Пять секунд CSS — и лучший ML-детектор фишинга слепнет полностью
Представьте: вы построили систему обнаружения фишинга на нейросетях. Она показывает 100% accuracy на бенчмарках. Публикуете статью, получаете признание. А потом кто-то добавляет на фишинговую страницу пятисекундную задержку отрисовки логотипа — и detection rate падает до абсолютного нуля. Не до 80%, не до 30%. До нуля.
Именно это продемонстрировали исследователи в работе, принятой на IEEE European Symposium on Security and Privacy. Целевая жертва — PhishIntention, один из самых продвинутых визуальных антифишинговых pipeline.
🔍 Как работают визуальные ML-детекторы? Схема простая:
1. Headless-браузер открывает подозрительную страницу и через фиксированный интервал делает скриншот
2. Нейросеть ищет на скриншоте логотипы и формы ввода, сравнивает с базой из 277 известных брендов
3. Если нашла совпадение с брендом, а домен не тот — фишинг
Вся конструкция держится на одном допущении: скриншот корректно отражает содержимое страницы. И именно это допущение оказалось ложным.
⏱ PhishIntention делает снимок через 2 секунды после начала загрузки. Среднее время полной загрузки веб-страницы — 7.2 секунды. Разница в 5.2 секунды — это timing gap, окно, в которое атакующий может спрятать всё самое важное.
Атака выглядит так: логотип и брендинг загружаются в DOM сразу, но визуально скрыты через
🎯 Что делает эту атаку особенно опасной:
• Не нужно знать архитектуру детектора — работает в black-box режиме
• Не нужна серверная логика — хватает пары строк CSS и JS
• Не нужны adversarial perturbations — никаких модификаций пикселей
• Пользователь ничего не замечает — страница выглядит нормально
Самое интересное: систематический обзор литературы показал, что ни одна предыдущая работа по adversarial robustness фишинг-детекторов не рассматривала timing-вектор. Все исследователи предполагали, что скриншот захватывается корректно. Никто просто не подумал, что атакующий может сыграть на секундомере.
Фикс кажется очевидным — увеличить время ожидания перед снимком. Но это создаёт новую проблему: при массовом сканировании тысяч URL каждая лишняя секунда ожидания превращается в часы простоя pipeline.
Полный разбор обеих стратегий отложенного рендеринга и возможных контрмер — в статье на форуме.
https://codeby.net/threads/obkhod-ml-detektorov-fishinga-cherez-otlozhennyi-rendering-ot-100-k-0-detektsii.93724/
Представьте: вы построили систему обнаружения фишинга на нейросетях. Она показывает 100% accuracy на бенчмарках. Публикуете статью, получаете признание. А потом кто-то добавляет на фишинговую страницу пятисекундную задержку отрисовки логотипа — и detection rate падает до абсолютного нуля. Не до 80%, не до 30%. До нуля.
Именно это продемонстрировали исследователи в работе, принятой на IEEE European Symposium on Security and Privacy. Целевая жертва — PhishIntention, один из самых продвинутых визуальных антифишинговых pipeline.
🔍 Как работают визуальные ML-детекторы? Схема простая:
1. Headless-браузер открывает подозрительную страницу и через фиксированный интервал делает скриншот
2. Нейросеть ищет на скриншоте логотипы и формы ввода, сравнивает с базой из 277 известных брендов
3. Если нашла совпадение с брендом, а домен не тот — фишинг
Вся конструкция держится на одном допущении: скриншот корректно отражает содержимое страницы. И именно это допущение оказалось ложным.
⏱ PhishIntention делает снимок через 2 секунды после начала загрузки. Среднее время полной загрузки веб-страницы — 7.2 секунды. Разница в 5.2 секунды — это timing gap, окно, в которое атакующий может спрятать всё самое важное.
Атака выглядит так: логотип и брендинг загружаются в DOM сразу, но визуально скрыты через
clip-path с нулевой видимой областью. Через 5+ секунд setTimeout запускает плавное раскрытие. Детектор к этому моменту уже сделал снимок пустой страницы, не нашёл совпадений с брендами и пометил её как безопасную. А реальный пользователь видит полноценный клон PayPal или Google и спокойно вводит пароль.🎯 Что делает эту атаку особенно опасной:
• Не нужно знать архитектуру детектора — работает в black-box режиме
• Не нужна серверная логика — хватает пары строк CSS и JS
• Не нужны adversarial perturbations — никаких модификаций пикселей
• Пользователь ничего не замечает — страница выглядит нормально
Самое интересное: систематический обзор литературы показал, что ни одна предыдущая работа по adversarial robustness фишинг-детекторов не рассматривала timing-вектор. Все исследователи предполагали, что скриншот захватывается корректно. Никто просто не подумал, что атакующий может сыграть на секундомере.
Фикс кажется очевидным — увеличить время ожидания перед снимком. Но это создаёт новую проблему: при массовом сканировании тысяч URL каждая лишняя секунда ожидания превращается в часы простоя pipeline.
