В то время как в прошлом злоумышленники отправляли фишинговые сообщения из учетных записей электронной почты, внешних по отношению к организации, в последнее время произошел взрыв мошенничества с использованием электронной почты, при котором злоумышленники взламывают учетные записи электронной почты в организациях, а затем используют эти учетные записи для отправки внутренних фишинговых писем другим сотрудникам. – вид атак, известный как боковой фишинг.
И когда фишинговое письмо приходит из внутренней учетной записи, подавляющее большинство систем безопасности электронной почты не может его остановить. Существующие системы безопасности в основном обнаруживают кибератаки, исходящие извне, полагаясь на такие сигналы, как IP-адрес и репутация домена, которые неэффективны, когда электронное письмо приходит из внутреннего источника. Боковые фишинговые атаки также обходятся дорого.
Данные ФБР показывают, например, что эти кибератаки привели к убыткам на сумму более 12 миллиардов долларов в период с 2013 по 2018 год. А за последние два года атаки привели к увеличению убытков на 136 процентов.
Чтобы решить эту растущую проблему, член Data Science Institute Асаф Сидон помог разработать прототип детектора на основе машинного обучения, который автоматически обнаруживает и останавливает боковые фишинговые атаки.
Детектор использует несколько функций для остановки атак, включая определение того, отклоняется ли получатель от того, с кем обычно общается сотрудник; похож ли текст письма на другие известные фишинговые атаки; и является ли ссылка аномальной. Детектор может обнаруживать подавляющее большинство этих атак с высокой точностью и низким уровнем ложных срабатываний – менее четырех ложных срабатываний на каждый миллион электронных писем, отправленных сотрудником.
Cidon был частью исследовательской группы, которая проанализировала набор данных из 113 миллионов электронных писем, отправленных сотрудниками из почти 100 компаний. Они также охарактеризовали 147 случаев бокового фишинга, каждый из которых был связан как минимум с одним фишинговым письмом. Исследование проводилось совместно с Barracuda Networks, компанией по сетевой безопасности, которая предоставила исследователям данные о своих клиентах с целью разработки детектора бокового фишинга.
Исследователи также написали статью об исследовании «Выявление и характеристика бокового фишинга в широком масштабе», которое недавно было удостоено награды Distinguished Paper Award на Usenix Security 2019, ведущей конференции по кибербезопасности.
«Атаки, проанализированные в этом исследовании, представляют собой один из наиболее сложных типов кибератак для автоматического обнаружения, поскольку они исходят из внутренней учетной записи сотрудника», – сказал Сидон, доцент кафедры электротехники и компьютерных наук (совместно) в Колумбии. Инженер, а также член Института науки о данных. «Ключом к остановке таких целенаправленных атак с социальной инженерией является использование методов на основе машинного обучения, которые могут полагаться на уникальный контекст отправителя, получателя и организации."
Когда злоумышленники запускают фишинговую атаку, их цель – убедить пользователя в том, что электронное письмо является законным, и уговорить его выполнить определенное действие.
Следовательно, что может быть лучше способа убедить пользователя в том, что электронное письмо является законным, чем использование взломанной учетной записи электронной почты от коллеги, которого он знает и которому доверяет?. А при боковом фишинге злоумышленники используют скомпрометированную учетную запись электронной почты для отправки фишинговых писем другим пользователям в организации, пользуясь неявным доверием коллег и информацией в учетной записи захваченного пользователя. Классификаторы, которые Cidon помог разработать, ищут аномалии в коммуникативных моделях.
Например, классификаторы будут отмечать сотрудника, который внезапно отправляет серию электронных писем с непонятными ссылками, или сотрудника, систематически удаляющего электронные письма из своих папок отправленных элементов, пытаясь замаскировать свои мошенничества.
Опираясь на такого рода фишинговые атаки, а также на совокупность инцидентов, о которых сообщают пользователи, исследователи использовали машинное обучение для количественной оценки масштабов бокового фишинга, определения тематического контента и стратегий таргетинга на получателей, которые использовали злоумышленники.
Затем они смогли охарактеризовать две стратегии, которые злоумышленники использовали для адаптации своих атак: адаптация контента и имени. Настройка содержимого – это то, как злоумышленник адаптирует содержимое электронного письма, чтобы заставить получателя щелкнуть ссылку и попасть на фишинговое письмо.
Наиболее распространенной адаптацией контента, которую они обнаружили, был общий фишинговый контент (например, «Вы получили новый документ, нажмите здесь, чтобы открыть»). Но они также обнаружили, что некоторые злоумышленники адаптировали электронное письмо к конкретному контексту организации (e.грамм., «См.
Прикрепленное объявление о 25-летнем юбилее компании Acme»). Настройка имени – это то, как злоумышленники персонализируют электронное письмо для получателя, используя его или ее имя и роль в организации (e.грамм., «Боб, просмотрите прикрепленный заказ на покупку», и в этом случае Боб работает в бухгалтерском учете).
Вот некоторые ключевые результаты анализа более 100 миллионов электронных писем, которые скомпрометировали почти 100 организаций:
Более 10 процентов инцидентов приводят к успешной дополнительной внутренней компрометации (это на порядки больше процентов, чем у атак, исходящих извне).
Большинство атак представляют собой относительно простые фишинговые письма. Но значительный процент злоумышленников в значительной степени адаптирует свои электронные письма в соответствии с ролью получателя и контекстом организации.
Более 30 процентов злоумышленников прибегают к изощренному поведению: либо скрывая свое присутствие в атаке (e.грамм., удаление исходящих писем) или путем взаимодействия с получателем атаки, чтобы обеспечить ее успех. Сидон говорит, что такие виды атак представляют собой новый рубеж киберпреступности: высоко персонализированные атаки, при которых злоумышленники готовы тратить дни и недели, «занимаясь разведкой»."
«В этом исследовании мы сосредоточились на боковом фишинге на основе ссылок», – добавляет Сидон. "Однако предстоит еще много работы по изучению атак без ссылок или атак, которые сочетают в себе другие социальные сети, такие как текстовые сообщения и голосовые сообщения. Но мы надеемся, что наш детектор поможет бороться с растущим бичом латеральных фишинговых атак."