Datalogiforsker møder opdaterede phishing -angreb på hovedet

I denne tidsalder med cyberangreb og databrud, de fleste e -mail -brugere er på udkig efter, og forstå de potentielle risici ved, meddelelser og vedhæftede filer fra ukendte kilder.

Imidlertid, at årvågenhed alene måske ikke er nok til at holde dig beskyttet, ifølge ny forskning fra Virginia Tech, der undersøger den voksende raffinement af phishing -angreb.

Sammen med klogere skrivning, nu kan initiativrige hackere forfalde e -mailadressen til en betroet ven, medarbejder, eller virksomhed og sende forfalskede e -mails til ofre. Med den rigtige mængde social engineering, det er let at skaffe vigtige og følsomme oplysninger fra en intetanende modtager med en simpel anmodning.

"Den slags phishing -angreb er især farlige, "sagde Gang Wang, en assisterende professor i datalogi i Virginia Tech's College of Engineering. "Teknologien ændrer sig så hurtigt, og nu kan en hacker nemt få dine oplysninger. Disse oplysninger kan bruges til at begå cyberangreb, der kører spektret fra at være mildt irriterende, som at skulle håndtere en checkkonto, der er blevet hacket, til alvorlige konsekvenser af fysisk liv og død, hvis information, for eksempel, til et hospitals computermainframe opnås. "

Et af Wangs forskningsområder er i øjeblikket fokuseret på at studere, hvordan man kan modvirke disse angreb. Han vil præsentere et papir om sine nylige resultater på det 27. årlige USENIX Security Symposium i Baltimore, Maryland, i august.

Phishing -angreb har involveret næsten halvdelen af ​​de mere end 2, 000 bekræftede sikkerhedsbrud rapporteret af Verizon i de sidste to år. Disse overtrædelser forårsager lækage af milliarder af poster og koster millioner af dollars at rette op afhængigt af den berørte industri og dens geografiske placering.

Forfalskning, hvor angriberen efterligner en betroet enhed, er et kritisk trin i udførelsen af ​​phishing -angreb. Dagens e -mail -system har ingen mekanisme til fuldt ud at forhindre spoofing.

"Det SMTP -system, vi bruger i dag, er designet uden sikkerhed i tankerne, "sagde Wang." Det er noget, der har plaget systemet siden dets begyndelse. "

Sikkerhedsforanstaltninger blev iværksat for at beskytte mod spoofing -angreb i virkeligheden og stole på e -mail -udbydere til at implementere strategier ved hjælp af SMTP -udvidelser, f.eks. SPF (afsenderpolitisk ramme), DKIM (DomainKeys Identified Mail), og DMARC (domænebaseret meddelelsesgodkendelse), at godkende afsenderen. Målinger foretaget af forskergruppen i 2018 indikerer, at blandt Alexas top 1 million domæner, 45 procent har SPF, 5 procent har DMARC, og endnu færre er konfigureret korrekt eller strengt.

Til undersøgelsen, forskergruppernes metodik var centreret om at oprette end-to-end spoofing-eksperimenter på populære e-mail-udbydere, der bruges af milliarder af brugere. De gjorde dette ved at oprette brugerkonti under mål -e -mail -tjenesterne som e -mail -modtager og bruge en eksperimentel server til at sende forfalskede e -mails, med en falsk afsenderadresse, til modtagerkontoen.

Den forfalskede afsenderadresse er nøglen til undersøgelsen, da dette er en kritisk del af godkendelsesprocessen. Hvis det forfalskede domæne har en gyldig SPF, DKIM, eller DMARC -rekord, derefter modtageren, i teorien, er i stand til at opdage forfalskning.

Spoofing kan udføres ved hjælp af eksisterende kontakter eller den samme e -mailudbyder som den tiltænkte modtager.

Til denne ende, forskere brugte fem forskellige typer e -mailindhold til undersøgelsen:en tom e -mail, en tom e -mail med en godartet URL, en tom e -mail med en godartet vedhæftet fil, en godartet e -mail med faktisk indhold, og en phishing -e -mail med indhold, der efterligner teknisk support for at underrette og rette et sikkerhedsbrud ved at blive dirigeret til en webadresse.

I alt, undersøgelsen brugte 35 populære e -mail -tjenester, f.eks. Gmail, iCloud, og Outlook. Forskerne fandt ud af, at e -mail -udbydere har en tendens til at favorisere e -mail -levering frem for sikkerhed. Når en e -mail mislykkedes med godkendelse, de fleste e -mail -udbydere, herunder Gmail og iCloud, leverede stadig e -mailen, så længe protokollen for det forfalskede domæne ikke skulle afvise den.

Forskerne fandt også ud af, at kun seks e -mail -tjenester har vist sikkerhedsindikatorer på forfalskede e -mails, herunder Gmail, Protonmail, Naver, Mail.ru, 163.com, og 126.com. Kun fire e -mail -tjenester viser konsekvent sikkerhedsindikatorer på deres mobile e -mail -apps. Menneskelige faktorer er stadig et svagt led i ende-til-ende-processen, så forskerholdet indrammede undersøgelsen for at forstå brugernes e -mail -vaner.

I Wangs undersøgelse, klikfrekvensen for personer, der modtog e-mailen med en sikkerhedsindikator, var 17,9 procent. Uden en sikkerhedsnøgle, satsen var 26,1 procent. Fordi ikke alle, der modtog en phishing -e -mail, åbnede e -mailen, teamet beregnede også klikfrekvensen for alle brugere, der åbnede e-mailen, hvilket resulterer i højere satser på 48,9 procent og 37,2 procent.

Anbefalinger fra undersøgelsen omfatter vedtagelse af SPF, DKIM, og DMARC for at godkende e -mails, og hvis en e -mail leveres til en indbakke, e -mail -udbydere bør placere en sikkerhedsindikator, f.eks. Googles røde spørgsmålstegn på e -mailen, at advare brugerne om de potentielle risici.

Teamet anbefalede også konsistens blandt e -mail -udbydere til forskellige grænseflader. I øjeblikket er mobilbrugere udsat for højere risici på grund af manglen på sikkerhedsindikatorer. Og endelig, undersøgelsen anbefalede, at vildledende elementer, f.eks. et "profilbillede" og en "e -mail" -historik, "deaktiveres på mistænkelige e -mails.

Da der bliver leveret så mange mails dagligt, det er overraskende, at der ikke er flere vellykkede phishing -kampagner.

"Det tager virkelig kun en e -mail at forårsage et sikkerhedsbrud, "sagde Wang.