Начинает распространяться разновидность метода мошенничества по электронной почте, называемая целевым фишингом. Этот новый вид фишинга имел устойчивую тенденцию к росту с 2015 года заставляет компании нести огромные убытки и истощение миллионов долларов попадает в руки предприимчивых хакеров.
В последние годы этому вопросу было уделено столько внимания, что 18 августа 2017 года Facebook вручил ежегодную премию Интернет-защиты группе исследователей из Калифорнийского университета в Беркли, которым удалось создать проект автоматического обнаружения целевого фишинга. Они опубликовали полезная статья по теме , которая поможет нам понять, как должно работать обнаружение целевого фишинга в корпоративной среде.
Что делает целевой фишинг такой угрозой
Если вам нужно краткое изложение того, что такое целенаправленный фишинг, я уже подробно писал об этом в этой статье . Уровень сложности целевой фишинговой атаки может различаться в зависимости от ресурсов, доступных хакеру.
Но в целом цель состоит в том, чтобы создать электронное письмо, которое идеально имитирует то, что жертва получила бы от доверенного лица. Это означает, что в этих конкретных электронных письмах часто отсутствуют признаки мошеннического сообщения. Поскольку это выглядит законным, оно ослабляет бдительность жертвы, делая ее более уязвимой к непреднамеренному причинению вреда себе или компаниям, в которых они работают.
И вот что самое страшное: сообщение электронной почты может даже прийти с адреса человека, которому доверяет жертва, подделывая имя и другие данные и сбивая с толку традиционные методы обнаружения.
Как алгоритмы распознают электронные письма
Несмотря на то, что целевые фишинговые электронные письма обычно выглядят вполне законными по сравнению с сообщениями, распространяемыми с использованием традиционного фишингового стиля «лотереи», это копье не так остро, как кажется. Каждое фейковое сообщение имеет свое значение. В данном конкретном случае речь идет о простом эвристическом анализе всех сообщений, отправленных жертве и от нее, выявлении закономерностей как в языке тела сообщения, так и в содержании заголовка электронного письма.
Если у вас, например, есть контакт, который обычно отправляет вам сообщения из США, а затем внезапно получаете сообщение от того же контакта из Нигерии, это может быть тревожным сигналом. Алгоритм, известный как Directed Anomaly Scoring (DAS), также проверяет само сообщение на наличие признаков подозрительного содержания. Например, если в электронном письме есть ссылка на веб-сайт и система замечает, что никто из других сотрудников вашей компании не посещал его, это может быть помечено как что-то подозрительное. Сообщение можно дополнительно проанализировать, чтобы определить «авторитетность» содержащихся в нем URL-адресов.
Поскольку большинство злоумышленников подделывают только имя отправителя, а не его адрес электронной почты, алгоритм также может попытаться сопоставить имя отправителя с электронным письмом, которое использовалось в течение последних нескольких месяцев. Если имя отправителя и адрес электронной почты не соответствуют ничему, что использовалось ранее, это вызовет тревогу.
Короче говоря, алгоритм DAS сканирует содержимое электронного письма, его заголовок и корпоративные журналы LDAP, чтобы принять решение о том, является ли электронное письмо результатом попытки целевого фишинга или это просто странное, но законное сообщение. В ходе тестового запуска, проанализировавшего 370 миллионов электронных писем, DAS обнаружил 17 из 19 попыток и имел уровень ложных срабатываний 0,004%. Неплохо!
А теперь еще один вопрос: считаете ли вы, что сканеры электронной почты нарушают конфиденциальность отдельных лиц, даже если они используются в закрытой корпоративной среде исключительно для обнаружения мошенничества? Давайте обсудим это в комментариях!