Video: BlueHat IL 2020 - Amy Burnett - Forget the Sandbox Escape: Abusing Browsers from Code Execution (November 2024)
Jij bent slim; je zou niet vallen voor dat soort slangenolie. Online oplichting die overtuigende frauduleuze websites creëert, kan echter zelfs slimme mensen misleiden. Daarom bouwen browsers en beveiligingssuites nu ook detectie in om frauduleuze "phishing" -websites te voorkomen. Een rapport dat vandaag is uitgegeven door NSS Labs uit Austin onthult een verrassend resultaat: alleen uw browser is waarschijnlijk beter in phishing-beveiliging dan uw beveiligingssuite.
Een kort, gemeen leven
Phishing-aanvallen zijn van korte duur. Om te beginnen maken de oplichters een nieuwe webpagina die perfect lijkt op PayPal of eBay of de website van uw bank. Sommige zwendel zelfs inlogpagina's voor Facebook of online gaming. Wanneer de pagina klaar is, gebruiken ze spam-e-mails, Facebook-zwendel en andere technieken om deze voor zoveel mogelijk gebruikers te plaatsen. Binnen enkele uren staat de nieuwe phishing-URL op de zwarte lijst, maar de oplichters kunnen ondertussen nogal wat slachtoffers fleuren.
Om phishing-URL's voor deze test te krijgen, gingen NSS Labs-onderzoekers op jacht naar hen in hun natuurlijke habitat. "We richten ons op phishing-pogingen die reacties van ons honingnet oproepen", aldus CEO Vik Phatak. "Dit geeft ons URL's om op te klikken via Facebook, Twitter, e-mail, enz. Waarvan we nu weten dat ze deel uitmaken van actieve campagnes omdat we worden gevraagd."
Gedurende een periode van 10 dagen hebben onderzoekers honderdduizenden potentiële monsters gewonnen tot niet helemaal 6.000. Ze testten elk product onmiddellijk na ontdekking van het monster. Voor degenen die het monster aanvankelijk misten, bleven ze elke zes uur testen om te zien hoe lang het duurde om detectie te bereiken.
De beste detectie
NSS Labs testte een tiental bekende beveiligingsleveranciers: Avast, AVG, Avira, F-Secure, Kaspersky, McAfee, Microsoft, Norman, Norton, Panda, Total Defense en Trend Micro. Trend Micro leidde het peloton, met 92 procent detectie. Kaspersky volgde met 85 procent. AVG, Norton en McAfee geclusterd als een tweede niveau, met respectievelijk 64, 63 en 61 procent.
Ook interessant zijn de resultaten van de tijd tot detectie-test. Met 79, 7 procent demonstreerde Kaspersky de beste detectie van gloednieuwe nul-uur phishing-URL's. Trend Micro detecteerde op dat moment slechts 60, 2 procent van de bedreigingen. In de loop van de tijd veranderde Kaspersky's detectiepercentage echter helemaal niet, terwijl Trend Micro aan het einde van de testperiode 87, 4 procent detectie bereikte. De detectiegraad van Trend overtrof die van Kaspersky na de eerste dag.
In eerste instantie kon ik niet achterhalen waarom de algehele detectiegraad en de nuldagscore niet hetzelfde waren. Vik Phatak van NSS legde uit dat de totale detectieratio meetelt of het product een bepaalde URL heeft gedetecteerd tijdens elk van de tests om de zes uur die plaatsvonden terwijl de phishing-URL actief was . Dat is de bron van het verschil.
Browsers doen het beter
Trend Micro toonde de beste algemene blokkering, 92 procent. Elk ander getest product scoorde lager, sommige behoorlijk lager. Huidige browsers (Internet Explorer, Firefox, Safari en Chrome) scoren in het bereik van 90 procent tot 94 procent, dus in de meeste gevallen is de phishing-beveiliging van uw browser beter dan die van uw beveiligingssuite. Natuurlijk gaat dit ervan uit dat u uw browser volledig up-to-date houdt.
Firefox en Safari waren het best in het detecteren van zero-day phishing-bedreigingen, met respectievelijk 79, 2 procent en 76, 9 procent. Chrome en IE begonnen halverwege de jaren 50 maar na een dag zoomden ze in tot ongeveer hetzelfde als de andere twee.
Zeer tijdgevoelig
Ik voer antiphishing-tests uit voor mijn beoordelingen in PCMag-beoordelingen, met nogal verschillende resultaten. Norton is een consistente winnaar in mijn tests, waarbij McAfee en Kaspersky het ook erg goed doen. Het verschil, geloof ik, is timing. Ik pak URL's die zijn gemeld als mogelijk frauduleus maar nog niet geverifieerd. NSS Labs, met hun veel grotere middelen, kunnen gloednieuwe phishing-URL's zelfs eerder in het proces vastleggen. Een product dat absoluut niet effectief is, zal in beide tests slecht scoren, maar de rangorde van de winnaars zal variëren op basis van timing.
Wat Internet Explorer betreft, mijn testsystemen maken gebruik van Windows XP, wat betekent dat ik test tegen Internet Explorer 8. NSS Labs gebruikt Internet Explorer 10, wat, volgens de ingenieur die verantwoordelijk is voor SmartScreen Filter, op dit gebied aanzienlijk beter is. Toch is bijna tweederde van de recente producten niet alleen het detectiegraad van IE8.
Veilig blijven
Trend Micro is het enige beveiligingsproduct dat het even goed of beter deed dan de huidige browsers in deze test, en het heeft minder dan 10 procent marktaandeel. Het NSS-rapport concludeert dus dat ongeveer 90 procent van de consumenten "onvoldoende beschermd zijn tegen phishing door eindpuntbeschermingsproducten". Gezien de nauwkeurigheid van de huidige browsers concludeert het rapport dat de toegevoegde waarde van phishing-bescherming "geen belangrijk criterium voor productselectie" is.
Dat betekent niet dat u phishing-beveiliging in uw beveiligingspakket of in uw browser moet uitschakelen. Laat ze allebei werken om te voorkomen dat u per ongeluk uw bankgegevens aan een oplichter halverwege de wereld geeft. Enige twijfel? Het volledige rapport is behoorlijk overtuigend.
Volg hem op Twitter @neiljrubenking voor meer informatie van Neil.
