Inovação em detecção de Phishing
5 de Setembro de 2024

A Check Point Software anunciou hoje significativos avanços na detecção de ameaças, como phishing e malware, com o uso do ssdeep, um programa de fuzzy hashing que cria hashes aproximados para identificar conteúdos semelhantes em arquivos.

Esta tecnologia viabiliza a detecção e agrupamento de campanhas de phishing, ao associar páginas web de diferentes domínios que compartilham códigos HTML semelhantes, mesmo quando apresentam pequenas variações.

O fuzzy hashing é uma ferramenta valiosa para identificar campanhas de phishing e malware.

Segundo os especialistas da Check Point Software, ao manter vastos bancos de dados de páginas web, uma equipe de segurança pode utilizar o fuzzy hashing para encontrar correlações significativas entre domínios aparentemente desconectados e campanhas maliciosas já conhecidas.

Com o uso do ssdeep, é possível estabelecer um sistema que detecta e agrupa atividades de phishing ativas, ao vincular páginas web de diferentes domínios que possuem código-fonte HTML parecido.

Essa estratégia permitiu à Check Point Software identificar milhares de grupos de phishing usados para proteger potenciais vítimas ao redor do mundo.

Os especialistas da Check Point Software também ressaltam a relevância do ssdeep – Cluster Detection na identificação de novas ameaças cibernéticas.

Em muitas ações de phishing de grande escala, é comum que diferentes domínios, mesmo com pequenas variações, compartilhem o mesmo código HTML.

Essas pequenas diferenças podem não ser detectadas por ferramentas tradicionais de detecção baseadas em assinaturas, pois, mesmo com algumas modificações nos elementos-chave, a estrutura principal do código se mantém.

Portanto, para enfrentar essas ameaças, é essencial contar com ferramentas de detecção robustas, capazes de identificar semelhanças e estabelecer correlações mesmo em partes de código ligeiramente diferentes.

Esse progresso tecnológico oferece uma vantagem sobre os algoritmos tradicionais de detecção por assinatura, promovendo maior proteção contra campanhas de phishing.

Combate ao Crescimento dos "Kits de Phishing" com Metodologia de Clusters e Bases de Dados

Os ataques de phishing se tornaram muito mais simplificados devido aos kits de phishing automatizados e outras formas de Phishing-as-a-Service.

Um kit de phishing é um pacote de ferramentas que permite a criminosos com poucas ou nenhuma habilidade técnica replicar websites ou enviar e-mails ou mensagens de texto fraudulentos, sem necessidade de programação.

Quando um kit de phishing é utilizado para criar uma nova ação visando uma marca específica, o código-base da página de phishing geralmente é um código-fonte pré-definido.

Diferentes atacantes podem modificar partes do texto ou das imagens no site falso, mas, em grande parte, o código permanece inalterado.

Ferramentas avançadas para falsificação de marcas empregam uma metodologia de clusters para estabelecer conexões entre websites conhecidos e novos.

Quando um cluster é criado para uma página de phishing gerada por um kit de phishing, todas as páginas que potencialmente forem criadas por outros atacantes utilizando a mesma ferramenta também são bloqueadas, não importando a reputação do domínio onde a página está alojada.

Portanto, essa metodologia efetivamente impede ataques populares originados por kits de phishing.

Com o tempo, a Check Point Software acumulou um vasto acervo de códigos-fonte de ações de phishing alojados em diversos domínios.

Agora, é possível usar essa base de dados para gerar clusters de similaridade de forma sistemática.

Ao comparar os hashes ssdeep indexados, cada hash é confrontado com todos os demais armazenados no banco de dados, com uma pontuação de similaridade sendo atribuída a qualquer hash que ultrapasse zero.

À medida que a base de dados se expande, conectar múltiplos objetos com pontuações de similaridade conforme a correlação se fortalece torna-se complexo.

Isso levou à migração de um índice simples para um banco de dados gráfico mais sofisticado.

Essa abordagem é especialmente eficaz ao ligar um único objeto a muitos outros, levando em conta a intensidade da correlação entre diferentes objetos.

Essa técnica desenvolveu clusters ao conectar nós altamente correlacionados.

Enquanto que, na periferia dessa visualização, é possível observar nós isolados e dispersos, no centro surgem clusters de nós fortemente interligados, onde cada cluster representa uma ação de phishing distinta, com cada nó derivando do código-fonte universal alojado em um domínio específico.

Analisando os resultados, não somente em dados e gráficos, mas também nas próprias páginas web de origem maliciosa, observa-se que essas páginas podem parecer diferentes, mas estão de fato correlacionadas.

Comparar URLs anteriormente desconhecidas com os clusters baseados em ssdeep possibilita o bloqueio de ameaças exclusivamente pela sua alta semelhança e correlação com um cluster malicioso conhecido em nossa base de dados.

Esse método não apenas aprimora a capacidade de detecção de phishing, mas também auxilia no bloqueio preventivo de potenciais ameaças.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...