DeltaPhish

Detecting Phishing Webpages in Compromised Websites
Questo approccio si basa sul nostro articolo presentatio ad ESORICS2017: DeltaPhish: Detecting Phishing Webpages in Compromised Websites, a cura di
Igino Corona (1,2), Battista Biggio (1,2), Matteo Contini (2), Luca Piras (1,2), Roberto Corda (2), Mauro Mereu (2), Guido Mureddu (2), 
Davide Ariu (1,2), e Fabio Roli (1,2)
 
1 Pluribus One, Cagliari
2 Dipartimento di Ingegneria Elettrica ed Elettronica, Università di Cagliari, Cagliari
I report di classificazione di Deltaphish sui dati utilizzati nel nostro articolo presentato ad ESORICS2017, sono disponibili in questa pagina.
L'ampia diffusione dei moderni attacchi di phishing si basa sullo sfruttamento automatico delle vulnerabilità dei siti Web. Per comprendere l'importanza di questo fenomeno, si noti che, secondo il più recente Global Phishing Survey di APWG, pubblicato nel 2014, 59.485 su 87.901 domini collegati ad ami di phishing (ovvero il 71,4%) puntavano in realtà a siti legittimi (sebbene compromessi).
Per contrastare questa minaccia, abbiamo sviluppato DeltaPhish, uno strumento in grado di rilevare pagine Web di phishing ospitate in siti Web compromessi, attraverso l'analisi delle differenze tra le pagine Web visitate e una pagina di riferimento predeterminata (per esempio la home page del sito Web che si sta analizzando).
Fig. 1. Homepage (sinistra), pagina legittima (centro) e pagina con amo per phishing (destra), all'interno di un sito compromesso.
DeltaPhish analizza sia il codice HTML che l'aspetto estetico di ogni pagina, utilizzando tecniche di visione artificiale all'avanguardia.
Fig. 2. Architettura generale di DeltaPhish.
Fig. 3. Analisi delle caratteristiche estetiche. Gli istogrammi di colore e le funzionalità di HOG vengono estratti da ciascun riquadro delle immagini e concatenati per formare un vettore completo di feature.
Inoltre, sfruttando gli ultimi risultati della ricerca nel campo dell'Adversarial Machine Learning, abbiamo progettato DeltaPhish per essere robusto di fronte a tentativi di attacchi e manipolazioni del codice HTML delle pagine di phishing, realizzate con l'intento specifico di eludere il nostro algoritmo di rilevamento.
Fig. 4. Adversarial fusion schemes di classificatori HTML e di immagini per migliorare la robustezza contro gli attacchi mirati al componente HTML.
DeltaPhish può essere utilizzato come componente aggiuntivo all'interno di web application firewall per proteggere un sito Web da attacchi di phishing automatizzati e, quindi, anche per rivelare segni di compromissione del sito web.
Nell'ambito di questa impostazione dell'applicazione, abbiamo dimostrato che DeltaPhish è in grado di rilevare oltre il 99% delle pagine Web di phishing (il tasso di falso allarme su pagine legittime è inferiore all'1%) e che il tasso di rilevazione rimane superiore al 70% anche di fronte ad attacchi estremamente sofisticati progettati in maniera mirata per evadere il nostro sistema.

Info

Pluribus One S.r.l.

Via Bellini 9, 09128, Cagliari (CA)

info[at]pluribus-one.it

PEC: pluribus-one[at]pec.pluribus-one.it

 

Ragione Sociale

Capitale Sociale: € 10008

Capitale Sociale versato: € 4.602

P.IVA: 03621820921

R.E.A.: Cagliari 285352

 

Università di Cagliari

  Pluribus One è una spin-off

  del Dipartimento di

  Ingegneria Elettrica ed Elettronica

  Università di Cagliari, Italia

 

© 2019 Pluribus One s.r.l. All Rights Reserved.