Nas últimas décadas, os ataques cibernéticos tornaram-se cada vez mais variados, introduzindo várias estratégias para atrair usuários para sites maliciosos ou levá-los a compartilhar dados confidenciais. Como resultado, os cientistas da computação estão continuamente tentando desenvolver ferramentas mais avançadas para detectar e neutralizar esses ataques.
Typosquatting, um dos ataques mais comuns realizados online, explora a tendência humana de errar palavras ao digitar rapidamente ou de interpretar mal palavras quando elas têm pequenos erros topográficos. Typosquatting consiste essencialmente na criação de sites maliciosos com URLs que se assemelham a sites estabelecidos, mas com pequenos erros de digitação (por exemplo, “fqcebook” em vez de “facebook” ou “yuube” em vez de “youtube”). Quando um usuário visita esses sites por engano, ele pode baixar malware involuntariamente ou acabar compartilhando informações pessoais com os invasores.
A maioria das técnicas existentes para detectar esses ataques de phishing são baseadas em ferramentas de verificação ortográfica. Embora essas ferramentas possam funcionar em alguns casos, elas não generalizam bem, pois seu desempenho geralmente depende do vocabulário das palavras usadas para treiná-las.
Pesquisadores da Ensign InfoSecurity, um provedor de serviços de segurança cibernética de ponta a ponta com sede em Cingapura, criaram recentemente o TypoSwype, uma ferramenta alternativa para detectar ataques de typosquatting que se baseia na análise de imagens. Essa ferramenta, apresentada em um artigo pré-publicado no arXiv, utiliza técnicas avançadas de reconhecimento de imagem para converter strings em imagens que também consideram a localização das letras no teclado.
“O Typosquatting faz uso de erros tipográficos ou erros de digitação (por exemplo, ‘googgle.com’ em vez de ‘google.com’) para enganar os usuários a acessar sites indesejados”, disse David Yam, um dos pesquisadores que realizaram o estudo, ao TechXplore. “As técnicas atuais para lidar com esses ataques de phishing utilizam distância de edição de string que não depende das posições dos caracteres do teclado (‘g’ é encontrado em uma área de teclado diferente de ‘z’) e, portanto, são menos precisos na captura de erros de digitação (por exemplo, ‘googgle. com’ e ‘googzle.com’ estão igualmente distantes de ‘google.com’). Utilizamos técnicas de reconhecimento de imagem como Redes Neurais Convolucionais (CNN) e funções de perda específicas para melhorar a detecção de erros de digitação.”
Em contraste com outros métodos de detecção de typosquatting introduzidos no passado, TypoSwype pode capturar a distância entre diferentes caracteres no teclado, traçando linhas entre os botões de caracteres consecutivos em um teclado imaginário. Isso ajuda a reduzir os erros que as métricas de distância de edição de string existentes (ou seja, métodos que calculam quão diferentes duas palavras ou sequências de caracteres são uma da outra) são propensas a cometer.
“Utilizamos técnicas de reconhecimento de imagem porque ele pode processar em lote vários domínios com typosquat de uma só vez, permitindo um processamento mais rápido em comparação com as soluções de correspondência de strings”, explicou Lee. “Além disso, a utilização de entradas Swype nos permite inserir visualmente entradas que provavelmente serão typosquats umas das outras, como ‘fqcebook’ e ‘facebook’.”
Yam e seu colega Lee Joon Sern avaliaram sua ferramenta de detecção de typosquatting em uma série de testes, comparando seu desempenho com o do algoritmo DLD, um modelo de segurança cibernética amplamente utilizado. Eles descobriram que o TypoSwype pode detectar o typosquatting de forma mais confiável do que o DLD, ao mesmo tempo em que identifica com precisão os domínios bem estabelecidos e seguros que os invasores estavam tentando copiar ou “typo-squat”.
“TypoSwype é (até onde sabemos) a primeira aplicação das CNNs para combater o typosquatting usando entradas Swype”, disse Yam. “Usar o Swype captura inerentemente a métrica de distância do teclado que os erros tipográficos geralmente têm. Também usamos a perda Triplet e a perda NT-Xent como mecanismos superiores para treinar nosso modelo porque fornece um limite mínimo entre imagens Swype não semelhantes. Isso nos permite melhorar as métricas (pontuação F1) na detecção de domínios de typosquatting que já são bastante semelhantes (1 distância de edição) por algoritmos de correspondência de distância de edição de string.”
O trabalho recente dessa equipe de pesquisadores poderá em breve inspirar o desenvolvimento de outras técnicas de segurança cibernética baseadas em modelos de reconhecimento de imagem. Enquanto isso, o TypoSwype será incluído no conjunto de ferramentas de detecção de phishing da Ensign InfoSecurity, tornando-o disponível para usuários em todo o mundo.
Publicado em 16/10/2022 23h15
Artigo original:
Estudo original: