Análise temporal de Features dinâmicas para previsão de phishing

O ataque cibernético conhecido como phishing tem se tornado cada vez mais comum nas últimas décadas, acarretando sérios danos financeiros e de reputação tanto para indivíduos quanto para empresas. Segundo Vayansky e Kumar (2018), o phishing consiste em uma tática fraudulenta que visa obter informações confidenciais e sensíveis, como senhas, nomes de usuário e detalhes de cartões de crédito, por meio de manipulação psicológica dos usuários da Internet. De acordo com as análises realizadas pela Kaspersky (Kaspersky Lab, 30 jun. 2023), esse tipo de ataque ocorre quando um invasor cria uma página falsa que se assemelha a uma página legítima, explorando a vulnerabilidade do usuário. É importante ressaltar que o phishing é frequentemente aplicado em momentos de maior fragilidade dos usuários, como ocorreu durante a pandemia do COVID-19, quando muitos países disponibilizaram ajuda financeira. Os relatórios trimestrais do Anti-Phishing Working Group (APWG, 30 jun. 2023) demonstram o aumento do phishing nos últimos anos. Para prevenir o phishing, é necessário adotar uma abordagem abrangente, que inclua a educação dos usuários, o uso de tecnologias avançadas de segurança cibernética e a criação de uma cultura organizacional forte em relação à segurança. Tanto indivíduos quanto empresas devem estar cientes dos riscos do phishing e adotar medidas preventivas, como evitar clicar em links suspeitos e não fornecer informações confidenciais em sites desconhecidos. Existem estratégias comumente utilizadas para detectar o phishing na web, como filtros baseados em listas de bloqueio e previsões baseadas em características específicas. Embora as soluções baseadas em listas de bloqueio sejam simples de implementar, elas têm limitações na detecção de sites de phishing recém-criados, conhecidos como "zero-day" (0-day) phishing. Devido à natureza volátil e altamente propagadora do phishing, é comum que ocorram falsos negativos, o que representa uma janela de vulnerabilidade na resposta ao incidente (Srinivasa, 2019; AlEroud e Zhou, 2017). Por outro lado, as soluções baseadas em previsões são mais eficazes na detecção de novos casos de phishing. Portanto, essas soluções estão se tornando uma tendência atualmente. Para lidar com esses desafios, os pesquisadores têm desenvolvido mecanismos híbridos de combate ao phishing, que combinam ambas as abordagens (Zhang et al., 2017; Nagunwa et al., 2019). Nesse contexto, o presente estudo apresenta uma pesquisa empírica focada em features dinâmicas, ou seja, atributos temporais e comportamentais encontrados em sites de phishing (válidos) e não phishing (inválidos). O objetivo é investigar a relevância, as relações e a similaridade dessas features dinâmicas comumente encontradas em casos de phishing, a fim de utilizá-las em futuras soluções híbridas de detecção de phishing. Para isso, foram utilizadas amostras da base de dados Piracema (Gomes de Barros, 2022). A técnica escolhida para análise foi a Regressão Logística (Hilbe, 2016), que permite fazer previsões com base em variáveis coletadas, medindo a relação entre uma variável dependente categórica e outras variáveis independentes. Nesse estudo, a relevância das ocorrências foi medida por meio de análises quantitativas, possibilitando a proposição de um modelo de classificação com base em hipóteses levantadas a partir de observações em cenários reais. O estudo empregou um processo dividido em três etapas. Na primeira etapa, foi definido o protocolo adotado, com base em evidências para suportar a seleção e extração das features observadas, resultando em uma taxonomia do phishing. A segunda etapa descreve os resultados obtidos, apresentando dados quantitativos e qualitativos. Por fim, a terceira etapa traz uma discussão sobre os resultados, suas limitações e ameaças. Um número significativo de entradas e dados reais de phishing foram coletados, permitindo a apresentação de resultados. Portanto, é possível afirmar que features com aspectos temporais influenciaram os comportamentos quantitativos e qualitativos observados no estudo empírico. Dessa forma, a contribuição do estudo pode subsidiar a criação de um modelo de classificação mais sensível, específico e eficiente, com métricas como precisão e coeficiente de variação, permitindo avaliar a eficácia do modelo proposto por Silva (Silva et al., 2019).