TypoSwype: una herramienta de reconocimiento de imágenes para detectar ataques de typosquatting

En las últimas décadas, los ataques cibernéticos se han vuelto cada vez más variados, introduciendo varias estrategias para atraer a los usuarios a sitios web maliciosos o incitarlos a compartir datos confidenciales. Como resultado, los informáticos intentan continuamente desarrollar herramientas más avanzadas para detectar y neutralizar estos ataques.

Typosquatting, uno de los ataques más comunes que se llevan a cabo en línea, explota la tendencia humana a escribir mal las palabras al escribir rápidamente o leer mal las palabras cuando tienen pequeños errores topográficos. Typosquatting consiste esencialmente en la creación de sitios web maliciosos con URL que se asemejan a sitios establecidos, pero con pequeños errores tipográficos (por ejemplo, «fqcebook» en lugar de «facebook» o «yuube» en lugar de «youtube»). Cuando un usuario visita por error estos sitios web, es posible que descargue malware de mala gana o termine compartiendo información personal con los atacantes.

La mayoría de las técnicas existentes para detectar estos ataques de phishing se basan en herramientas de revisión ortográfica. Si bien estas herramientas pueden funcionar en algunos casos, no se generalizan bien, ya que su desempeño generalmente depende del vocabulario de las palabras que se usan para entrenarlas.

Investigadores de Ensign InfoSecurity, un proveedor de servicios de ciberseguridad de extremo a extremo con sede en Singapur, han creado recientemente TypoSwype, una herramienta alternativa para detectar ataques de typo-squatting que se basa en el análisis de imágenes. Esta herramienta, presentada en un artículo publicado previamente en arXiv, utiliza técnicas avanzadas de reconocimiento de imágenes para convertir cadenas en imágenes que también consideran la ubicación de las letras en el teclado.

«Typosquatting hace uso de errores tipográficos o errores tipográficos (por ejemplo, ‘googgle.com’ en lugar de ‘google.com’) para engañar a los usuarios para que accedan a sitios web no deseados», dijo a TechXplore David Yam, uno de los investigadores que llevó a cabo el estudio. «Las técnicas actuales para hacer frente a estos ataques de phishing utilizan la distancia de edición de cadenas que no depende de las posiciones de los caracteres del teclado (la ‘g’ se encuentra en un área del teclado diferente de la ‘z’) y, por lo tanto, son menos precisas para detectar errores tipográficos (por ejemplo, ‘google. com’ y ‘googzle.com’ están igualmente lejos de ‘google.com’). Utilizamos técnicas de reconocimiento de imágenes como las redes neuronales convolucionales (CNN) y funciones de pérdida específicas para mejorar la detección de errores tipográficos».

A diferencia de otros métodos para detectar errores tipográficos introducidos en el pasado, TypoSwype puede capturar la distancia entre diferentes caracteres en el teclado, trazando líneas entre los botones de caracteres consecutivos en un teclado imaginario. Esto ayuda a reducir los errores que las métricas de distancia de edición de cadenas existentes (es decir, métodos que calculan qué tan diferentes son dos palabras o secuencias de caracteres entre sí) son propensas a cometer.

«Utilizamos técnicas de reconocimiento de imágenes porque puede procesar por lotes varios dominios con errores tipográficos posibles de una sola vez, lo que permite un procesamiento más rápido en comparación con las soluciones de coincidencia de cadenas», explicó Lee. «Además, el uso de entradas de Swype nos permite entradas visuales que probablemente sean errores tipográficos entre sí, como ‘fqcebook’ y ‘facebook'».

Yam y su colega Lee Joon Sern evaluaron su herramienta de detección de errores tipográficos en una serie de pruebas, comparando su desempeño con el del algoritmo DLD, un modelo de ciberseguridad ampliamente utilizado. Descubrieron que TypoSwype podía detectar errores tipográficos de manera más confiable que DLD, al mismo tiempo que identificaba con precisión los dominios bien establecidos y seguros que los atacantes estaban tratando de copiar o «errores tipográficos».

«TypoSwype es (hasta donde sabemos) la primera aplicación de las CNN para abordar la typosquatting usando las entradas de Swype», dijo Yam. «El uso de Swype captura inherentemente la métrica de distancia del teclado que suelen tener los errores tipográficos. También usamos Triplet loss y NT-Xent loss como mecanismos superiores para entrenar nuestro modelo porque proporciona un límite mínimo entre imágenes Swype no similares. Esto nos permite mejorar las métricas (puntuación F1) en la detección de dominios de typosquatting que ya son bastante similares (1 distancia de edición) mediante algoritmos de coincidencia de distancia de edición de cadenas».

El reciente trabajo de este equipo de investigadores podría inspirar próximamente el desarrollo de otras técnicas de ciberseguridad basadas en modelos de reconocimiento de imágenes. Mientras tanto, TypoSwype se incluirá dentro del conjunto de herramientas de detección de phishing de Ensign InfoSecurity, lo que lo pondrá a disposición de los usuarios de todo el mundo.

© 2022 Ciencia X Red