Огляд та рейтинг піфім-фішингу

Ми рідко стикаємося з новими продуктами чи новими технологіями в галузі безпеки, але Pixm Anti-Phishing приносить і те, і інше. Там, де більшість антифішинг-рішень спираються на комбінацію чорного списку та евристичного аналізу, Pixm повністю покладається на техніку. Проте при тестуванні ця методика як пропустила перевірені шахрайські сайти, так і викликала підозру на абсолютно законних сайтах. Це обіцянка, але ця обіцянка ще не здійснена.

Для підприємств Pixm пропонує централізований контроль захисту від фішинг-атак, а також більш дорожчу версію, присвячену захисту від фішингу. Там, де типовий фішинг-сайт намагається обдурити багато людей, віддаючи свої повноваження, атака підводного фішингу орієнтована на ошукання однієї особи чи окремих людей в одній компанії. Споживачам не потрібно нічого платити за безкоштовний інструмент боротьби з фішингами Pixm, про що ми тут розглядаємо.

Приміщення Pixm

Вебмайстри фішингових сайтів уникають фантазійного кодування, необхідного для перенесення зловмисного програмного забезпечення у відвідувачі веб-переглядачів або прокрадання антивірусного захисту. Натомість вони просто створюють репліки чутливих веб-сайтів, транслюють посилання на ці сторінки та чекають, коли дурні ввійдуть у систему. Коли ви входите в підроблену банківську систему чи електронну пошту, ви передали свій рахунок шахраям.

Багато антивірусних продуктів використовують чорний список для виявлення та блокування найбільш кричущих фішинг-сторінок. Проблема полягає в тому, що фішингові URL-адреси надходять та йдуть настільки швидко, що будь-який чорний список завжди застарілий. О, чорний список вловлює деякі шахрайства, але повний захист вимагає чогось більшого, наприклад, евристичного аналізу сторінок у режимі реального часу. Коротко кажучи, евристичний компонент аналізує компоненти сторінки на предмет невідповідностей чи інших доказів того, що це не те, чим вона має бути.

Як користувач, ви можете задіяти власні навички, щоб не обдурити фішинг-аферу. Сторінка схожа на PayPal, але чи відповідає URL в адресному рядку? Кольори правильні чи тонко вимкнені? Ви бачите якісь явні орфографічні помилки? З невеликою практикою ви можете стати експертом з виявлення фішингу.

Pixm приносить автоматизацію до такого виду експертизи, використовуючи те, що компанія називає "комп'ютерним зором". Він ідентифікує нібито джерело сторінки, знаходить оригінал та аналізує будь-які відмінності. Якщо алгоритм виявить розбіжності, Pixm виводить жовтий попереджувальний банер; якщо сторінка явно підроблена, жовтий банер стає червоним, а Pixm відключає посилання та інший вміст сторінки. І навпаки, коли Pixm визначає, що сторінка є законною, вона відображає зелений банер.

Я мушу зазначити, що Pixm в даний час працює на виявлення шахрайських версій "топ-100 найпопулярніших брендів". Президент та співзасновник компанії каже мені: "Ми продовжуємо розширювати охоплення бренду і дуже скоро охопимо 400-500 найпопулярніших брендів". Але це обмеження не спостерігається при інших видах виявлення фішингу.

Руки з Піксм

Pixm складається з програми та набору розширень браузера для Chrome та Firefox. Установка зайняла стільки часу, що я зрозумів, що вона висіла. Коли я, нарешті, повернувся до життя, після 15 хвилин я, здавалося, затримався, я писав технічну підтримку електронної пошти. Після завершення інсталяції розширення, встановлені в Chrome і Firefox, були нескладними.

Для тестування захисту від фішингу я починаю зі збору останніх повідомлених фішинг-адрес із веб-сайтів, які відстежують такі речі. Я віддаю перевагу тим, хто ще не пройшов аналіз. Підготувавши свою колекцію URL-адрес, я створив чотири браузери для тестування. Три з них просто використовують захист, вбудований у Chrome, Firefox та Internet Explorer. Зазвичай я встановлюю тестовий продукт в Internet Explorer, щоб зробити четвертим, але оскільки Pixm не підтримує IE, я використовував Chrome.

