Wie die Erkennung von Spear-Phishing (Targeted Scam) funktioniert
Es gibt einen Ableger von E-Mail-Scamming-Techniken, der die Runde macht und Spear-Phishing genannt wird. Diese neue Art von Phishing hat seit 2015 einen stetigen Aufwärtstrend erlebt, der Unternehmen massive Verluste beschert und Millionen von Dollar aus der Wirtschaft in die Hände von unternehmungslustigen Hackern ableitet.
Es hat in den letzten Jahren so viel Aufmerksamkeit erhalten, dass Facebook seinen jährlichen Internet Defense Prize am 18. August 2017 an eine Gruppe von Forschern der Universität von Kalifornien, Berkeley, verliehen hat, die ein automatisiertes Spear-Phishing-Erkennungsprojekt geschaffen haben. Sie haben ein hilfreiches Papier zu diesem Thema veröffentlicht, das uns dabei helfen wird, herauszufinden, wie Spear-Phishing-Erkennung in einer Unternehmensumgebung funktionieren kann.
Was macht Spear Phishing eine solche Bedrohung
Wenn Sie wissen wollen, was Spear Phishing ist, habe ich bereits ausführlich in diesem Artikel darüber geschrieben. Der Entwicklungsgrad eines Spear-Phishing-Angriffs kann sich je nach den verfügbaren Ressourcen für den Hacker unterscheiden.
Im Allgemeinen besteht das Ziel darin, eine E-Mail zu erstellen, die perfekt nachahmt, was das Opfer von einer vertrauenswürdigen Person erhält. Dies bedeutet, dass diese speziellen E-Mails oft nicht die Zeichen einer Betrugsmeldung enthalten. Da es legitim aussieht, verringert es die Schutzfunktion des Opfers und macht sie anfälliger dafür, sich selbst oder den Unternehmen, in denen sie arbeiten, versehentlich Schaden zuzufügen.
Hier ist der gruselige Teil: Die E-Mail-Nachricht könnte sogar von der Adresse eines Menschen stammen, dem das Opfer vertraut, indem sie den Namen und andere Details spoofiert und traditionelle Erkennungsmethoden aus seinem Duft wirft.
Wie Algorithmen die E-Mails erkennen
Trotz der Tatsache, dass Spear-Phishing-E-Mails im Vergleich zu den Nachrichten, die mit dem traditionellen Phishing-Stil "Lotterie" verbreitet werden, in der Regel sehr legitim sind, ist der Speer nicht so scharf, wie er aussieht. Jede falsche Nachricht hat etwas zu erzählen. In diesem speziellen Fall geht es darum, eine einfache heuristische Analyse aller Nachrichten zu erstellen, die an und von dem Opfer gesendet werden, wobei Muster sowohl in der Sprache des Körpers als auch im Inhalt des Headers in der E-Mail gefunden werden.
Wenn Sie zum Beispiel einen Kontakt haben, der Ihnen normalerweise Nachrichten aus den Vereinigten Staaten sendet und plötzlich eine Nachricht von demselben Kontakt aus Nigeria erhält, könnte das eine rote Flagge sein. Der Algorithmus, der als Directed Anomaly Scoring (DAS) bezeichnet wird, betrachtet auch die Nachricht selbst auf Anzeichen von verdächtigem Inhalt. Wenn beispielsweise in der E-Mail eine Verknüpfung zu einer Website vorhanden ist und das System bemerkt, dass keine anderen Mitarbeiter in Ihrer Firma es besucht haben, könnte dies als verdächtig markiert werden. Die Nachricht könnte weiter analysiert werden, um die "Seriösität" der darin enthaltenen URLs zu bestimmen.
Da die meisten Angreifer nur den Absendernamen und nicht ihre E-Mail-Adresse vortäuschen, versucht der Algorithmus möglicherweise auch, den Absendernamen mit einer E-Mail zu korrelieren, die in den letzten Monaten verwendet wurde. Wenn der Name und die E-Mail-Adresse des Absenders nicht mit denen übereinstimmen, die in der Vergangenheit verwendet wurden, werden Alarme ausgelöst.
Kurz gesagt, der DAS-Algorithmus scannt den Inhalt der E-Mail, den Header und die LDAP-Logs des Unternehmens, um zu entscheiden, ob die E-Mail aus einem Spear-Phishing-Versuch resultiert oder ob es sich um eine seltsame, aber legitime Nachricht handelt. In seinem Testlauf, bei dem 370 Millionen E-Mails analysiert wurden, hat das DAS 17 von 19 Versuchen erkannt und hatte eine falsch positive Rate von 0, 004%. Nicht schlecht!
Hier ist ein weiteres Problem: Denken Sie, dass E-Mail-Scanner die Privatsphäre von Personen verletzen, selbst wenn sie in einer geschlossenen Unternehmensumgebung ausschließlich zur Aufdeckung von Betrug verwendet werden? Lassen Sie uns das in den Kommentaren diskutieren!