ブラックリストから機械学習まで。 Yandex.Browserのフィッシング対策

パスワード、銀行カード番号、およびその他の個人情報の盗難を専門とする攻撃者が前世紀に登場し、それ以来、その数は増え続けています。 Kaspersky Labのレポートによると、ロシアのユーザーの9〜13％がフィッシングに遭遇しています。 マイクロソフトによると、世界では毎年、フィッシングやその他の形態の個人情報の盗難により50億ドルの損害が発生しています 。 これは一般的に私たちの観察と一致しており、人気のあるブラウザーがブラックリストに基づいたフィッシング保護を備えている理由を説明しています。 Yandex.Browserにもあります。 なぜ他の何かを発明するのでしょうか？

安全なブラウジング

ユーザーを保護するための最も明白なソリューションは、フィッシングサイトのリストを備えた既製のデータベースを使用することです。 「ブラックリスト」に従って訪問したページをチェックし、一致する場合は警告します。 このアイデアは、セーフブラウジングテクノロジーを使用した保護の基礎となります。セーフブラウジングテクノロジーは、Yandex.Browserで最初から機能しています。



仕組みについて少し説明します。 ブラウザは、数メガバイトの不良サイトのリストを定期的に更新します。 実際、多くの危険なサイトがあり、圧縮率が制限されているため、明示的なアドレスの代わりに、ハッシュのプレフィックス（つまり、最初の部分）のみをローカルに保存します。 ローカルデータベースでアクセスしたサイトを確認します。 一致するものが見つかった場合は、サーバーにプレフィックスを送信し、代わりに完全なハッシュを取得し、一致するものがあるかどうかを再確認して、警告を表示します。 チェーンは長く見えますが、一瞬で動作し、リクエストを生成せず、最も重要なことには、ユーザーを保護します。









セーフブラウジングリストは、Yandex検索およびウイルス対策テクノロジーの助けを借りて補充されますが、その詳細は明らかな理由で開示する価値はありません。 ただし、サードパーティの開発者は、 セーフブラウジングAPIを使用して、製品（ブラウザを含む）の結果を利用することもできます 。



不良サイトのリストを使用した保護（Yandex、Google、またはその他の類似物のセーフブラウジング）は、ブラウザ業界で長い間使用されてきた唯一の方法です。 問題は、現代のフィッシング詐欺師が以前ほど遅くないことです。 偽のサイトを作成し、それらを公開し、ソーシャルネットワーク経由でスパムを送信します。これらはすべて自動化されています。 新しいフィッシングページが完全なベースに到達してから、簡単なローカルページに到達するまで、誰かに危害を加えることができます。 正確な知識がなくても問題に対処する方法を学ぶ必要がありました。

パスワード保護

フィッシングを使用する攻撃者は、銀行、決済システム、ソーシャルネットワーク、さらにはサーバー管理管理者からもパスワードを積極的に盗みます。 ブラウザーが良いサイトまたは悪いサイトが開いているかどうかをブラウザーがまだ知らない場合、それらを保護する方法は？ パスワードを入力するたびに警告し、これが正確なサイトであることを確認するよう求めますか？ 邪魔になるだけでなく、長期的には役に立たない。 ユーザーがこれが本物のSberbank Webサイトであり、偽のWebサイトではないことを100回確認した場合、101回、サイトをチェックしません。これは、平凡な法律に従って必然的に不正になります。



ところで、銀行サイトでの二要素認証は、たとえフィッシングを見つけたとしても、お金の盗難から救うという一般的な誤解があります。 もちろん保存しますが、常にではありません。 私たちの実践では、ユーザー名とパスワードを入力した後、実際の銀行によるSMSの送信を開始できる危険なサイトの例を見つけました。 ユーザーは既に開いているフィッシングページでSMSからコードを入力し、攻撃者はそれを使用して、個人アカウントへのフルアクセスを取得しました。 しかし、気が散りました。



