Υπάρχει μια παραλλαγή των τεχνικών απαγόρευσης ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ταχυδρομείου που αρχίζει να κάνει τους γύρους, και ονομάζεται δόλωμα phishing. Αυτός ο νέος τύπος ηλεκτρονικού "ψαρέματος" έχει σταθερά ανοδική τάση από το 2015, με αποτέλεσμα οι εταιρείες να υποφέρουν σε τεράστιες απώλειες και να αποστραγγίζουν εκατομμύρια δολάρια από την οικονομία στα χέρια των επιχειρηματικών χάκερ.

Έλαβε τόση προσοχή τα τελευταία χρόνια που στις 18 Αυγούστου 2017 το Facebook απονεμήθηκε το ετήσιο Βραβείο Αμυντικής Διασφάλισης Διαδικτύου σε μια ομάδα ερευνητών του Πανεπιστημίου της Καλιφόρνιας του Μπέρκλεϊ, που κατάφερε να δημιουργήσει ένα αυτοματοποιημένο πρόγραμμα ανίχνευσης phishing. Έχουν δημοσιεύσει ένα χρήσιμο έγγραφο σχετικά με το θέμα, το οποίο θα μας βοηθήσει να φτάσουμε στο χάλκινο καρφί για το πώς η ανίχνευση δόλιου phishing θα πρέπει να λειτουργεί σε ένα εταιρικό περιβάλλον.

Τι κάνει το Spear Phishing μια τέτοια απειλή

Εάν θέλετε μια καταμέτρηση σχετικά με το δόλωμα phishing είναι, έχω ήδη γράψει σχετικά με αυτό σε μεγάλο βαθμό σε αυτό το άρθρο. Το επίπεδο εξειδίκευσης σε μια επίθεση δόλιου phishing μπορεί να διαφέρει ανάλογα με τους πόρους που διαθέτει ο χάκερ.

Σε γενικές γραμμές, ο στόχος είναι να δημιουργηθεί ένα μήνυμα ηλεκτρονικού ταχυδρομείου που μιμείται τέλεια τι θα λάμβανε το θύμα από ένα αξιόπιστο άτομο. Αυτό σημαίνει ότι αυτά τα συγκεκριμένα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά δεν έχουν τα σημάδια ενός μηνύματος απάτης. Δεδομένου ότι φαίνεται νόμιμο, παίρνει κάτω από το φρουρό του θύματος, καθιστώντας τους πιο επιρρεπή σε ακούσια να κάνει κακό για τον εαυτό τους ή τις εταιρείες όπου απασχολούνται.

Εδώ είναι το τρομακτικό κομμάτι: το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να προέρχεται και από τη διεύθυνση κάποιας εμπιστοσύνης του θύματος, την ψευδαίσθηση του ονόματος και άλλων λεπτομερειών και την απόρριψη των παραδοσιακών μεθόδων ανίχνευσης.

Πώς οι Αλγόριθμοι εντοπίζουν τα μηνύματα ηλεκτρονικού ταχυδρομείου

Παρά το γεγονός ότι τα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος με δόλωμα φαίνονται συνήθως πολύ νόμιμα σε σύγκριση με τα μηνύματα που διανέμονται χρησιμοποιώντας το παραδοσιακό στυλ "λαχειοφόρου" phishing, το δόρυ δεν είναι τόσο απότομο όσο φαίνεται. Κάθε ψεύτικο μήνυμα έχει το λέει. Σε αυτή τη συγκεκριμένη περίπτωση πρόκειται για μια απλή ευρετική ανάλυση όλων των μηνυμάτων που αποστέλλονται προς και από το θύμα, εντοπίζοντας μοτίβα τόσο στη γλώσσα του σώματος όσο και στο περιεχόμενο της κεφαλίδας του μηνύματος ηλεκτρονικού ταχυδρομείου.

Εάν, για παράδειγμα, έχετε μια επαφή που συνήθως σας στέλνει μηνύματα από τις Ηνωμένες Πολιτείες και λαμβάνετε ξαφνικά ένα μήνυμα από την ίδια επαφή που προέρχεται από τη Νιγηρία, αυτό θα μπορούσε να είναι μια κόκκινη σημαία. Ο αλγόριθμος, ο οποίος είναι γνωστός ως Σκοπός βαθμολόγησης ανωμαλιών (DAS), εξετάζει επίσης το ίδιο το μήνυμα για σημάδια ύποπτου περιεχομένου. Για παράδειγμα, εάν υπάρχει ένας σύνδεσμος εντός του μηνύματος ηλεκτρονικού ταχυδρομείου σε έναν ιστότοπο και το σύστημα ειδοποιεί ότι δεν έχουν επισκεφθεί άλλοι υπάλληλοι της εταιρείας σας, αυτό θα μπορούσε να επισημανθεί ως κάτι ύποπτο. Το μήνυμα θα μπορούσε να αναλυθεί περαιτέρω για να προσδιοριστεί η "αξιοπιστία" των διευθύνσεων URL που περιέχονται μέσα.

Δεδομένου ότι οι περισσότεροι επιτιθέμενοι θα αποτύχουν μόνο το όνομα του αποστολέα και όχι τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους, ο αλγόριθμος μπορεί επίσης να προσπαθήσει να συσχετίσει το όνομα του αποστολέα με ένα email που χρησιμοποιήθηκε τους τελευταίους μήνες. Αν το όνομα και το email του αποστολέα δεν αντιστοιχούν σε τίποτα που χρησιμοποιήθηκε στο παρελθόν, αυτό θα προκαλέσει συναγερμούς.

Με λίγα λόγια, ο αλγόριθμος DAS θα σαρώσει το περιεχόμενο του μηνύματος ηλεκτρονικού ταχυδρομείου, της κεφαλίδας του και των εταιρικών αρχείων καταγραφής LDAP για να αποφασίσει εάν το μήνυμα ηλεκτρονικού ταχυδρομείου προκύπτει από απόπειρα ηλεκτρονικού ψαρέματος ή είναι απλά ένα παράξενο αλλά νόμιμο μήνυμα. Στη δοκιμαστική δοκιμή που ανάλυσε 370 εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου, η DAS ανίχνευσε 17 από τις 19 απόπειρες και είχε ψευδώς θετικό ποσοστό 0, 004%. Δεν είναι κακό!

Τώρα, εδώ υπάρχει ένα άλλο ζήτημα: Πιστεύετε ότι οι σαρωτές ηλεκτρονικού ταχυδρομείου παραβιάζουν την ιδιωτική ζωή των ατόμων, ακόμη και όταν χρησιμοποιούνται σε κλειστό εταιρικό περιβάλλον αποκλειστικά για την ανίχνευση απάτης; Ας το συζητήσουμε στα σχόλια!