Revisão e classificação de anti-phishing Pixm

Raramente encontramos produtos totalmente novos ou novas tecnologias em segurança, mas o Pixm Anti-Phishing traz os dois à mesa. Onde a maioria das soluções antiphishing se baseia em uma combinação de lista negra e análise heurística, o Pixm conta com uma técnica própria. No entanto, nos testes, essa técnica perdeu sites fraudulentos verificáveis ​​e lançou suspeitas em sites perfeitamente legítimos. Tem promessa, mas essa promessa ainda não foi cumprida.

Para as empresas, o Pixm oferece proteção controlada centralmente contra ataques de phishing, além de uma versão de custo mais alto dedicada à defesa contra spear phishing. Onde um site típico de phishing tenta enganar muitas pessoas a revelar suas credenciais, um ataque de spear phishing se concentra em enganar um indivíduo ou indivíduos em uma empresa. Os consumidores não precisam pagar nada pela ferramenta gratuita de antiphishing Pixm, que é o que estamos analisando aqui.

A premissa Pixm

Os webmasters de sites de phishing evitam a codificação sofisticada necessária para inserir malware nos navegadores visitantes ou esgueirar-se pela proteção antivírus. Em vez disso, eles simplesmente criam réplicas de sites confidenciais, transmitem links para essas páginas e esperam que os tolos façam login. Quando você se conecta a um banco ou sistema de e-mail falso, você entrega sua conta aos fraudadores.

Muitos produtos antivírus usam listas negras para detectar e bloquear as páginas de phishing mais flagrantes. O problema é que os URLs de phishing entram e saem tão rapidamente que qualquer lista negra está sempre desatualizada. Ah, a lista negra pega algumas fraudes, mas a proteção total requer algo mais, como análise heurística de páginas em tempo real. Resumidamente, o componente heurístico analisa os componentes da página em busca de inconsistências ou outras evidências de que não é o que pretende ser.

Como usuário, você pode usar suas próprias habilidades para evitar ser enganado por um golpe de phishing. A página se parece com o PayPal, mas o URL na barra de endereços corresponde? As cores estão corretas ou estão sutilmente desligadas? Você vê algum erro ortográfico óbvio? Com um pouco de prática, você pode se tornar um especialista em detecção de phishing.

A Pixm leva a automação a esse tipo de exame, usando o que a empresa chama de "visão computacional". Ele identifica a fonte pretendida de uma página, localiza o original e analisa quaisquer diferenças. Se o algoritmo encontrar discrepâncias, o Pixm exibirá um banner de aviso amarelo; se a página é claramente falsa, a faixa amarela fica vermelha e o Pixm desabilita os links e outros conteúdos da página. Por outro lado, quando o Pixm determina que uma página é legítima, exibe uma faixa verde.

Devo salientar que atualmente a Pixm trabalha para identificar versões fraudulentas das "100 melhores marcas com mais phishing". O presidente e co-fundador da empresa me diz: "Continuamos a aumentar a cobertura da marca e em breve cobrirá entre 400 e 500 marcas mais phishing". Mas essa é uma limitação não vista em outros tipos de detecção de phishing.

Mãos à obra com Pixm

Pixm consiste em um aplicativo e um conjunto de extensões do navegador para Chrome e Firefox. A instalação demorou tanto tempo que eu imaginei que havia pendurado. Eu estava compondo um email para o suporte técnico quando ele finalmente voltou à vida, depois de 15 minutos aparentemente parados. Depois que a instalação terminou, a instalação das extensões no Chrome e Firefox foi muito rápida.

Para testar a proteção contra phishing, começo coletando os URLs de phishing mais recentes relatados em sites que rastreiam essas coisas. Dou preferência àqueles que ainda não passaram por análises. Com minha coleção de URLs pronta, configurei quatro navegadores para teste. Três deles usam a proteção incorporada no Chrome, Firefox e Internet Explorer. Normalmente, instalo o produto de teste no Internet Explorer para fazer o quarto, mas como o Pixm não suporta o IE, usei o Chrome.

