CC BY
29ТЕХНИЧЕСКИЕ НАУКИ
МЕТОД ОПРЕДЕЛЕНИЯ ВРЕДОНОСНЫХ ССЫЛОК НА
ОСНОВЕ МАРКЕРОВ И ШАБЛОНОВ 1 2 Евдошенко О.И. , Абрамович В.В.
1Евдошенко Олег Игоревич - кандидат технических наук, доцент;
2Абрамович Василий Владимирович - магистрант, направление: информационные системы и технологии, кафедра информационных технологий, Астраханский государственный университет, г. Астрахань
Аннотация: в настоящее время виден рост опасности при работе с информацией в интернете. Методы, которые хакеры применяют сегодня, основаны на уязвимости конечных технологий и человеческом факторе. Эти методы включают социальную инженерию, фишинг, фарминг и т.д. Одним из шагов проводимой атаки является обман пользователей ради перехода по определенным Uniform Resource Locators (URLs). В результате, обнаружение вредоносных URL-адресов в настоящее время представляет собой актуальную тему для исследования. В данной статье будут рассмотрены основные способы обнаружения вредоносных URL. Ключевые слова: определение вредоносных URL, фишинг, спам, вирус.
URL используется для ссылки на ресурс в интернете. Существует два основных компонента URL [1]: идентификатор протокола, который указывает, какой протокол использовать, и имя ресурса, указывающее IP-адрес или доменное имя, по которому расположен ресурс.
URL-адрес имеет определенную структуру и формат. Злоумышленники часто пытаются изменить компоненты структуры URL, чтобы обмануть пользователей и распространить их вредоносный URL.
Вредоносными URL называются те, которые могут навредить пользователю. URL перенаправляют пользователей на ресурсы или страницы, на которых злоумышленники могут выполнять нужные им действия на компьютерах пользователей, перенаправлять пользователей на нежелательные сайты, вредоносные веб-сайты, другие фишинговые сайты или сайты с загрузкой вредоносных файлов. Вредоносные URL могут быть скрыты за обычными ссылками, путем перенаправления с последних.
По статистике [2] в 2019 году атаки с использованием распространения вредоносных URL-адресов ранжируются первыми среди 10 наиболее распространенных методов атаки. Три основных метода представляют собой вредоносные URL, ботнет URL, и фишинг URL.
Из-за увеличения числа вредоносных URL в течение нескольких лет подряд, существует необходимость изучения и применения методов дял обнаружения и предотвращения распространения.
В настоящее время вредоносные URL можно выявить с помощью паттернов и набора правил обработки символов URL с последующим выводом результата [1][3].
Несмотря на быстрый рост популярности мессенджеров и социальных сетей [4] ведение деловой переписки посредством email все еще не теряет своей актуальности [5]. По статистике [6] около 28,5% всего почтового трафика составляет спам. Далее будут приведены маркеры, по которым можно определить, является ли входящее письмо спамом и содержит ли оно вредоносный URL-адрес.
- Неправильный адрес отправителя. Необходимо проверить, соответствует ли этот адрес имени отправителя и правильный ли домен компании. Чтобы увидеть это,
нужно убедиться, что почтовый клиент показывает адрес электронной почты отправителя, а не только его имя. Например, адрес отправителя и домен электронной почты не совпадают с фактическим доменом банка, которым является santander.co.uk.
- Отправитель некорректно обращается к получателю. Имя получателя и имя, которое использует при обращении адресат, отличаются. Или же имеются расхождения с именем отправителя в его подписи и именем, от которого он обращается.
- Используемые в тексте письма ссылки имеют странный, не типичный для подобных писем формат. Например, в письме говорится про некий домен site.com, сама ссылка также имеет вид site.com, но при наведении курсора показывается совершенно другой адрес aek3-qwerty.ws.
- Текст письма имеет стилистические и синтаксические ошибки. Может быть выбран язык, который не является используемым для получателя. Текст письма может походить на машинный перевод [7].
- Контент письма носит необычный, экзотический характер. Например, неожиданно оставленное наследство дальнего родственника. Такие письма называются "419 spam" [8].
Для анализа домена и символьной части URL можно использовать следующий набор правил и шаблонов:
- Глубина URL-адреса, количество поддоменов.
- Наличие https у конечного сайта.
- IP-адрес сервера принадлежит другой стране, в отличие от расположения компании.
- Используется ли название компании лишь в качестве поддомена, а не домена второго уровня [9].
- Длина URL-адреса целиком или домена. Обычно стараются использовать укороченные версии.
Таким образом, если необходимо быстро создать спам-фильтр для узкого круга задач, где поток входящий писем не сильно большой и лежит в пределах 30-40 сообщений в день, то лучше всего подойдет первый способ.
На основании проведенного исследования можно сформировать некоторые правила поведения:
- Отключать выполнение скриптов на непроверенных сайтах.
- Убедиться, что видимый URL-адрес и есть фактический.
- Если есть возможность, следует использовать готовые спам-фильтры или иное подобное ПО.
- Следует обращать внимание на заголовки писем и не открывать вложений, которые не ожидались.
- Если поступившая информация действительно важна, но сам отправитель не вызывает доверия, следует постараться найти иной способ связи для продолжения общения.
Список литературы
1. Sahoo D., Liu C., Hoi S.C.H. "Malicious URL Détection using Machine Learning: A
Survey". CoRR, abs/1701.07179, 2017.
2. Khonji M., Iraqi Y. and Jones A. "Phishing detection: a literature survey", IEEE
Communications Surveys & Tutorials. С. 15.
3. [Электронный ресурс]. MALICIOUS URLS // Symantec. Режим доступа:
https://docs.broadcom.com/doc/istr-24-2019-en/ (дата обращения: 22.07.2020).
4. [Электронный ресурс]. Most popular global mobile messenger apps as of October 2019, based on number of monthly active users // Statista. Режим доступа: https://www.statista.com/statistics/258749/most-popular-global-mobile-messenger-apps/ (дата обращения: 22.07.2020).
5. [Электронный ресурс]. Email Usage Statistics in 2019 // Campaign Monitor. Режим доступа: https://www.campaignmonitor.com/blog/email-marketing/2019/07/email-usage-statistics-in-2019/ (дата обращения: 22.07.2020).
6. [Электронный ресурс]. Global spam volume as percentage of total e-mail traffic from 2007 to 2019 // Statista. Режим доступа: https://www.statista.com/statistics/420400/spam-email-traffic-share-annual/ (дата обращения: 22.07.2020).
7. [Электронный ресурс]. Linguis. Режим доступа: http://linguis.net/machine-translation/ (дата обращения: 22.07.2020).
8. [Электронный ресурс]. Cyberlaninka. Режим доступа: https://cyberleninka.ru/article/n/etapy-i-vidy-manipulyatsii-kak-kommunikativnoy-strategii-v-neiskrennem-diskurse-na-materiale-zhanra-nigeriyskie-pisma/viewer/ (дата обращения: 22.07.2020).
9. [Электронный ресурс]. Домены второго уровня // REG.RU. Режим доступа: https://www.reg.ru/domain/new/domeny-vtorogo-urovnya/ (дата обращения: 22.07.2020).
