Comprendre les pages web de phishing adversarial et la perception des utilisateurs
Cet article explore comment les utilisateurs perçoivent les sites de phishing adversarial et des moyens d'améliorer la détection.
― 7 min lire
Table des matières
- Le paysage actuel du phishing
- Apprentissage automatique et détection de phishing
- Le besoin d'études sur les utilisateurs
- Aperçu de l'étude utilisateur
- Conception de l'étude
- Démographie des participants
- Résultats des études utilisateurs
- Performance générale
- Efficacité des perturbations adversariales
- Familiarité et confiance
- Implications pour la détection de phishing
- Leçons pour les modèles d'apprentissage automatique
- Éducation des utilisateurs
- Conclusion
- Source originale
- Liens de référence
Le phishing, c'est un genre d'escroquerie en ligne où des attaquants essaient de piquer des infos sensibles aux utilisateurs. Ça peut inclure des trucs comme des identifiants de connexion ou des infos financières. Les attaquants fabriquent des faux sites qui ressemblent à de vrais pour arnaquer les gens et les pousser à donner leurs infos. Le phishing est devenu un gros problème ces dernières années, et avec les nouvelles technologies, les attaquants ont trouvé des moyens de rendre leurs faux sites encore plus difficiles à détecter.
Une des stratégies qu'ils utilisent, c'est de créer des pages web de phishing adversariales. Ce sont des faux sites spécifiquement conçus pour passer à travers les outils de filtrage qui bossent avec l'Apprentissage automatique. L'apprentissage automatique, c'est une méthode où les ordis apprennent à partir de données pour identifier des motifs et prendre des décisions. Bien que ces outils soient efficaces pour repérer les sites de phishing, ils ont aussi leurs faiblesses. Les pages de phishing adversariales exploitent ces faiblesses pour échapper à la Détection.
Dans cet article, on va voir comment les utilisateurs perçoivent ces pages de phishing adversariales et ce qu'on peut faire pour améliorer la situation.
Le paysage actuel du phishing
Malgré des décennies de recherche, les attaques de phishing sont encore super courantes. Selon le FBI, le phishing est le type de cybercriminalité le plus signalé. Le nombre de victimes a augmenté de façon significative ces dernières années. Les attaques de phishing sont conçues pour imiter des sites légitimes afin de tromper les utilisateurs. Beaucoup d'utilisateurs ne remarquent pas les petites différences entre les faux et les vrais sites, ce qui les rend des cibles plus faciles.
Pour combattre ce problème, plusieurs détecteurs de sites de phishing ont été développés. Ces outils utilisent différentes techniques pour identifier les faux sites en les comparant à des listes noires ou en analysant leur contenu. Cependant, ces méthodes ont des limites, surtout quand il s'agit de détecter de nouveaux types de sites de phishing.
Apprentissage automatique et détection de phishing
Les détecteurs de sites de phishing basés sur l'apprentissage automatique (ML-PWD) sont maintenant souvent utilisés. Ils reposent sur des algorithmes qui peuvent apprendre à partir de données pour distinguer entre sites réels et faux. Ces algorithmes peuvent analyser du texte, des images et diverses caractéristiques d'une page web pour déterminer sa légitimité.
Cependant, ces détecteurs peuvent être vulnérables aux attaques d'évasion. Les attaquants peuvent créer des pages de phishing adversariales en faisant de petits changements qui ne sont pas facilement perceptibles à l'œil nu. Ça leur permet de passer sous le radar des outils de détection automatisés sans éveiller de soupçons.
Bien que de nombreuses études aient examiné l'efficacité de ces ML-PWD, moins se sont concentrées sur la façon dont les utilisateurs interagissent réellement avec ces pages adversariales. Comprendre cela est crucial parce qu'au final, c'est les utilisateurs qui sont les cibles de ces attaques de phishing.
Le besoin d'études sur les utilisateurs
Pour combler cette lacune, on a mené deux études sur les utilisateurs pour voir comment les gens perçoivent les pages de phishing adversariales. Notre objectif était de comprendre si ces faux sites peuvent tromper les utilisateurs aussi efficacement qu'ils trompent les modèles d'apprentissage automatique.
Dans nos études, les participants ont vu différents types de pages web, y compris des sites légitimes, des sites de phishing traditionnels et des pages de phishing adversariales. On voulait voir à quel point ils pouvaient faire la différence.
Aperçu de l'étude utilisateur
Conception de l'étude
On a conçu deux études utilisateurs, chacune impliquant différents types de pages web. La première étude servait de référence, évaluant à quel point les participants pouvaient identifier les pages web légitimes par rapport aux pages de phishing traditionnelles. La deuxième étude s'est concentrée sur les pages de phishing adversariales.
Au total, on a eu environ 470 participants qui ont regardé une variété de pages web de marques bien connues. Chaque participant a évalué à quel point il croyait que chaque page était légitime.
Démographie des participants
On a recruté des participants de divers horizons, garantissant un groupe diversifié. Ça incluait un mélange de genres, d'âges et de niveaux d'expérience avec la sécurité en ligne. Les participants ont été payés pour leur temps, et leur anonymat a été garanti tout au long des études.