O teste em si é simples. Eu inicio cada URL em cada um dos quatro navegadores de uma só vez. Se algum navegador não puder carregar a página, eu descartarei esse URL. Se ele não tentar roubar credenciais de login visivelmente ou não se encaixar claramente no perfil de um ataque de phishing, eu o descarto. O teste inteiro pode levar várias horas, porque muitos dos URLs, por mais novos que sejam, já foram retirados.

Durante o teste, tive tempo de sobra para observar o comportamento de Pixm. Ele primeiro exibiu um ícone de "pensamento" animado perto do botão da barra de ferramentas do navegador. Uma página que não pôde ser confirmada como legítima recebeu uma faixa amarela indicando "Pixm não conseguiu identificar a autenticidade desta página de login. Prossiga com cuidado". Em alguns casos, foi tudo o que disse, mas para muitos outros, ele exibiu um aviso de faixa vermelha: "Esta página está bloqueada porque é um site suspeito de phishing". Com a faixa vermelha voando, não pude clicar em nenhum link ou inserir texto na página suspeita.

Alguns dos URLs de phishing relatados não eram realmente fraudulentos; acontece. Encontrei alguns banners verdes dizendo (de maneira um pouco gramatical) "A página é verificada pelo Pixm, é uma página segura".

Enquanto isso, os outros três navegadores bloquearam toneladas de páginas que simplesmente retornavam uma mensagem de erro no Pixm protegido pelo navegador. Isso implica para mim que os três navegadores anteriormente estavam na lista negra da página e que ainda não haviam reagido ao desaparecimento da página. Como o Pixm deve ver o conteúdo da página para realizar sua análise, ele nunca sinalizará uma página desativada.

Também encontrei um número surpreendente de páginas que o Pixm simplesmente perdeu, mas que os três navegadores detectaram. Ao todo, a Pixm detectou 60% dos sites fraudulentos verificados. Todos os três navegadores superam a taxa de detecção do Pixm; O Chrome e o Firefox venceram em mais de 30 pontos percentuais.

Gráfico de resultados de proteção contra phishing

Os melhores protetores de phishing padrão combinam lista negra com análise em tempo real, e esse emparelhamento pode ser muito eficaz. Nos testes mais recentes, o Kaspersky Anti-Virus e a McAfee afastaram o navegador de teste de 100% das fraudes verificadas. Ambos superaram a proteção incorporada nos três navegadores.

Outra meia dúzia de produtos antivírus obteve 97% ou mais. O Bitdefender Antivirus Plus, em particular, gerenciava 99% de proteção. É claro que a tecnologia existente funciona.

Durante a execução de todos os URLs de teste, observei que clicar no botão da barra de ferramentas do navegador exibia um gráfico de setores protegidos. O número de domínios protegidos aumentou constantemente, mas o gráfico não tinha conexão com os domínios reais que ele protegia no meu sistema. Quase metade da torta foi para o Capital One, um site que não apareceu nos meus testes. E embora as falsificações do PayPal representassem pelo menos um quarto das páginas bloqueadas pelo Pixm, o PayPal não apareceu no gráfico. O contato da minha empresa explicou que o gráfico de pizza está programado para remoção.

Banners Verdes e Falsos Positivos

É muito claro que meus URLs de phishing no mundo real não se enquadravam na coleção da Pixm das "100 principais marcas com mais phishing". Para outra visão das habilidades do produto, tentei acessar uma coleção de sites válidos, alguns conhecidos e outros não.

Para cada site bancário que eu tentei, o Pixm exibia sua faixa de segurança verde. Isso faz sentido; os malfeitores têm mais a ganhar capturando seus logins bancários, portanto esses são alvos importantes.

O PayPal também é um grande alvo, com as falsificações do PayPal representando pelo menos um quarto das fraudes detectadas pela Pixm em meu teste. Estranhamente, a Pixm não reagiu quando visitei o PayPal verdadeiro e legítimo. Nenhum ícone pensante, nenhuma faixa verde, nada! Isso não é bom.

As coisas pioraram quando procurei no meu gerenciador de senhas alguns logins menos comuns. A Pixm sinalizou muitos deles com o banner de aviso amarelo, afirmando que não era possível autenticá-los. Entre os sites assim sinalizados estavam o site de artesanato Etsy, o Science Book Book Club, o livreiro Abe Books e o site principal do Geocaching.

