Negli ultimi decenni, gli attacchi informatici sono diventati sempre più vari, introducendo diverse strategie per attirare gli utenti su siti web dannosi o spingerli a condividere dati sensibili, di conseguenza, gli informatici cercano continuamente di sviluppare strumenti più avanzati per rilevare e neutralizzare questi attacchi.
Il Typosquatting, uno degli attacchi più comuni effettuati online, sfrutta la tendenza umana a sbagliare le parole quando si digita velocemente l’indirizzo di un sito o a leggere male le frasi quando presentano piccoli errori topografici.
Il Typosquatting essenzialmente è riferito alla creazione di siti web dannosi con indirizzi Url che assomigliano a siti già esistenti, ma con lievi errori di battitura (ad esempio, “fqcebook” invece di “facebook” o “yuube” invece di “youtube”). L’utente quando visita erroneamente questi siti web, potrebbe scaricare involontariamente malware o finire per condividere informazioni personali con gli aggressori.
Il pericolo del typosquatting è che i proprietari di domini con errori di ortografia sono spesso hacker, quella persona potrebbe utilizzare tecniche di phishing per rubare dati personali a un utente web. Uno dei primi esempi di typosquatting è stato nel 2006 con il sito Goggle.com.
La maggior parte delle tecniche esistenti per rilevare questi attacchi di phishing si basa su strumenti di controllo ortografico. I ricercatori di Ensign InfoSecurity, un fornitore di servizi di cybersecurity end-to-end (E2EE crittografia end-to-end è un sistema di comunicazione cifrata nel quale solo le persone che stanno comunicando possono leggere i messaggi), con sede a Singapore, recentemente hanno creato TypoSwype, strumento alternativo per rilevare gli attacchi typosquatting basato sull’analisi delle immagini.
Lo strumento utilizza tecniche avanzate di riconoscimento delle immagini per convertire le stringhe in immagini che considerano anche la posizione delle lettere sulla tastiera. È stato presentato dai ricercatori Joon Sern Lee e Yam Gui Peng David in un documento pubblicato su arXiv una piattaforma di condivisione della ricerca aperta a chiunque, ospita più di due milioni di articoli accademici in otto aree tematiche, curate dalla comunità di moderatori volontari.
Yam Gui Peng David, ha condotto lo studio, ha dichiarato:
«Il Typosquatting sfrutta errori tipografici o refusi, ad esempio “googgle.com” invece di “google.com” per indurre gli utenti ad accedere a siti web indesiderati. Le tecniche attuali per affrontare questi attacchi di phishing utilizzano la distanza di modifica delle stringhe che non dipende dalla posizione dei caratteri della tastiera, la ‘g’ si trova in un’area della tastiera diversa dalla ‘z’, quindi sono meno accurate nel catturare gli errori di battitura, come a esempio, ‘googgle.com’ e ‘googzle.com’ sono ugualmente lontani da ‘google.com’; per migliorare il rilevamento dei refusi utilizziamo tecniche di riconoscimento delle immagini come le reti neurali convoluzionali (CNN) e funzioni di perdita specifiche».
TypoSwype a differenza di altri metodi di rilevamento del typosquatting introdotti in passato, è in grado di rilevare la distanza tra i diversi caratteri della tastiera, tracciando linee tra i tasti di caratteri consecutivi su una tastiera immaginaria. Ciò aiuta a ridurre gli errori che le metriche esistenti per la distanza di modifica delle stringhe sono inclini a fare, ad esempio, metodi che calcolano quanto sono dissimili tra loro due parole o sequenze di caratteri.
Joon Sern Lee ha spiegato:
«Abbiamo utilizzato le tecniche di riconoscimento delle immagini perché sono in grado di elaborare in batch più domini con possibili typosquatt in una sola volta, consentendo un’elaborazione più rapida rispetto alle soluzioni di corrispondenza delle stringhe. Inoltre, l’utilizzo di input TypoSwype ci permette di individuare visivamente input che probabilmente sono errori di battitura l’uno dell’altro, come ‘fqcebook’ e ‘facebook’».
Joon Sern Lee e il suo collega Yam Gui Peng David hanno valutato il loro strumento di rilevamento del typosquatting in una serie di test, confrontandone le prestazioni con quelle dell’algoritmo Damaru-Levenschtein Distance (DLD), un modello di sicurezza informatica ampiamente utilizzato. Hanno scoperto che TypoSwype è in grado di rilevare il typosquatting in modo più affidabile rispetto al DLD, identificando accuratamente anche i domini consolidati e sicuri che gli aggressori stavano cercando di copiare.
Yam Gui Peng David ha affermato:
«TypoSwype per quanto ne sappiamo è la prima applicazione delle reti neurali convoluzionali (CNN) per affrontare il typosquatting utilizzando gli input di TypoSwype, il suo utilizzo cattura intrinsecamente la metrica della distanza dalla tastiera che gli errori tipografici di solito hanno. Inoltre, come meccanismi superiori per addestrare il nostro modello, utilizziamo la perdita della scansione della parola in triplette e una funzione di perdita di contrasto chiamata NT – Xent, perché fornisce un confine minimo tra le immagini TypoSwype non simili, questo ci permette di migliorare la metrica (punteggio F1) nell’individuazione di domini di typosquatting che sono già abbastanza simili (a 1 distanza di modifica) con algoritmi di corrispondenza della distanza di modifica delle stringhe».
Il recente lavoro di questo team di ricercatori potrebbe presto ispirare lo sviluppo di altre tecniche di cybersicurezza basate su modelli di riconoscimento delle immagini. TypoSwype nel frattempo sarà incluso nella suite di strumenti di rilevamento del phishing di Ensign InfoSecurity, rendendolo disponibile agli utenti di tutto il mondo.
