Check Point Software Technologies Ltd. (NASDAQ : CHKP), pioniere e leader globale nelle soluzioni di sicurezza informatica, presenta un motore di intelligenza artificiale in continuo aggiornamento progettato per analizzare le informazioni chiave sui siti web, ottenendo risultati notevoli nel rilevamento dei tentativi di phishing. Integrato con ThreatCloud AI, è in grado di offrire una protezione completa su tutti i gateway Check Point Quantum, Harmony Email, Endpoint e Harmony Mobile.
Risk Model NG è addestrato su un vasto set di dati di siti benigni e di phishing, sfruttando l’elevata esperienza di Check Point e i suoi dati approfonditi sui siti web malevoli.
Il modello utilizza centinaia di caratteristiche, basate su dati DNS, certificati SSL, dati Whois, analisi dei link e molto altro ancora. Queste sono state meticolosamente selezionate da analisti informatici e utilizzate dopo calcoli avanzati, a volte complessi, per fornire una comprensione completa del comportamento e delle caratteristiche del sito.
Risk Model NG è basato su un algoritmo altamente efficiente e robusto, particolarmente adatto a questo tipo di analisi. Ciò consente calcoli rapidissimi, permettendogli di bloccare i siti di phishing in tempo reale con eccezionale precisione. Ciò che distingue l’approccio di Check Point è la ricerca approfondita nel campo della scienza dei dati che ha portato allo sviluppo del modello e la quantità di dati da cui può attingere in qualità di azienda che opera a livello globale. Risk Model NG ha così una visione molto più ricca e ampia rispetto ad altri modelli di phishing. Il modello viene costantemente aggiornato con i dati di traffico più recenti, garantendo che rimanga attuale ed efficace contro le minacce emergenti.
Il processo di addestramento
Uno dei fattori chiave alla base della potenza di questo modello è il processo di addestramento automatizzato. Esso elabora enormi quantità di dati e produce diverse varianti del modello insieme alle distribuzioni delle caratteristiche, consentendo ai ricercatori di analizzare l’impatto delle varie caratteristiche sul modello e di ottimizzarlo per ottenere prestazioni ottimali.
L’aspetto più interessante di questo processo è la sua capacità di addestrare continuamente il modello su dati aggiornati. Questo non solo permette di stare al passo con le tecniche di phishing emergenti, ma consente anche di perfezionare le capacità di rilevamento per allinearle alle tendenze stagionali. Dalle truffe di phishing del Black Friday di novembre alle truffe legate alle vacanze e alle prenotazioni durante l’estate, e molte altre, la pipeline garantisce che il motore rimanga efficiente, adattabile e aggiornato.
L’ultima versione del modello ha raggiunto un tasso di rilevamento davvero eccezionale, identificando con successo i siti di phishing con una precisione notevole. Inoltre, il modello ha effettuato molti rilevamenti unici. I seguenti esempi di spoofing di marchi sono stati recentemente segnalati dal modello, in un momento in cui questi siti non presentavano alcun indicatore su Virus Total.
Immagine 2 – Screenshot di un sito malevolo che impersona Discover
La minaccia
Il phishing rimane una delle minacce informatiche più diffuse e in rapida evoluzione, con milioni di nuovi domini malevoli che compaiono ogni anno e un aumento costante degli attacchi contro marchi noti. Gli aggressori progettano siti di phishing che replicano fedelmente i servizi legittimi, prendendo in prestito loghi, layout e persino flussi di accesso, per indurre le persone a fornire le proprie credenziali.
Molti siti di phishing eludono il rilevamento evitando deliberatamente gli errori più evidenti che li rendono facilmente individuabili. Ad esempio, spesso rimuovono dal codice HTML i riferimenti al marchio che rivelerebbero quale azienda viene impersonata e si preoccupano di utilizzare certificati SSL/TLS validi piuttosto che certificati autofirmati o non corrispondenti. Gli attaccanti riducono al minimo anche l’uso di JavaScript offuscato, che i sistemi di sicurezza segnalano come sospetto, e variano i loro modelli per evitare il rilevamento attraverso pattern ripetuti su più siti.
Analizzando una serie completa di caratteristiche di questi siti, diventa però possibile distinguere tra siti pericolosi e siti benigni.
Un esempio è il sito di phishing che impersona Netflix.
Immagine 3 – Screenshot of https://00kareemahmed[.]github[.]io/best_films/, che si finge Netflix.
Questo sito non può essere segnalato utilizzando metodi tradizionali, come l’identificazione del marchio contraffatto nell’URL, nel titolo della pagina o negli elementi di testo, poiché il nome del marchio non appare esplicitamente sul sito, ad eccezione del logo “N” all’interno dell’immagine di sfondo. Inoltre, la maggior parte delle funzionalità web dei siti deriva dal dominio di hosting, che è legittimo e ben riconosciuto. Analizzando però gli indicatori chiave, come i link non funzionanti, la mancanza di una favicon, ovvero la piccola immagine, spesso un logo, pertinente ai contenuti del sito web correlato, di un dominio di hosting web e di un modulo di registrazione, emerge un chiaro schema che conferma che il sito è effettivamente un tentativo di phishing. Il sito è pericoloso.
Gli attaccanti adattano costantemente i loro metodi, creando attacchi che producono innumerevoli variazioni negli indicatori sopra descritti. Di conseguenza, affidarsi a un insieme fisso di regole su questi indicatori non è sufficiente per rilevare i nuovi attacchi. Per superare questa sfida, Check Point ha addestrato un modello progettato per apprendere i modelli sia del traffico regolare che di quello di phishing. Ciò consente al modello di etichettare un sito come un nuovo tentativo di phishing, anche quando ogni singolo indicatore sembra innocuo e la combinazione specifica di indicatori nel sito non è mai apparsa prima.
