Hoe Spear Phishing (Targeted Scam) -detectie werkt
Er is een uitloper van technieken voor het opruimen van e-mail die begint met het maken van rondes, en het wordt spear phishing genoemd. Deze nieuwe vorm van phishing is sinds 2015 gestaag gegroeid, waardoor bedrijven enorme verliezen lijden en miljoenen dollars uit de economie in de handen van ondernemende hackers terechtkomen.
Het heeft de afgelopen jaren zoveel aandacht gekregen dat Facebook op 18 augustus 2017 zijn jaarlijkse internetverdedigingsprijs uitgaf aan een groep onderzoekers van de University of California, Berkeley, die erin slaagde een geautomatiseerd spearphishingdetectieproject te maken. Ze hebben een nuttig document over dit onderwerp gepubliceerd, dat ons zal helpen bij de koperen koppen van hoe speer-phishingdetectie in een bedrijfsomgeving zou moeten werken.
Wat maakt Spear Phishing zo bedreigend
Als je een overzicht wilt van wat spear phishing is, heb ik er al uitgebreid over geschreven in dit artikel. Het niveau van verfijning in een spear-phishing-aanval kan verschillen afhankelijk van de bronnen die beschikbaar zijn voor de hacker.
Maar over het algemeen is het doel om een e-mail te maken die perfect overeenkomt met wat het slachtoffer zou ontvangen van een vertrouwd persoon. Dit betekent dat deze specifieke e-mails vaak de tekenen van een scam-bericht missen. Omdat het er legitiem uitziet, wordt de behoedzaamheid van het slachtoffer laag, waardoor ze vatbaarder worden voor het per ongeluk schaden van zichzelf of de bedrijven waar ze werken.
Hier is het enge deel: het e-mailbericht kan zelfs afkomstig zijn van het adres van iemand die het slachtoffer vertrouwt, de naam en andere details vervalsen en traditionele detectiemethoden uit de lucht gooien.
Hoe algoritmes de e-mails herkennen
Ondanks het feit dat speer-phishing-e-mails er meestal erg legitiem uitzien in vergelijking met de berichten die worden verspreid met de traditionele 'loterij'-stijl, is de speer niet zo scherp als hij eruit ziet. Elke valse boodschap heeft zijn verhaal. In dit specifieke geval gaat het allemaal om het maken van een eenvoudige heuristische analyse van alle berichten die van en naar het slachtoffer worden gestuurd, waarbij patronen in zowel de taal van het lichaam als de inhoud van de koptekst in de e-mail worden gespot.
Als u bijvoorbeeld een contact hebt dat u gewoonlijk vanuit de Verenigde Staten bericht en plotseling een bericht ontvangt van datzelfde contact uit Nigeria, kan dat een rode vlag zijn. Het algoritme, bekend als Directed Anomaly Scoring (DAS), kijkt ook naar het bericht zelf op tekenen van verdachte inhoud. Als er bijvoorbeeld een link in de e-mail naar een website is en het systeem merkt dat geen andere werknemers in uw bedrijf het hebben bezocht, kan dit als verdacht worden gemarkeerd. Het bericht kan verder worden geanalyseerd om de 'reputability' van de URL's te bepalen.
Aangezien de meeste aanvallers alleen de naam van de afzender en niet hun e-mailadres zullen vervalsen, kan het algoritme ook proberen de naam van de afzender te koppelen aan een e-mailadres dat in de afgelopen maanden is gebruikt. Als de naam en e-mail van de afzender niet overeenkomen met iets dat in het verleden is gebruikt, zal dat alarmen veroorzaken.
In een notendop zal het DAS-algoritme de inhoud van de e-mail, de header en bedrijfs-LDAP-logboeken scannen om een beslissing te nemen over de vraag of de e-mail het resultaat is van een spear phishing-poging of een gewoon, maar legitiem bericht is. In de testrun die 370 miljoen e-mails analyseert, heeft DAS 17 van de 19 pogingen ontdekt en een vals-positief cijfer van 0, 004%. Niet slecht!
Nu is hier nog een ander probleem: Denkt u dat e-mailscanners de privacy van personen schenden, zelfs wanneer ze worden gebruikt in een gesloten bedrijfsomgeving puur voor de detectie van oplichting? Laten we dit bespreken in de comments!