0
0
O phishing, uma técnica de ataque cibernético de longa data através da qual os atacantes se passam por outros para obter acesso a informações confidenciais, tornou-se imensamente popular a partir dos últimos tempos, atingindo um recorde em dezembro de 2021, com ataques triplicando desde o ano anterior.
Os ataques continuam a se tornar cada vez mais sofisticados, com hackers usando códigos complexos e processos complicados para invadir com sucesso as organizações e ficar sob o radar.
As empresas de cibersegurança tiveram que pensar fora da caixa e se libertar das técnicas tradicionais de cibersegurança para cobrir o crescente cenário de ameaças e combater o aumento da complexidade de ataques. Uma dessas abordagens inovadoras é inspirada na natureza – mais especificamente, biomimicri.
Os ABCs dos ataques de phishing
Em uma campanha típica de phishing, o invasor usará uma assinatura conhecida com um domínio de e-mail familiar e muitas vezes usará o nome de um dos colegas de trabalho de seu alvo. O invasor pode ir tão longe quanto assinar um e-mail eletronicamente com qualquer nome e domínio que quiser, mas não pode usar o domínio de e-mail real da entidade falsificada ou seu alvo.
Para contornar sistemas de cibersegurança que muitas vezes podem reconhecer nomes de VIPs e marcas conhecidas e, consequentemente, detectar uma tentativa de golpe, o invasor usará um nome de domínio que é visualmente muito parecido com o alvo. Por exemplo, o domínio microsoft.com (com um “m”) pode ser falsificado com rnicrosoft.com (com um “r” e um “n”): uma mudança sutil que pode ser facilmente perdida pelo olho humano. Os atacantes também podem alterar a ordem de um nome de domínio – por exemplo, suporte-microsoft vs microsoft-support.
Quando o invasor envia um e-mail para seu alvo, o alvo pode facilmente confundi-lo com o domínio real do e-mail, responder ao e-mail e ser vítima do golpe de phishing.
Como isso pode ser evitado em um indivíduo e em nível organizacional?
Uma nova abordagem para detectar ataques de phishing
Uma abordagem padrão para abordar domínios falsificados é compará-los com um banco de dados de domínios conhecidos e procurar diferenças.
Quando um e-mail chega, a solução de segurança cibernética conta o número de alterações entre a assinatura do invasor e cada instância no banco de dados de domínio conhecido. Se houver algumas alterações, o domínio é considerado suspeito. Medir o número de mudanças entre duas sequências desta maneira tradicional é feito através da distância levenshtein.
Embora essa técnica funcione em alguns casos – como quando detecta um domínio falsificado como o m1crosoft – ela se esforça para identificar ofuscações mais significativas, como mlCR0S0FT (com um “L” no lugar de um “I” e zeros no lugar da letra “O”). A métrica de distância Levenshtein também acha desafiador distinguir entre o suporte à Microsoft e um domínio microsoft.
Como o método tradicional às vezes é insuficiente na detecção de golpes de phishing, os pesquisadores se voltaram para a natureza e para um método chamado biomimicri.
Na bioinformática, o alinhamento da sequência de DNA é usado quando os pesquisadores querem comparar o DNA de diferentes origens. Eles tentam alinhar as sequências de DNA e medir sua semelhança. Na verdade, poderosos algoritmos bioinformáticos foram desenvolvidos especificamente para este fim: o mais proeminente é o BLAST, que foi precedido por uma variação um pouco mais antiga e menos conhecida chamada “SLAGAN”.
O SLAGAN – que se assemelha aos princípios da BLAST, mas é mais exaustivo em sua abordagem – é o método mais relevante para prevenir golpes de phishing.
Os fundamentos do SLAGAN
Entender a diferença entre o alinhamento global e local da SLAGAN lançará luz sobre como essa técnica de alinhamento de bioinformática pode ser aproveitada em técnicas de prevenção de phishing de cibersegurança.
Se houver duas sequências, diga:
“blablabla” e “bla”
Um algoritmo de alinhamento local afirmará que uma das “bla”s no “blablabla” é a “bla” que estamos tentando alinhar, e que o resto da sequência são mutações de lixo ou inserção\exclusão chamadas ‘indels’:
bla —
blablabla
Considerando que o algoritmo de alinhamento global afirmará que o interior da “blablabla” é lixo e que se assemelha a “bla” já que as sequências começam e terminam da mesma forma:
bl——-a
blablabla
Este problema pode parecer ambíguo para o cérebro humano, mas às vezes pode ser mais conclusivo.
Considere: cocacola e cola
É bastante óbvio “cola” é uma única palavra:
——-cola
cocacola
… e não o início e o fim da longa sequência:
co –la
cocacola
No entanto, considere o seguinte alinhamento:
Microsoft-service-center e microsoft-center
Microsoft- – – – – – – – nter
O alinhamento local é menos adequado neste caso porque você esperaria que o “ce” fosse parte da palavra “centro”, quando na verdade, é uma parte da palavra “serviço”.
Em vez disso, o alinhamento global funciona melhor:
Microsoft-service-center e microsoft-center
– – – – – – centro
A aplicação de bioinformática não termina aí. O SLAGAN usa uma matriz de pontuação, chamada BLOSUM, ao comparar sequências de DNA para julgar a qualidade do alinhamento. Esta ferramenta leva em consideração que algumas sub-seqüências de DNA são menos propensas a serem substituídas por subsequências específicas do que outras. Esse mesmo conceito pode ser aproveitado para desafios de sósias de domínio no mundo cibernético, onde a semelhança visual é onipresente. Neste caso, letras visualmente semelhantes são mais propensas a serem substituídas durante um ataque parecido com um domínio. Por exemplo, “rn” e “m” são mais propensos a serem substituídos do que “i” e “z”.
Além disso, alguns algoritmos de alinhamento de sequências consideram o que é conhecido na biologia como translocações: um fenômeno no qual uma parte da sequência é transferida para um local diferente na mesma ou diferente sequência. No dilema do ataque de phishing, este exemplo é muito semelhante a pegar o suporte à Microsoft e alterá-lo para suporte-microsoft.
O algoritmo S-GLocal para detecção de sósias de domínio
Essa aplicação do biomimicry levou à criação de um novo método de alinhamento de sequências chamado S-GLocal – também conhecido como o algoritmo Shuffle, Global, Local. Este algoritmo incorpora os algoritmos biológicos heurísticos, como SLAGAN, alinhamento local, alinhamento global e translocações, e os modifica de uma maneira que aborda especificamente os desafios de cibersegurança semelhantes ao domínio usados em ataques de phishing.
Os ataques de phishing estão se tornando cada vez mais complexos e sofisticados ao longo do tempo. Eles são um problema tão grande hoje como eram há 20 anos, e métodos padrão de cibersegurança não estão funcionando. É hora de especialistas cibernéticos pensarem além dos métodos tradicionais e utilizarem inovações que podem até ser inspiradas pela natureza, porque nas palavras de Albert Einstein, se você “olhar profundamente para a natureza, você entenderá tudo melhor”.
FONTE: HELPNET SECURITY