Norn Labs'ın aktif kimlik avı keşif aracı Huginn, Şubat ayında yaptığı taramalarda önemli bulgulara ulaştı. Şirket, bu raporlarla kimlik avı ortamını anlamak ve araçlarının yeteneklerini göstermek amacıyla aylık bir seriye başlıyor. Şubat ayı boyunca Huginn, çeşitli tehdit istihbarat kaynaklarından gelen URL'leri işleyerek 254 doğrulanmış kimlik avı web sitesi tespit etti. Bu sitelerin her biri için Google Safe Browsing'in (GSB) URL'yi tarama anında işaretleyip işaretlemediği kontrol edildi. Sonuçlar dikkat çekiciydi: GSB, 254 siteden yalnızca 41'ini işaretlemişti. Bu da, doğrulanmış kimlik avı sitelerinin %83.9'unun, Chrome'un yerleşik korumasının temelini oluşturan bu araç tarafından keşfedildikleri anda tespit edilmediği anlamına geliyor.
Bu durumun temel nedeni, kimlik avı sayfalarının genellikle kısa ömürlü olmasıdır. Saldırganlar, kimlik bilgilerini toplamak için hızla bir sayfa kurar ve yakalanmadan önce kapatır. Tespitin sayfa yayına girdikten saatler veya günler sonra gelmesi durumunda, zarar çoktan oluşmuş olur. Bu, blok listesi tabanlı tespitin temel sınırlamasıdır: reaktif olması. Korumanın devreye girmesi için bir şeyin raporlanması ve incelenmesi gerekir.
Norn Labs'ın diğer aracı Muninn de test edildi. Muninn'in otomatik taraması, 254 kimlik avı sitesinden 238'ini doğru bir şekilde tanımlarken, sadece 6 meşru sayfayı yanlışlıkla işaretledi. Otomatik tarama, hassasiyet için optimize edilmiş bir ilk katmandır. Daha derinlemesine bir inceleme gerektiğinde, Muninn'in ekran görüntüsünü analiz eden derin taraması devreye girer. Bu derin tarama, kapsama alanı için optimize edilmiştir ve test edilen tüm kimlik avı sitelerini sıfır yanlış negatifle yakaladı. Ancak, bu tarama 9 meşru sitenin tamamını şüpheli olarak işaretledi. Bu, kullanıcıların güvenmedikleri bir bağlantıyı aktif olarak araştırdıklarında faydalı bir takas olarak görülüyor. Otomatik tarama sürekli açık bir güvenlik ağı iken, derin tarama şüpheli bağlantılar için daha temkinli bir ikinci görüş sunar.
Google Safe Browsing gibi yaygın güvenlik araçlarının, yeni ve kısa ömürlü kimlik avı sitelerini tespit etmede yetersiz kalması, proaktif ve çok katmanlı güvenlik çözümlerinin önemini vurgulamaktadır.