Heuristic phishing detection based on web crawling and user behaviour monitoring with a deterministic approach for cybersecurity

Abstract

Com o aprimoramento das técnicas utilizadas pelos atacantes, a detecção e prevenção de ameaças como phishing e malware podem representar um problema e desafio computacional. Uma pesquisa recente descobriu que o phishing e a infecção por código malicioso são as principais ameaças desencadeadas pela engenharia social. Neste trabalho, são analisados os vetores de ataque que causam essas ameaças, propondo um método de verificação de strings específicas em URLs e mensagens de e-mail, que pode ser usado em conjunto com proxies e filtros anti-spam. O método foi implementado em um cenário experimental e é capaz de detectar a presença dos principais elementos que têm contato direto com o usuário, tais como: campos de formulário, redirecionamento de links e arquivos para download. O método proposto foi capaz de detectar URLs de phishing em tempo real, com precisão de 97,66% e tempo médio de 30 segundos. Além disso, um novo método de mapeamento do comportamento do usuário é proposto neste trabalho. Por meio deste, é possível demonstrar que os vetores de ataque utilizados em cada etapa da exploração apresentam sempre o mesmo comportamento, seguindo uma sequência de etapas já conhecida. A estrutura de mapeamento pode ser representada por meio de uma máquina de estados finitos (DFA), onde cada estágio de interação do usuário com um possível vetor de ataque representa um ponto determinístico da máquina finita. Os resultados obtidos através desta implementação podem ser utilizados na detecção de manobras maliciosas em tempo real e na conscientização de usuários em segurança da informação.

Abstract: With the improvement of the techniques used by attackers, the detection and prevention of threats such as phishing and malware can represent a problem and computational challenge. A recent survey found that phishing and infection by malicious code are the top threats triggered by social engineering. In this work, the attack vectors that cause these threats are analyzed, proposing a method of verifying specific strings in URLs and e-mail messages, which can be used in conjunction with proxies and anti-spam filters. The method was implemented in an experimental scenario and is capable of detecting the presence of the main elements that have direct contact with the user, such as form fields, redirection of links and files to download. The proposed method was able to detect phishing URLs in real-time, with an accuracy of 97.66% and an average time of 30 seconds. Furthermore, a new user behavior mapping method is proposed in this work. Through this, it is possible to demonstrate that the attack vectors used in each stage of the exploitation always present the same behavior, following a sequence of steps already known. The mapping structure can be represented by a finite state machine (DFA), where each user interaction stage with a possible attack vector represents a deterministic point of the finite machine. The results obtained through this implementation can be used in the detection of malicious maneuvers in real-time and in the awareness of users in information security.