доля веб-трафика на страну
  • Количество ссылок из социальных сетей на данный домен
  • Категория домена
  • Подобные сайты и др.

Контентные функции

Для получения этих типов функций требуется активное сканирование на целевой домен. Содержимое страницы обрабатывается, чтобы мы могли определить, используется ли целевой домен для фишинга или нет. Некоторая обработанная информация о страницах приведена ниже.

  • Заголовки страниц
  • Мета-теги
  • Скрытый текст
  • Текст в теле
  • Изображения и т. Д.

Анализируя эту информацию, мы можем собрать такую ​​информацию, как;

  • Требуется ли вход на сайт?
  • Категория сайта
  • Информация о профиле аудитории и т. Д.

Все описанные выше функции полезны для обнаружения фишинговых доменов. В некоторых случаях использование некоторых из них может оказаться бесполезным, поэтому существуют некоторые ограничения для использования этих функций. Например, может быть нелогично использовать некоторые функции, такие как Content-Based Features, для разработки механизма быстрого обнаружения, который может анализировать количество доменов от 100 000 до 200 000. Другой пример: если мы хотим анализировать новые зарегистрированные домены, функции на основе страниц не очень полезны.Таким образом, функции, которые будут использоваться механизмом обнаружения, зависят от цели механизма обнаружения. Следует тщательно выбирать, какие функции использовать в механизме обнаружения.

Обнаружение фишинговых доменов - это проблема классификации, поэтому нам нужны помеченные данные, которые содержат образцы как фишинговые домены и законные домены на этапе обучения. Набор данных, который будет использоваться на этапе обучения, является очень важным моментом для построения успешного механизма обнаружения.Мы должны использовать образцы, классы которых точно известны. Это означает, что образцы, помеченные как фишинговые, должны быть абсолютно определены как фишинговые. Аналогичным образом образцы, помеченные как законные, должны быть абсолютно признаны законными. В противном случае система не будет работать правильно, если мы будем использовать образцы, в которых мы не уверены.

Для этого создаются некоторые общедоступные наборы данных для фишинга. Один из самых известных - PhishTank. Эти источники данных обычно используются в академических исследованиях.

Другой проблемой является сбор законных доменов. Для этого обычно используются сервисы репутации сайтов. Эти сервисы анализируют и ранжируют доступные веб-сайты. Этот рейтинг может быть глобальным или зависеть от страны. Механизм ранжирования зависит от множества функций. Веб-сайты, которые имеют высокие рейтинги, являются законными сайтами, которые используются очень часто. Один из известных сервисов рейтинга репутации - Alexa. Исследователи используют топ-листы Alexa для легитимных сайтов.

Когда у нас есть необработанные данные о фишинговых и законных сайтах, следующим шагом должна быть обработка этих данных и извлечение из них значимой информации для обнаружения мошеннических доменов. Набор данных, который будет использоваться для машинного обучения, должен фактически включать эти функции. Итак, мы должны обработать необработанные данные, которые собираются из Alexa, Phishtank или других ресурсов данных, и создать новый набор данных для обучения нашей системы алгоритмам машинного обучения. Значения характеристик должны быть выбраны в соответствии с нашими потребностями и целями и должны быть рассчитаны для каждого из них.

Существует так много алгоритмов машинного обучения, и каждый алгоритм имеет свой собственный рабочий механизм. В этой статье мы объяснили Decision Tree Algorithm , потому что я думаю, что это простой и мощный алгоритм.

Изначально, как мы уже упоминали выше, одной из проблем классификации является фишинговый домен. Итак, это означает, что нам нужны помеченные экземпляры для создания механизма обнаружения. В этой задаче мы имеем два класса: (1) фишинговых и (2) легитимных.

Когда мы вычисляем функции, которые мы выбрали для наших нужд и целей, наш набор данных выглядит так, как показано на рисунке ниже. В наших примерах мы выбрали 12 характеристик и рассчитали их. Таким образом, мы создали набор данных, который будет использоваться на этапе обучения алгоритма машинного обучения.

.

Смотрите также