当初、このアイデアは非常にシンプルでした。 ブラウザーに既に保存されているパスワードに注意する必要があります。 ユーザーがブラウザーのパスワードマネージャーのサイトと明らかに一致しないサイトにパスワードを入力した場合、そのサイトを停止して警告する必要があります。 問題は、すべてのユーザーが組み込みのパスワードマネージャーを使用しているわけではないことです。 LastPass、KeePass、または1Passwordのことを聞いたことのない普通のユーザーでさえ、パスワードを保存することを急ぐことはなく、多くの場合、メモリまたはメモ帳（Windowsではなく紙）からパスワードを入力することを好みます。 さらに、フィッシングに対して最も脆弱なのはこのカテゴリのユーザーです。つまり、このような単純なソリューションは適合しませんでした。



すでに保存されているパスワードを使用することは意味がありませんでしたが、アイデア全体を放棄する代わりに、入力されたパスワードのハッシュを独立して記憶するようブラウザに教えました。 なぜハッシュするのですか？ パスワードを比較するのに十分であるため、ハッシュを保存することはさらに安全です。 もちろん、ハッシュを信頼しない人のために機能を無効にするオプションを提供しました。 そのため、たとえば実際のAlfa Bankに少なくとも1回ログインしたユーザーは、フィッシングコピーにパスワードを入力しようとしたときにブラウザーから警告を受けました。 シャンパンを飲んでもいいように思えますが、それほど単純ではありません。









ユーザーの記憶はムーアの法律の対象ではないため、多くの人がすべてのサイトに対して1つのパスワードを作成することを好みます。 これはセキュリティの観点からはひどいですが、それが現実です。 すべてのサイトのすべてのユーザーに対してパスワード保護を有効にした場合、フィッシングに対する優れた保護を考案するだけでなく、視聴者を怖がらせる素晴らしい方法も考案します。 したがって、デフォルトでは、詐欺師の間で最も人気のあるサイトに対してのみ保護が有効になっています。 その他の場合は、手動で有効にすることができます。



この機能は約1年前に導入されましたが、今回もフィッシングから保護するだけでなく、パスワードセキュリティのトピックに注目を集めています。 パスワードはここにあります-盗むのが大好きな機密データはこれだけではありません。

カード保護

お金を盗むために、オンラインバンクからパスワードを盗み、2要素認証をバイパスするロジックを考える必要はありません。 銀行カードの詳細を簡単に盗むことができます。 また、オプションの3-Dセキュアを覚えておく価値はありません。ユーザーとCVVコードは、フィッシングページに入力することを忘れません。 カードデータの盗難後、そこからお金を集める方法を見つけることだけが残っています。 さまざまな方法があります。 たとえば、誰かが旅行者にチケットを全額で盗まれたカードから購入した後、50％の割引で販売します。 さまざまな成功を収めているため、そのような操作は銀行を通じて時間内に挑戦される可能性がありますが、銀行カードの詳細を持ち出して保護しない方がよいでしょう。



パスワードとサイトのペアを明確に制御できるパスワード保護とは異なり、銀行カードはどこでも使用できます。 大規模なサイトを管理できますが、いずれにしてもオンラインストアのロングテールはカバーしません。 そして、「コントロール」とはどういう意味ですか？ カード番号の入力を許可しませんか？ 警告された場合、何ですか？ ブラウザレベルでサイトの悪意について明確な結論を下すことは不可能であることに気付いたので、暗号化の観点から別の角度から状況を見ました。



