Dansk algoritme skal automatisk afsløre phishing-domæner

Ved at udvikle algoritmer, som kan spotte og advare mod malicious domænenavne, er to forskere fra Aalborg Universitet i gang med at bekæmpe phishing- og botangreb.

Det sker for os alle fra tid til anden. Man får en mail – typisk fra en bekendt eller en større virksomhed (eksempelvis Dropbox eller PayPal) - hvori der på mere eller mindre velformuleret dansk eller engelsk er en opfordring til at klikke på et link.

De fleste af os er også hurtige til at spotte det mystiske i, at 72-årige og svært nærsynede tante Gerda pludselig skriver ”hey, check this out!”. Men som tiden skrider frem, bliver de kriminelle bagmænd bedre og bedre til at få meddelelserne til at se troværdige ud.

Derfor er to forskere på Aalborg Universitet i gang med at skabe algoritmer, som automatisk kan identificere de ondsindede IP-adresser og domænenavne, som sender disse beskeder.

Automatisk genkendelse af ondsindede afsendere

»Det, som vi har udviklet, er metoder til automatisk at identificere malicious domænenavne. På nuværende tidspunkt drejer det sig om algoritmer, som blandt andet kan bruges til at identificere random-genererede domænenavne, og derved advare brugeren mod at trykke på linket,« siger lektor på Institut for Elektroniske Systemer, Jens Myrup Pedersen.

Han har de sidste tre år arbejdet sammen med postdoc Matija Stevanovic for at finde metoder til at identificere afsenderne af de ondsindede beskeder.

»Det er en kombination mellem flere metoder. Blandt andet ved at blackliste malicious IP-adresser kan vi være i stand til at advare brugere inden de klikker sig ind på en ondsindet hjemmeside,« siger Jens Myrup Pedersen.

Derudover kigger de blandt andet også på afsenderens IP-adresses geolokation, sammenligning af domænenavne i forhold til kendte, ondsindede IP-adresser og levetiden af DNS-lookups.

Phishing brugt mod menneskerettighedsaktivister

Som Version2 skrev om i sidste uge, blev flere egyptiske menneskerettighedsaktivister udsat for et forsøg på phishing, hvor bagmænd prøvede at skaffe sig adgang til deres Dropbox konti.

De blev mødt med denne side, da de skulle logge ind på deres konto. Udseendemæssigt ser den meget tilforladelig ud, men hvis man kigger på adressen – og er bekendt med Dropbox’s sædvanlige url - kan man godt se, at der er noget galt.

Læs også: Phishingmetoder brugt mod egyptiske menneskerettighedsorganisationer

»Lidt simplificeret kan man sige, at domænenavne der på forskellige måder 'ligner' kendte domænenavne ofte vil vise sig at være malicious,« skriver Jens Myrup Pedersen i en mail.

»Jeg tør ikke sige noget med 100 procent sikkerhed, men umiddelbart ligner det noget, som man med rimelig præcision vil kunne genkende.«

Et våbenkapløb

Selvom de har arbejdet på projektet i tre år, er de ikke ved vejs ende.

At identificere et random-genereret site kan være simpelt nok, så længe kvaliteten af adressen ikke er høj. Hvis domænenavnet er en random kombination af vilkårlige ord og tal, er det ikke nødvendigvis den store udfordring at spotte dem. Men de kriminelle bliver også bedre.

»Det er et våbenkapløb. Jo bedre de kriminelle bliver til at skabe nogenlunde troværdige domænenavne, jo sværere bliver det for os at identificere dem,« siger Jens Myrup Pedersen.

Derudover er præcisionen også et element, som kan have stor betydning for projektets succes i sidste ende.

»Vi arbejder stadig på at sikre, at vi rammer de rigtige. Hvis man udløser tilpas mange alarmer, stopper folk til sidst med at kigge på dem,« siger han.

Målet er, at algoritmerne i sidste ende skal udvikles til en software, men der er et stykke vej endnu.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017