Piracema.io : um sistema especialista baseado em heurística direcionada por características estáticas e dinâmicas para a detecção gradual de phishing direcionados

Abstract

Não é incomum encontrar estudos que investigaram abordagens que analisam características estáticas (i) e dinâmicas (ii) de uma página Web para detectar ataques de phishing através de predição. Em (i), as características não consideram aspectos como tempo ou de terceiros envolvidos, o que propõem benefícios em termos de desempenho, contudo, tem baixa precisão devido ao escopo ser limitado porque não considera a página em execução. Diante disso, estudos são impulsionados a adotarem uma abordagem (ii) que considera aspectos temporais e contexto da atuação do phishing, oferecendo maior eficiência nas soluções anti-phishing. Todavia, a análise em (ii) tem limitações devido a mudança contínua de conteúdo. Não obstante, alguns phishing, a exemplo dos direcionados a uma marca específica, possuem um alto grau de fidedignidade com a página genuína, portanto, ao mesmo tempo que aumentam a exploração da suscetibilidade do usuário final, a riqueza em detalhes dificulta a predição de algo malicioso. Há também o desafio em identificar quais características são mais e menos relevantes devido as novas tendências, considerando o cenário dinâmico de atuação do phishing. Diante disso, o estudo faz uma investigação sobre a relevância, relação e similaridade entre (i) e (ii) através de uma regressão logística sobre amostras de phishing reais. O intuito é contribuir com os rumos para novas abordagens baseadas em predição, considerando aspectos como fidedignidade, ofuscação, propagação, sazonalidade e volatilidade, que podem dificultar a identificação dos padrões em páginas maliciosas. A proposta apresenta-se como uma solução complementar, ou seja, atuar em conjunto com soluções já existentes que são baseadas em lista de bloqueio. Adicionalmente, também é pretendido disponibilizar um mecanismo de lista de permissão baseado em um protocolo de autenticação e autorização para fortalecer a proposta contra falsos positivos. O presente estudo propõe um sistema especialista como mecanismo anti-phishing baseado em regras. Sua detecção é tida como gradual porque sua máquina de inferência processa as regras em profundidade gradativa, visando reduzir o custo computacional e ser menos invasivo no contexto da privacidade durante o processamento da predição. A proposta demonstra maior eficiência em phishing com maior riqueza em detalhes, e com isso, se caracterizando como uma alternativa de proteção de marcas. Como prova de conceito (PoC), o estudo faz uma avaliação de possíveis falsos positivos e negativos da proposta quando a mesma é submetida à amostras reais de phishing e de páginas genuínas. Também é pretendido avaliar o caráter complementar da proposta com as soluções nativas em navegadores Web e também avaliar os impactos positivos atingidos pela análise gradual da proposta. Como resultado, além dos dados quantitativos, essa pesquisa também realizou uma análise qualitativa da proteção, identificando contribuições e limitações.