Team udvikler en detektor, der stopper laterale phishing-angreb

Laterale phishing-angreb – svindel rettet mod brugere fra kompromitterede e-mail-konti i en organisation – bliver en stigende bekymring i USA.

Mens angribere tidligere ville sende phishing-svindel fra e-mailkonti eksternt til en organisation, for nylig har der været en eksplosion af e-mail-båren svindel, hvor en angriber kompromitterer e-mail-konti i organisationer, og bruger derefter disse konti til at lancere interne phishing-e-mails til kolleger – den slags angreb kendt som lateral phishing.

Og når en phishing-e-mail kommer fra en intern konto, langt de fleste e-mail-sikkerhedssystemer kan ikke stoppe det. Eksisterende sikkerhedssystemer registrerer stort set cyberangreb, der kommer udefra, stole på signaler som IP og domæneomdømme, som er ineffektive, når e-mailen kommer fra en intern kilde. Laterale phishing-angreb er også dyre. FBI data viser, for eksempel, at disse cyberangreb forårsagede mere end 12 milliarder dollars i tab mellem 2013-2018. Og i de sidste to år, angrebene har resulteret i en stigning på 136 procent i tab.

For at afhjælpe dette voksende problem, Data Science Institute-medlem Asaf Cidon hjalp med at udvikle en prototype af en maskinlæringsbaseret detektor, der automatisk registrerer og stopper laterale phishing-angreb.

Detektoren bruger flere funktioner til at stoppe angreb, herunder opdage, om modtageren afviger fra en medarbejder normalt ville kommunikere med; om e-mailens tekst ligner andre kendte phishing-angreb; og om linket er unormalt. Detektoren kan registrere langt de fleste af disse angreb med en høj præcisionsrate og en lav falsk positiv rate – under fire falske positive for hver million medarbejdersende e-mails.

Cidon var en del af et forskerhold, der analyserede et datasæt med 113 millioner medarbejdersende e-mails fra næsten 100 virksomheder. De karakteriserede også 147 laterale phishing-hændelser, som hver involverede mindst én phishing-e-mail. Undersøgelsen blev udført i samarbejde med Barracuda Networks, et netværkssikkerhedsfirma, der leverede data om sine kunder til forskerne med det mål at udvikle en detektor til lateral phishing.

Forskerne skrev også et papir om undersøgelsen, Detektering og karakterisering af lateral phishing i skala, som for nylig vandt en Distinguished Paper Award ved Usenix Security 2019, en førende cybersikkerhedskonference.

"Angrebene, der er analyseret i denne undersøgelse, repræsenterer en af ​​de sværeste typer cyberangreb at opdage automatisk, da de stammer fra en intern medarbejders konto, " sagde Cidon, en adjunkt i elektroteknik og datalogi (fælles tilknyttet) ved Columbia Engineering samt medlem af Data Science Institute. "Nøglen til at stoppe sådanne målrettede socialt udviklede angreb er at bruge maskinlæringsbaserede metoder, der kan stole på afsenderens unikke kontekst, modtager og organisation."

Når angribere starter et phishing-angreb, deres mål er at overbevise brugeren om, at e-mailen er legitim, og at overtale dem til at udføre en bestemt handling. Hvilken bedre måde at overbevise en bruger om, at en e-mail er legitim, derfor, end ved at bruge en hacket e-mail-konto fra en kollega, de kender og stoler på. Og i lateral phishing, angribere udnytter en kompromitteret e-mail-konto til at sende phishing-e-mails til andre brugere i organisationen, drage fordel af den implicitte tillid fra kolleger og oplysningerne på den kaprede brugers konto. Klassifikatorerne, som Cidon hjalp med at udvikle, kigger efter anomalier i kommunikationsmønstre. For eksempel, klassifikatorerne vil markere en medarbejder, der pludselig sender en byge af e-mails med obskure links, eller en medarbejder, der systematisk sletter e-mails fra hans eller hendes sendte elementer-mapper - og forsøger at maskere deres svindel.

Med udgangspunkt i den slags phishing-angreb, samt fra en samling af brugerrapporterede hændelser, forskerne brugte maskinlæring til at kvantificere omfanget af lateral phishing, identifikation af tematisk indhold og målretningsstrategier for modtagere, som angriberne brugte. De var derefter i stand til at karakterisere to strategier, som angribere brugte til at skræddersy deres angreb:indhold og navnetilpasning. Indholdsskræddersyet er, hvordan hackeren skræddersyer indholdet af e-mailen for at tvinge modtageren til at klikke på linket og falde for phishing-e-mailen. Den mest almindelige skræddersyet indhold, de opdagede, var et generisk phishing-indhold (f.eks. "Du har modtaget et nyt dokument, klik her for at åbne"). Men de fandt også ud af, at nogle angribere skræddersyede e-mailen til organisationens specifikke kontekst (f.eks. "Se venligst den vedhæftede meddelelse om Acmes 25 års jubilæum"). Navnetilpasning er, hvordan angriberne tilpasser e-mailen til en modtager ved at bruge hans eller hendes navn og rolle i organisationen (f.eks. "Bob, gennemgå venligst den vedhæftede indkøbsordre, " og i dette tilfælde arbejder Bob med regnskab).

Nogle nøgleresultater fra deres analyse af mere end 100 millioner e-mails, der kompromitterede næsten 100 organisationer, omfatter:

• Mere end 10 procent af hændelser resulterer i et vellykket yderligere internt kompromis (dette er en størrelsesorden højere procentdel end angreb med oprindelse eksternt).
• Størstedelen af ​​angrebene er relativt simple phishing-e-mails. Men en betydelig procentdel af angriberne skræddersy deres e-mails i overensstemmelse med modtagerens rolle og organisationens kontekst.
• Mere end 30 procent af angriberne engagerer sig i en form for sofistikeret adfærd:enten ved at skjule deres tilstedeværelse i angrebet (f.eks. sletning af udgående e-mails) eller ved at kontakte modtageren af ​​angrebet for at sikre, at det lykkes.

Cidon siger, at disse former for angreb repræsenterer den nye grænse for cyberkriminalitet:meget personlige angreb, hvor angriberne er villige til at bruge dage og uger på at "rekognoscere".

"I denne undersøgelse fokuserede vi på link-baseret lateral phishing, " tilføjer Cidon. "Der er stadig en stor mængde arbejde at gøre, imidlertid, i at udforske angreb uden links eller angreb, der kombinerer andre sociale medier såsom tekstbeskeder og stemme. Men vi håber, at vores detektor hjælper med at bekæmpe den voksende svøbe af laterale phishing-angreb."