Сам тест це простий. Я запускаю кожну URL-адресу в кожному з чотирьох браузерів одночасно. Якщо жоден із браузерів не може завантажити сторінку, я відкидаю цю URL-адресу. Якщо він видимо не намагається вкрасти облікові дані для входу або іншим чином чітко не відповідає профілю для фішинг-атаки, я його відкидаю. Весь тест може зайняти кілька годин, адже багато URL-адрес, нових, як вони є, вже зняті.

Під час тестування у мене було достатньо часу, щоб спостерігати за поведінкою Pixm. Спочатку він відображав анімований значок "мислення" біля кнопки панелі інструментів браузера. Сторінка, яку вона не могла підтвердити як законна, отримала жовтий банер із зазначенням: "Pixm не міг визначити справжність цієї сторінки для входу. Будь ласка, продовжуйте обережно". У деяких випадках це все, що було сказано, але для багатьох інших він продовжував відображати червоне банерне попередження: "Ця сторінка заблокована, оскільки сторінка є підозрюваним у фішингу". Коли червоний банер летить, я не міг натискати жодних посилань або вводити текст на підозрюваній сторінці.

Деякі з повідомлених фішинг-адрес насправді не були шахрайськими; це буває. Я зіткнувся з парою зелених банерів, де сказано (дещо неграматично) "Сторінку перевірено Pixm, її безпечною сторінкою".

Тим часом інші три браузери заблокували тонни сторінок, які просто повернули повідомлення про помилку в захищеному браузері Pixm. Це означає, що три браузери раніше вносили в чорний список сторінку, і що вони ще не відреагували на смерть сторінки. Оскільки Pixm повинен бачити вміст сторінки для здійснення свого аналізу, він ніколи не позначить неіснуючу сторінку.

Я також зіткнувся з дивовижною кількістю сторінок, які Pixm просто пропустив, але які виявили всі три браузери. Загалом Pixm виявив 60 відсотків перевірених шахрайських веб-сайтів. Усі три браузери перемагають показник виявлення Pixm; Chrome і Firefox обіграли його понад 30 відсоткових пунктів.

Таблиця результатів захисту від фішингу

Найкращі стандартні фішинг-захисники поєднують чорний список з аналізом у режимі реального часу, і це сполучення може бути дуже ефективним. У своїх останніх тестах Антивірус Касперського та МакАфі керували тестовим браузером подалі від 100 відсотків перевірених шахрайств. Обидва перевершили захист, вбудований у всі три браузери.

Ще півдесятка антивірусних продуктів набрали 97 відсотків або вище. Зокрема, Bitdefender Antivirus Plus керував 99-відсотковим захистом. Зрозуміло, що існуюча технологія працює.

Пробігаючи всі тестові URL-адреси, я зазначив, що натиснувши кнопку панелі інструментів браузера, виникла кругова діаграма захищених доменів. Кількість захищених доменів постійно збільшувалась, але діаграма не мала зв'язку з реальними доменами, які вона захищала в моїй системі. Майже половина пирога пішла до Capital One, сайту, який взагалі не з’явився в моєму тестуванні. І хоча підробки PayPal складали щонайменше чверть сторінок, заблокованих Pixm, PayPal взагалі не відображався у графіку. Контакт моєї компанії пояснив, що кругова діаграма призначена для вилучення.

Зелені прапори та помилкові позитиви

Дуже ясно, що мої фішингові URL-адреси в реальному світі не всі входили в колекцію Pixm "топ-100 найпопулярніших брендів". Для іншого перегляду здібностей продукту я спробував увійти до колекції дійсних сайтів, деяких відомих, а деяких ні.

Для кожного банківського сайту, який я намагався, Pixm виводив зелений банер безпеки. Що має сенс; Зловмисники мають найбільше користі, захоплюючи свої банківські дані, тому це важливі цілі.

PayPal також є величезною ціллю. Підробки PayPal складають щонайменше чверть виявлених шахрайств Pixm в моєму тесті. Як не дивно, Pixm не відреагував, коли я відвідав справжній, законний PayPal. Жодної мислячої іконки, жодного зеленого банера, нічого! Це не добре.

Все погіршилося, коли я занурився в свій менеджер паролів для деяких менш поширених входів. Pixm позначив багато з них жовтим банером попередження, заявивши, що не може їх автентифікувати. Серед сайтів, на яких розміщено прапор, були майданчик ремесел Etsy, Клуб наукової фантастики, книговидавець Abe Books та головний веб-сайт Geocaching.

