Hur Spear Phishing (Targeted Scam) Detection Works
Det finns ett skott av e-postbedrägeri tekniker som börjar göra rundor, och det kallas spjutfiskning. Denna nya typ av phishing har varit stadigt uppåtgående sedan 2015, vilket gör att företag drabbas av enorma förluster och dränerar miljoner dollar från ekonomin till händerna på initiativande hackare.
Det har fått mycket uppmärksamhet under de senaste åren att Facebook den 18 augusti 2017 tilldelade sitt årliga Internetförsvarspris till en grupp forskare från University of California, Berkeley, som lyckades skapa ett automatiserat spjutfiskefåglingsprojekt. De har publicerat ett användbart papper om ämnet som kommer att hjälpa oss att komma till mässing tacks om hur spjutfiske upptäckt ska fungera i en företagsmiljö.
Vad gör Spear Phishing en sådan hot
Om du vill ha en översikt över vad spjutfiskning är, har jag redan skrivit om det i längden i den här artikeln. Nivån på sofistikering i ett spjutfiskefiskeangrepp kan skilja sig från de resurser som finns tillgängliga för hackern.
Men i allmänhet är målet att skapa ett mail som perfekt efterliknar vad offret skulle få från en betrodd person. Det innebär att de här e-postmeddelandena ofta saknar tecken på ett bluffmeddelande. Eftersom det ser legitimt ut, blir det offerets vakt nere, vilket gör dem mer mottagliga för att oavsiktligt skada sig själva eller de företag där de är anställda.
Här är den skrämmande delen: E-postmeddelandet kan till och med komma ifrån adressen till någon som offrets förtroende, spoofing namn och andra detaljer och kasta traditionella detekteringsmetoder av doften.
Hur Algoritmer Spot The Emails
Trots det faktum att spjut phishing-e-postmeddelanden oftast ser väldigt legitima ut i förhållande till meddelandena som distribueras med den traditionella "lotteri" -fiske-stilen, är spjutet inte så skarpt som det ser ut. Varje falskt budskap har sin berättelse. I det här fallet handlar det om att göra en enkel heuristisk analys av alla meddelanden som skickas till och från offret, spottingmönster i både kroppens språk och innehållet i rubriken i e-postmeddelandet.
Om du till exempel har en kontakt som vanligtvis meddelar dig från USA och plötsligt får ett meddelande från samma kontakt från Nigeria, kan det vara en röd flagga. Algoritmen, känd som Directed Anomaly Scoring (DAS), tittar också på meddelandet själv för tecken på misstänkt innehåll. Om det till exempel finns en länk inom e-postmeddelandet till en webbplats och systemet märker att inga andra anställda i ditt företag har besökt det, kan det markeras som något misstänkt. Meddelandet kunde analyseras vidare för att bestämma "ansvarsförmågan" för de webbadresser som finns i.
Eftersom de flesta attackerare bara spoof avsändarens namn och inte deras e-postadress kan algoritmen också försöka korrelera avsändarens namn till ett e-postmeddelande som används under de senaste månaderna. Om avsändarens namn och e-post inte överensstämmer med någonting som används tidigare, kommer det att öka larm.
I en nötskal, kommer DAS-algoritmen att skanna innehållet i e-postmeddelandet, dess rubrik och LDAP-loggar för företag för att fatta beslut om huruvida e-posten är resultatet av ett spjutfiskeförsök eller bara ett konstigt men legitimt meddelande. I sin testkörning som analyserade 370 miljoner e-postmeddelanden har DAS upptäckt 17 av 19 försök och hade en falsk positiv takt på 0, 004%. Inte dåligt!
Nu är det här ett annat problem: Tror du att e-postläsare bryter mot privatlivets fred för privatpersoner, även när de används i en stängd företagsmiljö endast för att upptäcka bedrägerier? Låt oss diskutera detta i kommentarerna!