Hvordan Spear Phishing (Targeted Scam) Detection Works
Det er en offshoot av e-post-svindelteknikker som begynner å gjøre runder, og det kalles spyd phishing. Denne nye typen phishing har vært på en jevn oppadgående trend siden 2015, noe som gjør at selskaper lider store tap og drenerer millioner av dollar fra økonomien til hendene på initiativrike hackere.
Det har fått så mye oppmerksomhet de siste årene at Facebook den 18. august 2017 tildelte sin årlige Internett-forsvarspris til en gruppe forskere fra University of California, Berkeley, som klarte å skape et automatisert spydfiskeoppdagingsprosjekt. De har publisert et nyttig papir om emnet som vil hjelpe oss med å få tak i messinghjelpene om hvordan spyddeteksjonssporing skal fungere i et bedriftsmiljø.
Hva gjør Spear Phishing en slik trussel
Hvis du vil ha en oversikt over hva spyd phishing er, har jeg allerede skrevet om det i lengden i denne artikkelen. Nivået på raffinement i et phishing-angrep på spyd kan variere i henhold til ressursene som er tilgjengelige for hackeren.
Men generelt er målet å skape en e-post som perfekt etterligner hva offeret ville motta fra en betrodd person. Dette betyr at disse e-postene ofte mangler tegn på en svindelmelding. Siden det ser legitimt ut, blir det offerets vakt ned, noe som gjør dem mer utsatt for å utilsiktet gjøre skade for seg selv eller selskapene der de er ansatt.
Her er skummel del: e-postmeldingen kan til og med komme fra adressen til noen offerets tillit, spoofing navnet og andre detaljer og kaster tradisjonelle gjenkjenningsmetoder av sin duft.
Hvordan Algoritmer Spot Emails
Til tross for det faktum at spyd phishing-e-postmeldinger vanligvis ser veldig legitime ut i forhold til meldingene som distribueres ved hjelp av den tradisjonelle "lotteri" -fiskestilen, er spydet ikke så skarpt som det ser ut. Hver falsk melding har sin fortelling. I dette tilfellet handler det om å lage en enkel heuristisk analyse av alle meldingene som sendes til og fra offeret, spotting mønstre i både kroppens språk og innholdet i toppteksten i e-posten.
Hvis du for eksempel har en kontakt som vanligvis sender deg beskjed fra USA, og plutselig mottar en melding fra samme kontakt fra Nigeria, kan det være et rødt flagg. Algoritmen, kjent som Directed Anomaly Scoring (DAS), ser også på meldingen selv for tegn på mistenkelig innhold. For eksempel, hvis det er en kobling i e-posten til et nettsted og systemet merker at ingen andre ansatte i firmaet har besøkt det, kan dette markeres som noe mistenkelig. Meldingen kunne analyseres ytterligere for å bestemme "anerkjennelse" av nettadressene som finnes i.
Siden de fleste angripere bare vil spoof avsendernavnet og ikke deres e-postadresse, kan algoritmen også forsøke å korrelere avsendernavnet til en e-post som brukes de siste månedene. Hvis avsenderens navn og e-post ikke samsvarer med noe som er brukt tidligere, vil det øke alarmer.
I et nøtteskall vil DAS-algoritmen skanne innholdet i e-posten, overskriften og bedriftens LDAP-logger for å avgjøre om e-posten kommer fra et forsøk på phishing-phishing eller bare en merkelig, men legitim melding. I testkjøringen som analyserte 370 millioner e-post, har DAS oppdaget 17 av 19 forsøk og hadde en falsk positiv rate på 0, 004%. Ikke verst!
Nå er det et annet problem: Tror du at e-postskannere bryter personvernet til privatpersoner, selv når de brukes i et lukket bedriftsmiljø bare for å oppdage svindel? La oss diskutere dette i kommentarene!