Résultats des études utilisateurs
Performance générale
Les résultats ont montré qu'en moyenne, les participants ont bien réussi à identifier les sites légitimes. Ils ont reconnu 86 % des pages web légitimes dans la première étude et 88 % dans la seconde. Cependant, leur capacité à repérer les pages de phishing n'était pas aussi forte. Ils ont correctement identifié les sites de phishing traditionnels seulement 51 % du temps, mais étaient meilleurs pour reconnaître les sites de phishing adversariales, avec un taux de détection de 62 %.
Efficacité des perturbations adversariales
On a constaté que tous les changements adversariaux n'étaient pas également efficaces pour tromper les utilisateurs. Par exemple, les pages web avec des fautes de frappe étaient plus susceptibles d'être signalées par les participants comme des tentatives de phishing, avec un taux de détection de 85 %. En revanche, d'autres types de changements, comme modifier les images de fond ou ajouter des images supplémentaires, étaient moins visibles, avec des taux de détection allant de 50 à 56 %.
Familiarité et confiance
Fait intéressant, on a découvert que les utilisateurs qui visitent souvent le site d'une certaine marque étaient moins précis pour identifier les tentatives de phishing ciblant cette marque. Cela suggérait que la familiarité pouvait mener à une surconfiance, où les utilisateurs croyaient qu'ils étaient moins susceptibles d'être dupés simplement parce qu'ils connaissaient la marque.
Implications pour la détection de phishing
Leçons pour les modèles d'apprentissage automatique
Nos résultats soulignent le besoin pour les ML-PWD de prendre en compte la perception des utilisateurs lors de l'évaluation de leur efficacité. Ce n'est pas suffisant qu'une page de phishing passe à travers un détecteur ; elle doit aussi ne pas être facile à repérer par les utilisateurs.
On a observé que certains changements visuels, surtout ceux affectant le texte, étaient plus facilement détectés par les utilisateurs. Par conséquent, les futurs modèles d'apprentissage automatique devraient considérer ces réponses des utilisateurs lors du développement de systèmes de détection plus robustes.
Éducation des utilisateurs
Il y a un besoin clair d'une meilleure éducation des utilisateurs concernant les menaces de phishing. Former les utilisateurs à reconnaître les signaux visuels associés à une perte de crédibilité sur une page web pourrait les aider à mieux se défendre contre les tentatives de phishing. Tout en éduquant les utilisateurs sur les dangers, on doit aussi faire attention à ne pas créer un faux sentiment de sécurité basé sur la familiarité avec les marques.
Conclusion
Le phishing reste une menace significative dans le paysage en ligne. À mesure que les attaquants développent de nouvelles techniques comme les pages de phishing adversariales pour échapper aux outils de détection, il est crucial de comprendre comment ces tactiques affectent la perception des utilisateurs.
Nos études montrent que les utilisateurs peuvent être trompés par ces pages conçues, mais certains changements peuvent les rendre plus reconnaissables. Améliorer les capacités de détection des systèmes d'apprentissage automatique tout en améliorant en même temps l'éducation des utilisateurs est essentiel pour une défense plus complète contre les attaques de phishing.
Alors que la technologie évolue, nos stratégies pour combattre le phishing doivent aussi évoluer. En tenant les utilisateurs informés et en intégrant leurs perceptions dans les systèmes de détection, on peut créer un environnement en ligne plus sûr pour tout le monde.
Titre: "Are Adversarial Phishing Webpages a Threat in Reality?" Understanding the Users' Perception of Adversarial Webpages
Résumé: Machine learning based phishing website detectors (ML-PWD) are a critical part of today's anti-phishing solutions in operation. Unfortunately, ML-PWD are prone to adversarial evasions, evidenced by both academic studies and analyses of real-world adversarial phishing webpages. However, existing works mostly focused on assessing adversarial phishing webpages against ML-PWD, while neglecting a crucial aspect: investigating whether they can deceive the actual target of phishing -- the end users. In this paper, we fill this gap by conducting two user studies (n=470) to examine how human users perceive adversarial phishing webpages, spanning both synthetically crafted ones (which we create by evading a state-of-the-art ML-PWD) as well as real adversarial webpages (taken from the wild Web) that bypassed a production-grade ML-PWD. Our findings confirm that adversarial phishing is a threat to both users and ML-PWD, since most adversarial phishing webpages have comparable effectiveness on users w.r.t. unperturbed ones. However, not all adversarial perturbations are equally effective. For example, those with added typos are significantly more noticeable to users, who tend to overlook perturbations of higher visual magnitude (such as replacing the background). We also show that users' self-reported frequency of visiting a brand's website has a statistically negative correlation with their phishing detection accuracy, which is likely caused by overconfidence. We release our resources.
Auteurs: Ying Yuan, Qingying Hao, Giovanni Apruzzese, Mauro Conti, Gang Wang
Dernière mise à jour: 2024-04-03 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2404.02832
Source PDF: https://arxiv.org/pdf/2404.02832
Licence: https://creativecommons.org/licenses/by-sa/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.