SSL証明書の存在は、特に銀行データなどの機密ユーザーデータを扱うサイトの前提条件です。 リソースがカード番号を要求するが、保護をサポートせず、HTTP経由で機能する場合、2つの異なる問題がすぐに発生する可能性があります。 まず、誰かがオープントラフィックからあなたのデータを途中で傍受する可能性があります。 たとえば、カフェの保護されていないWi-Fiポイントを介して。 第二に、そのようなリソースの所有者は、少なくとも訪問者の安全を気にかけませんが、おそらくデータを単に盗むだけです。 いずれにしても、そのようなサイトではカード番号を入力しないでください。 それでもWi-Fi保護機能を使用して傍受の問題を何らかの方法で解決する場合、チャネル暗号化は詐欺師から私たちを救いません。 より正確には、インターセプター詐欺師からのデータを保存し、フィッシング詐欺師に完全に配信します。 そして、ここで何かをする必要がありました。



そのため、問題を特定しました。 ユーザーが銀行カード番号を要求するHTTPサイトにアクセスする場合、これが警告する理由です。 ただし、メッセージを表示するには、最初にカード入力を認識する必要があります。 inputタグの特別な銀行取引タイプを思い付く人はいません。ブラウザautocomplete = cc-numberの比較的最近の属性を使用する人はほとんどいません。 もちろん、Chromiumチームは、ブラウザに個別にカード番号を置き換えるように教えるという考えをあきらめず、フィールド名やその他のデータで推測するヒューリスティックを実装しますが、これはどこでも機能しません。 一般に、入力フィールドの分析はオプションではありません。 しかし、その後、数値の入力をキャッチできます。 たとえば、ユーザーが16桁を入力した場合、これは銀行カードであると想定できます。 問題は、これが常に当てはまるわけではないということです。 幸いなことに、月のアルゴリズムがあります。



多くの人は、カード番号の最後の桁が番号全体の正確性を検証するために必要であることを知っていると思います。 また、テスト自体はMoonアルゴリズムを使用して簡単に実行できます。 とても簡単です。 カード番号の数字の各ペアでは、最初の数字に2が掛けられます。掛けた後、数字が9を超える場合は、複合数字を追加する必要があります。 そして、すべてを下に置きます。 合計金額が10の倍数である場合、銀行カード番号があります。 エラーの確率は10％です。









Moonアルゴリズムは、時々誤検知の可能性を減らします。 しかし、エラーをもう少し減らす簡単な方法があります-数字の最初の桁を制御することです。 カードをサポートする支払いシステムがエンコードされているのは、番号の先頭です。 先頭が4の場合、これはVISAです。 51-55の範囲のものはMasterCardです。 34-37はアメリカンエクスプレスです。 他のシステムでも同様です。 もちろん、エラーの確率は常に残りますが、すでに許容レベルです。



ブラウザに、特定の桁数（15から19）の入力を認識し、Moonアルゴリズムに従って確認し、既知の支払いシステムのコードに準拠するように指示しました。 これらはすべてローカルで完全に機能します。ブラウザはカード番号を送信したり保存したりしません。 すべての条件が満たされている場合、ユーザーには次の警告が表示されます。









他の多くの危険な状況でも同様のメッセージが表示されます。 たとえば、サイト自体がHTTPSで保護されているが、番号がHTTPフレームに入力されている場合。 または、サイト証明書が有効でない場合。



普及と相対的なセキュリティのために、警告を表示する価値はありませんが、ユーザーにそれを把握する機会を与える必要がある状況があります。 たとえば、カード番号を入力するフォームが別のドメインのフレームにある場合（サイトとフレームの両方がHTTPS）。 これは非常に一般的です。多くのオンラインストアがありますが、それらのすべてが独自の支払いモジュールを処理できず、一般的な支払いシステムのフレームを埋め込むことを好むためです。 または別の例。 サイトは暗号化を使用しませんが、独自のドメインのHTTPSフレームを介してカードを受け入れます。 このような状況では、ブラウザーは警告を表示しませんが、アドレスバーにマップアイコンを追加します。 これをクリックすると、データを正確に信頼できる人を見つけることができます。