Полный разбор обеих стратегий отложенного рендеринга и возможных контрмер — в статье на форуме.
https://codeby.net/threads/obkhod-ml-detektorov-fishinga-cherez-otlozhennyi-rendering-ot-100-k-0-detektsii.93724/
🔥4❤3👍3
Кто защищает данные во всем мире?
👮 Интерпол и Европол — ключевые международные организации в сфере правоохранительной деятельности, но с разным географическим охватом и специализацией. Интерпол фокусируется на глобальном сотрудничестве полиции, а Европол — на координации внутри ЕС. В кибербезопасности они активно борются с транснациональными угрозами через обмен данными и аналитику.
🕸 Интерпол (Международная организация уголовной полиции, штаб-квартира в Лионе) объединяет 196 стран для координации борьбы с общеуголовной преступностью, включая киберугрозы. В информационной безопасности основной функционал — выпуск цветных уведомлений (например, серебряное для киберпреступлений), координация розыска хакеров и обмен данными о кибератаках через защищённую систему I-24/7.
☁️ Европол (штаб-квартира в Гааге) — агентство ЕС для 27 стран, специализируется на трансграничной организованной преступности без полномочий на аресты или расследования. В кибербезопасности ключевые функции: анализ данных о ransomware и фишинге, координация операций (например, через EC3 — Центр киберпреступлений), оперативный обмен информацией и поддержка национальных служб в расследованиях хакерских групп.
🧿 Операции Интерпола и Европола с участием России (через НЦБ при МВД РФ) фокусируются на трансграничной преступности: фальсификаты, наркотики, кибермошенничество. РФ координирует межведомственные штабы (МВД, ФСБ), проводит обыски и аресты; с 2020-х геополитика ограничивает кооперацию, но участие продолжается в нейтральных темах.
❗️ Одно из самых громких расследований Интерпола с участием РФ: PANGEA
💵 PANGEA XVII (май 2025) — рекордная операция Интерпола и Всемирной таможенной организации против онлайн-торговли фальсификатами лекарств, наркосодержащими препаратами и опасными БАДами. Проходила с декабря 2024 по май 2025 в 90 странах: изъято 50,4 млн доз на $65 млн, арестовано 769 человек, ликвидировано 123 ОПГ, заблокировано тысячи сайтов. Россия — один из лидеров по активности: НЦБ Интерпола при МВД возглавили межведомственный штаб (МВД, ФСБ, ФТС, Росздравнадзор).
🇷🇺 Благодаря России было:
📉 Проведено 13 800+ проверок и мониторинг 8400+ сайтов.
📉 Осмотрено 940 международных почтовых отправлений.
📉 Выявлено/пресечено 698 нарушений.
📉 Изъято контрафакта на 405+ млн руб. (Саксенда, Кселода, средства для ЭД).
🖱 Возбуждено 177 уголовных дел, задержано 100 человек, 495 протоколов об АП, заблокировано 3400+ сайтов
🧠 А какие интересные факты об Интерполе и Европоле вы знаете?
#interpol #europol #russia #ransomware #darknet #pangea
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
🇷🇺 Благодаря России было:
#interpol #europol #russia #ransomware #darknet #pangea
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍4🔥3👎1
Dsniff: Набор инструментов для сетевого анализа
☁️ Функциональность
- Перехват паролей и сессионных данных в открытом виде (FTP, Telnet, HTTP, POP, IMAP, SMTP, SNMP, LDAP, NFS, и другие)
- Извлечение cookies, HTTP-заголовков и URL
- Определение протоколов независимо от порта благодаря Deep Packet Inspection (-m)
⬇️ Установка
Проверка
⏺️ Базовый перехват на интерфейсе eth0
⏺️ Глубокий анализ пакетов (определение протоколов на любых портах)
⏺️ Исключение HTTPS-трафика из перехвата
🧿 Инструмент необходим для:
- Аудита безопасности локальных сетей
- Обнаружения передачи паролей в открытом виде
- Анализа HTTP-трафика и cookie-сессий
- Демонстрации уязвимостей сетевых протоколов
#dsniff #sniffer #mitm #pentest #tool
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Dsniff — набор инструментов для перехвата и анализа сетевого трафика. Инструментарий позволяет перехватывать пароли, сессионные cookie, анализировать протоколы прикладного уровня и выполнять различные атаки типа «man-in-the-middle» (MITM) в локальных сетях.
- Перехват паролей и сессионных данных в открытом виде (FTP, Telnet, HTTP, POP, IMAP, SMTP, SNMP, LDAP, NFS, и другие)
- Извлечение cookies, HTTP-заголовков и URL
- Определение протоколов независимо от порта благодаря Deep Packet Inspection (-m)
sudo apt install dsniff
Проверка
dsniff -h
sudo dsniff -i eth0
sudo dsniff -i eth0 -m
sudo dsniff -i eth0 -m "not port 443"
- Аудита безопасности локальных сетей
- Обнаружения передачи паролей в открытом виде
- Анализа HTTP-трафика и cookie-сессий
- Демонстрации уязвимостей сетевых протоколов
#dsniff #sniffer #mitm #pentest #tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤5👍4