Как детекция на фишинг на копие (насочена измама) работи
Има измами от техники за измама по имейл, които започват да правят кръговете и се нарича копие фишинг. Този нов вид фишинг се развива стабилно от 2015 г. насам, което прави компаниите страдащи от огромни загуби и изтичане на милиони долари от икономиката в ръцете на предприемчиви хакери.
През последните години получи толкова много внимание, че на 18 август 2017 г. Facebook награди своята годишна награда за защита на Интернет на група изследователи от Калифорнийския университет в Бъркли, която успя да създаде автоматизиран проект за откриване на фишинг с копие. Те са публикували полезна литература по темата, която ще ни помогне да стигнем до месинговите подходи за това как детектирането на копирането на копирането трябва да работи в корпоративна среда.
Това, което прави копирането на фишинг такова заплаха
Ако искате да видите какво е копирането на фишинг, вече съм го написал подробно в тази статия. Нивото на изтънченост при атака срещу копиране с копие може да се различава в зависимост от наличните ресурси на хакера.
Но като цяло, целта е да се създаде имейл, който напълно имитира какво ще получи жертвата от доверено лице. Това означава, че тези имейли често нямат признаци на измамно послание. Тъй като изглежда легитимно, тя поглъща охраната на жертвата, което ги прави по-податливи на невнимание да навредят на себе си или на фирмите, в които са наети.
Ето страшната част: имейл съобщението дори може да дойде от адреса на някой, на когото жертвата се доверява, заблуждавайки името и други подробности и хвърляйки традиционните методи за откриване на аромата.
Как алгоритмите намират имейлите
Независимо от факта, че имейлите с копиране на копие обикновено изглеждат легитимни в сравнение със съобщенията, разпространявани чрез традиционния "лотариен" фишинг стил, копието не е толкова остра, колкото изглежда. Всяко фалшиво съобщение има своето разказване. В този конкретен случай става дума за извършване на прост евристичен анализ на всички съобщения, изпратени до и от пострадалия, като се наблюдават модели както на езика на тялото, така и на съдържанието на заглавката в имейла.
Ако например имате контакт, който обикновено ви изпраща съобщения от Съединените щати и внезапно получавате съобщение от същия контакт от Нигерия, това може да е червено знаме. Алгоритъмът, известен като "Редактирано сканиране за аномалии" (DAS), също така разглежда самото съобщение за признаци на подозрително съдържание. Например, ако в електронната поща има връзка към уебсайт и системата забелязва, че никой друг служител във фирмата ви не е посетил, това може да бъде означено като нещо подозрително. Съобщението може да бъде допълнително анализирано, за да се определи "репутацията" на URL адресите, съдържащи се в него.
Тъй като повечето нападатели ще излъжат само името на подателя, а не имейл адреса си, алгоритъмът може също така да опита да свърже името на подателя с имейл, използван през последните няколко месеца. Ако името и имейлът на подателя не отговарят на нищо, използвано в миналото, това ще доведе до аларми.
Накратко, алгоритъмът на DAS ще сканира съдържанието на имейла, неговия хедър и корпоративните логове на LDAP, за да вземе решение дали имейлът е резултат от опит за копиране на копие или е просто странно, но легитимно съобщение. В тестването си, анализиращо 370 милиона електронни писма, DAS е открила 17 от 19 опита и е имала фалшива положителна честота от 0, 004%. Не е зле!
Сега ето още един въпрос: Смятате ли, че скенерите за електронна поща нарушават личния живот на хората, дори когато се използват в затворена корпоративна среда само за откриване на измами? Нека да обсъдим това в коментарите!