上記のすべての保護は、SSL証明書の保持に基づいています。 ほとんどの場合、ユーザーはアドレスバーのロックに注意を払うことに慣れておらず、フィッシング詐欺師は証明書を使用する動機を持っていないため、これは正当化されます。 しかし、徐々にすべてが変わります。 同じLet's Encryptから無料の証明書をインストールすることはもう問題ではありません。 そのため、遅かれ早かれ、何らかの形で保護する必要がある状況に戻りますが、クライアントに十分なデータがありません。 そして、将来フィッシングサイトに負けないように、準備を始めました。

機械学習

インターネット上のサイトには、評価可能な一連の特性があります。 たとえば、オーディエンスのサイズ、ライフタイム、SSL証明書の存在、その信頼性、さらにはアドレスの一意性（フィッシャーは最も類似したアドレスを使用するのが好きです）。 そして、このサイトまたはそのサイトに対する当社の信頼は、主に彼らによって決定されます。 経験のないユーザーは、未知のサイトを見て、このサイトが信頼できるかどうかを自分で決めることができます。 コンピューターはますます難しくなっています。 「疑わしさ」を判断するタスクは形式化するのが難しく、単純なアルゴリズムには適合しません。 HTTPSの重大なエラーが強力な基準であることは明らかですが、私はもっと多くの自明でないケースについて話しています。 そして、ここでは機械学習なしではできません。



Yandexは機械学習を何年も使用しています。 当社の技術は社内（検索、音楽、市場、 禅 ）で使用されているだけでなく、 Yandex Data Factoryを介して外部のお客様にも利用可能です。 コンピューターが明示的に組み込まれていない動作を実証できるようにするのは、機械学習です。 そして、私たちのタスク-疑わしいサイトで支払いをする際にユーザーに警告する-にぴったりです。



疑わしいサイトを探すように車を訓練するには、故意に悪いサイトの例を見せなければなりません。 これには問題はありません-セーフブラウジングテクノロジーのおかげです。 一方、注意を払う価値のある上記の特性（要因）を示します。 さらに、Matrixnetの機械学習メソッドは、パターンを導き出し、サイトアドレスを入力し、出力で判定を取得できる式を作成することを学習します。 可能な限りシンプルに、次のようになります。









すべての要因の中で、特に強調したいと思います。 他の人よりも頻繁にフィッシングの被害者になる通常のユーザーは、主にサイトの外観に注目し、アドレス、ロック、その他の詳細を常に見るとは限りません。 攻撃者はこれを使用します。 ほとんどのフィッシングサイトの特徴は、人気のあるリソースのデザインをコピーすることです。 そのため、コンピュータービジョンテクノロジーを使用して、ページの外観を人気のあるサイトのサンプルと比較するようにマシンに教えました。 彼女が一致を見つけた場合、これは潜在的な脅威の強力なシグナルです。



機械学習とコンピュータービジョンの結果は、バージョン16.9.1以降のYandex.Browserユーザーが利用できます。 ユーザーがサイトでカード番号を入力すると、ページを含むリクエストがサーバーに送信されます。 リスクがある場合、ユーザーには警告が表示されます。









カード入力に応じてのみ警告を表示し、ロード時にすぐに全画面ロックを使用しないのは奇妙に思えるかもしれません。 その理由は、マシンが、お金を失うリスクがあるサイトを特定することを学習しており、すべての情報へのアクセスをブロックすることが間違っているためです。 さらに、偽陽性判定の確率がゼロになることはありません。



最後まで読んでいれば、フィッシングは完全に異なる技術を使用して対処できる（そしてすべきである）ことをすでに知っています。 残念ながら、すべてがそれらだけに依存しているわけではありません。 ユーザー自身の知識と経験が、攻撃者に対する脆弱性を大きく左右します。 しかし、問題に注意を喚起し、警告レベルで脅威について話し、ブラウザを使用することで異なるパスワードを使用することが重要である理由を説明し、暗号化なしのサイトでカード番号を入力しないと、最終的に人々はより慎重になり始めると信じていますネットワーク作業。