Muitas ferramentas de proteção contra phishing relatam fraudes conhecidas e suspeitas com base em suas análises. Para fins de teste, dou crédito a ambos, embora os distinga em minhas anotações internas. Sites considerados suspeitos (apenas faixa amarela) compunham quase metade das detecções bem-sucedidas da Pixm; portanto, o fato de lançar a mesma suspeita em sites válidos é preocupante.

Declarar sites válidos como suspeitos não foi o pior. Mencionei a Abe Books, fornecedora de livros raros e incomuns. Depois de sinalizá-lo com uma faixa amarela, a Pixm declarou que o site real e válido era fraudulento! Não encontrei outros falsos positivos tão flagrantes como este, mas mesmo um é mais do que já vi em outros produtos.

Pixm Responde

Os resultados falso-positivos foram bastante problemáticos, e senti que tinha que verificar o meu contato Pixm. Ele me surpreendeu perguntando se eu estava falando sobre a Abe Books. Acontece que meus testes causaram um aumento incomum na atividade do servidor, o suficiente para que o pessoal da Pixm pudesse identificar meu endereço IP e ver exatamente quais sites eu estava testando. Como a versão comercial do produto é gerenciada centralmente, esse tipo de rastreamento faz sentido, mas foi uma surpresa.

Meu contato explicou que a detecção da Pixm depende de inteligência artificial e aprendizado de máquina. "Dado que esta é uma tecnologia de visão computacional de aprendizado profundo", disse ele, "temos ocasionalmente falsos positivos. Nenhuma inteligência artificial é 100%". Ele mencionou uma atualização em apenas alguns dias que reduziria os falsos positivos, então deixei os testes de lado, aguardando a atualização.

Nesse meio tempo, instalei o Editors 'Choice NordVPN, para que meus novos testes não usassem o mesmo endereço IP conhecido. Só não gosto da ideia de qualquer empresa assistir diretamente à minha interação com o produto durante uma revisão.

Eu verifiquei Etsy, SFBC e Geocaching novamente; desta vez, Pixm não exibiu o aviso amarelo. No entanto, ainda indicava a Abe Books como um site de phishing. Em seguida, iniciei uma lista que fiz de alguns sites da lista do meu gerenciador de senhas, sites que são bem conhecidos, mas talvez não sejam frequentemente phishing. Para os seis primeiros itens da lista (23andMe, AAA Auto Club, Amtrak, Best Buy, Booking.com e Delta Airlines), a Pixm exibiu um aviso amarelo. Em seguida, identificou o site da Delta Airlines como fraudulento.

Não senti a necessidade de continuar com minha lista de sites para testes. Minha conclusão: esta atualização não ajudou em nada com falsos positivos.

Não está pronto para o horário nobre

O conceito por trás do Pixm Anti-Phishing é envolvente. Ele analisa uma página que pode ser fraudulenta, analisa a página verificada correspondente e as compara para identificar falsificações. Realmente queríamos que ele fosse bem-sucedido, apesar de proteger apenas contra fraudes direcionadas a sites específicos (reconhecidamente muito populares). Se ele simplesmente ignorou as fraudes contra sites menos populares, você pode usá-lo para complementar a proteção do seu navegador.

No entanto, o fato de ter marcado muitos sites válidos como suspeitos e marcado mais de um como fraudulento significa que não podemos recomendar esse emparelhamento. Talvez no futuro a empresa considere complementar a abordagem de visão computacional com outros métodos comprovados.

Não temos uma escolha dos editores para antiphishing, pois quase não existem ferramentas dedicadas a esse único objetivo. No entanto, todos os quatro produtos antivírus da Editors 'Choice se mostraram extremamente eficazes em nossos testes de proteção contra phishing. O Webroot SecureAnywhere AntiVirus eliminou 97% das fraudes, o Bitdefender Antivirus Plus capturou 99%, e o Kaspersky Anti-Virus e o McAfee AntiVirus Plus gerenciaram 100% de detecção. Se você tiver um desses instalado, não precisará do Pixm - não no estado atual.