Hvordan Spear Phishing (Targeted Scam) Detection Works
Der er et udslag af e-mail scamming teknikker, der begynder at gøre runderne, og det kaldes spyd phishing. Denne nye type phishing har været konstant stigende siden 2015, hvilket gør virksomhederne ramt enorme tab og dræner millioner af dollars fra økonomien til hænderne på initiativrige hackere.
Det har fået så meget opmærksomhed i de senere år, at Facebook den 18. august 2017 tildelte sin årlige internetforsvarspris til en gruppe forskere fra University of California, Berkeley, der formåede at oprette et automatiseret spydfiskeopdagelsesprojekt. De har udgivet et nyttigt papir om emnet, som vil hjælpe os med at komme til messing tacks om hvordan spyd phishing afsløring skal fungere i et corporate miljø.
Hvad gør Spear Phishing sådan en trussel
Hvis du vil have en oversigt over, hvad spyd phishing er, har jeg allerede skrevet om det i længden i denne artikel. Niveauet af raffinement i et phishing-angreb på spyd kan variere alt efter de ressourcer, der er tilgængelige for hackeren.
Men generelt er målet at skabe en e-mail, der perfekt efterligner det, som offeret ville modtage fra en betroet person. Det betyder, at disse særlige e-mails ofte mangler tegn på en svindelmeddelelse. Da det ser legitimt ud, bliver det offerets vagt nede, hvilket gør dem mere modtagelige for utilsigtet at skade sig selv eller de virksomheder, hvor de er ansat.
Her er den skræmmende del: e-mail-meddelelsen kan endda komme fra adressen til nogen, som offeret tillader, spoofing navn og andre detaljer og smider traditionelle detektionsmetoder ud af sin duft.
Hvordan Algoritmer Spot Emails
På trods af, at spyd phishing-e-mails typisk ser meget legitime ud i forhold til de meddelelser, der distribueres ved hjælp af den traditionelle "lotteri" -fishing-stil, er spydet ikke så skarpt som det ser ud. Hver falsk besked har sin fortælling. I dette særlige tilfælde handler det om at lave en simpel heuristisk analyse af alle de beskeder, der sendes til og fra offeret, spotting mønstre i både kroppens sprog og indholdet af overskriften i e-mailen.
Hvis du for eksempel har en kontakt, der normalt sender dig besked fra USA og pludselig modtager en besked fra samme kontakt fra Nigeria, kan det være et rødt flag. Algoritmen, kendt som Directed Anomaly Scoring (DAS) ser også på meddelelsen selv for tegn på mistænkeligt indhold. Hvis der f.eks. Er et link i e-mailen til et websted, og systemet bemærker, at ingen andre medarbejdere i dit firma har besøgt det, kan det markeres som noget mistænkeligt. Beskeden kunne analyseres yderligere for at bestemme "hæderlighed" for webadresserne indeholdt i.
Da de fleste angriberne kun spoof afsendernavnet og ikke deres e-mail-adresse, kan algoritmen også forsøge at korrelere afsendernavnet til en e-mail, der blev brugt inden for de sidste par måneder. Hvis afsenderens navn og e-mail ikke svarer til noget, der tidligere blev brugt, vil det øge alarmerne.
I en nøddeskal vil DAS-algoritmen scanne indholdet af e-mailen, dets overskrift og virksomhedens LDAP-logfiler for at tage stilling til, om e-mailen skyldes et forsøg på phishing-phishing eller bare er en underlig, men legitim besked. I sin testkørsel, der analyserede 370 millioner e-mails, har DAS opdaget 17 ud af 19 forsøg og haft en falsk positiv sats på 0, 004%. Ikke dårligt!
Nu er der et andet problem: Tror du, at e-mail-scannere krænker privatlivets fred for personer, selv når de anvendes i et lukket virksomhedsmiljø udelukkende til påvisning af svindel? Lad os diskutere dette i kommentarerne!