Багато інструментів захисту від фішингу повідомляють як про відомі шахрайства, так і про підозри у шахрайстві на основі їх аналізу. У тестових цілях я вдячний обом, хоча я їх розрізняю у своїх внутрішніх записках. Сайти, які вважаються підозрілими (лише жовтий банер), складають майже половину успішних виявлень Pixm, тому той факт, що він викликав таку саму підозру на дійсних сайтах, викликає занепокоєння.

Оголошення дійсних веб-сайтів підозрюваним було не найгірше. Я згадав Abe Books, постачальник рідкісних і незвичайних книг. Після позначення його жовтим банером Pixm продовжив оголошувати справжній, дійсний веб-сайт, шахрайством! Я не знайшов жодного іншого помилкового позитиву настільки кричущим, як це, але навіть один - це більше, ніж я бачив з іншими продуктами.

Піксм відповідає

Помилкові позитивні результати були досить проблематичними, що я відчув, що мені потрібно було зареєструватися зі своїм контактом Pixm. Він мене здивував, запитуючи, чи я говорю про Abe Books. Виявляється, моє тестування спричинило незвичний сплеск активності сервера, достатньо, щоб люди Pixm могли ідентифікувати мою IP-адресу та точно побачити, які сайти я тестував. Оскільки бізнес-версією продукту керується централізовано, такий спосіб відстеження має сенс, але це було несподіванкою.

Мій контакт пояснив, що виявлення Pixm покладається на штучний інтелект та машинне навчання. "Враховуючи, що це технологія комп'ютерного зору глибокого вивчення", - сказав він, - у нас є випадкові помилкові позитиви. Жоден штучний інтелект не становить 100 відсотків ". Він згадав про надходження оновлення всього за кілька днів, що призведе до зменшення помилкових позитивних результатів, тому я відклав тестування в сторону, чекаючи цього оновлення.

Meanwhle, я встановив вибір редактора NordVPN, тому мої нові тести не використовуватимуть ту саму відому IP-адресу. Мені просто не подобається ідея жодної компанії, яка безпосередньо переглядала мою взаємодію з їх продуктом під час огляду.

Я знову перевірив Etsy, SFBC та Geocaching; на цей раз Pixm не відображав жовтого попередження. Однак Abe Books все ще позначається як фішинг-сайт. Далі я почав у списку, який я створив із деяких сайтів зі списку мого менеджера паролів, сайтів, які добре відомі, але, можливо, не часто фішируються. Для перших шести пунктів у списку (23andMe, автоклуб AAA, Amtrak, Best Buy, Booking.com та Delta Airlines) Pixm видав жовте попередження. Він продовжував визначати веб-сайт Delta Airlines як шахрайський.

Я не відчував необхідності продовжувати тестувати свій список сайтів. Мій висновок: це оновлення зовсім не допомогло помилковим позитивам.

Не готовий до прайм-тайму

Концепція Pixm Anti-Phishing приваблює. Він переглядає сторінку, яка може бути шахрайською, переглядає відповідну перевірену сторінку та порівнює їх для виявлення підробок. Ми дуже хотіли, щоб це було успішним, хоча воно захищає лише від шахрайства, яке стосується конкретних сайтів (правда, дуже популярних). Якщо він просто пропустив шахрайство проти менш популярних сайтів, ви можете використовувати його для доповнення захисту вашого браузера.

Однак той факт, що він позначив багато дійсних сайтів як підозрюваних і позначив більше одного як шахрайство, означає, що ми не можемо рекомендувати спарювання. Можливо, в майбутньому компанія розгляне можливість доповнення підходу до комп'ютерного зору іншими перевіреними методами.

У нас немає вибору редакторів для боротьби з риболовлю, оскільки навряд чи є інструменти, присвячені цій єдиній цілі. Однак усі наші чотири антивірусні продукти редактора вибору виявилися надзвичайно ефективними в нашому тестуванні на захист від фішингу. Webroot SecureAnywhere AntiVirus викрив 97 відсотків шахрайств, Bitdefender Antivirus Plus охопив 99 відсотків, а антивірус Kaspersky та McAfee AntiVirus Plus забезпечили 100-відсоткове виявлення. Якщо у вас встановлено одне з цих, вам Pixm не потрібен - не в його поточному стані.