I denna tid av cyberattacker och dataintrång, de flesta e -postanvändare är på jakt efter, och förstå de potentiella riskerna med, meddelanden och bilagor som kommer från okända källor.

Dock, att vaksamhet ensam kanske inte räcker för att hålla dig skyddad, enligt ny forskning från Virginia Tech som undersöker den växande sofistikeringen av nätfiskeattacker.

Tillsammans med smartare skrivande, nu kan driftiga hackare förfalska e -postadressen till en pålitlig vän, medarbetare, eller företag och skicka förfalskade mejl till offer. Med rätt mängd social engineering, det är lätt att få viktig och känslig information från en intet ont anande mottagare med en enkel begäran.

"Den här typen av nätfiskeattacker är särskilt farliga, "sa Gang Wang, en biträdande professor i datavetenskap vid Virginia Tech's College of Engineering. "Tekniken förändras så snabbt, och nu kan en hacker enkelt få din information. Denna information kan användas för att begå cyberangrepp som gör att det inte är något irriterande, som att behöva hantera ett bankkonto som har hackats, allvarliga konsekvenser av fysiskt liv och död om information, till exempel, till ett sjukhus datorstorlek erhålls. "

Ett av Wangs forskningsområden är för närvarande inriktat på att studera hur man motarbetar dessa attacker. Han kommer att presentera ett papper om sina senaste fynd vid det 27:e årliga USENIX Security Symposium i Baltimore, Maryland, i Augusti.

Phishing -attacker har involverat nästan hälften av de mer än 2, 000 bekräftade säkerhetsöverträdelser som rapporterats av Verizon under de senaste två åren. Dessa överträdelser orsakar läckage av miljarder poster och kostar miljontals dollar att rätta till beroende på den berörda branschen och dess geografiska läge.

Förfalskning, där angriparen utger sig för att vara en betrodd enhet, är ett kritiskt steg i genomförandet av nätfiskeattacker. Dagens e -postsystem har ingen mekanism för att helt förhindra förfalskning.

"SMTP -systemet som vi använder idag är utformat utan säkerhet i åtanke, "sa Wang." Det är något som har plågat systemet sedan dess start. "

Säkerhetsåtgärder infördes för att skydda mot förfalskningsattacker efteråt och förlita sig på e -postleverantörer för att implementera strategier med hjälp av SMTP -tillägg, t.ex. SPF (avsändarpolicy -ramverk), DKIM (DomainKeys Identified Mail), och DMARC (Domain-based Message Authentication), för att autentisera avsändaren. Mätningar som gjordes av forskargruppen 2018 tyder på att bland Alexas bästa 1 miljon domäner, 45 procent har SPF, 5 procent har DMARC, och ännu färre är korrekt eller strikt konfigurerade.

För studien, forskargruppernas metodik var inriktad på att inrätta end-to-end spoofing-experiment på populära e-postleverantörer som används av miljarder användare. De gjorde detta genom att skapa användarkonton under e -posttjänsterna som e -postmottagare och använda en experimentell server för att skicka förfalskade e -postmeddelanden, med en falsk avsändaradress, till mottagarkontot.

Den falska avsändaradressen är nyckeln till studien eftersom detta är en kritisk del av autentiseringsprocessen. Om den falska domänen har en giltig SPF, DKIM, eller DMARC -post, sedan mottagaren, i teorin, kan upptäcka förfalskning.

Spoofing kan göras med befintliga kontakter eller samma e -postleverantör som den avsedda mottagaren.

För detta ändamål, forskare använde fem olika typer av e -postinnehåll för studien:ett tomt e -postmeddelande, ett tomt mejl med en godartad URL, ett tomt mejl med en godartad bilaga, ett godartat mejl med verkligt innehåll, och ett nätfiske -e -postmeddelande med innehåll som efterliknar teknisk support för att meddela och rätta till ett säkerhetsbrott genom att hänvisas till en webbadress.

Totalt, studien använde 35 populära e -posttjänster, som Gmail, iCloud, och Outlook. Forskarna fann att e -postleverantörer tenderar att gynna e -postleverans framför säkerhet. När ett e -postmeddelande misslyckades med autentisering, de flesta e -postleverantörer, inklusive Gmail och iCloud, levererade fortfarande e -postmeddelandet så länge protokollet för den falska domänen inte var att avvisa det.

Forskarna fann också att endast sex e -posttjänster har visat säkerhetsindikatorer på förfalskade e -postmeddelanden, inklusive Gmail, Protonmail, Naver, Mail.ru, 163.com, och 126.com. Endast fyra e -posttjänster visar konsekvent säkerhetsindikatorer på sina mobila e -postappar. Mänskliga faktorer är fortfarande en svag länk i slutet-till-slut-processen, så forskargruppen inramade studien för att förstå användarnas e -postvanor.

I Wangs studie, klickfrekvensen för personer som fick e-postmeddelandet med en säkerhetsindikator var 17,9 procent. Utan en säkerhetsanvisning, var 26,1 procent. Eftersom inte alla som fick ett phishing -mejl öppnade e -postmeddelandet, laget beräknade också klickfrekvensen för alla användare som öppnade e-postmeddelandet, vilket resulterar i högre räntor på 48,9 procent och 37,2 procent.

Rekommendationer från studien inkluderar antagande av SPF, DKIM, och DMARC för att autentisera e -postmeddelanden, och om ett e -postmeddelande levereras till en inkorg, e -postleverantörer bör placera en säkerhetsindikator, t.ex. Googles röda frågetecken på e -postmeddelandet, att varna användare för de potentiella riskerna.

Teamet rekommenderade också konsekvens bland e -postleverantörer för olika gränssnitt. För närvarande utsätts mobilanvändare för högre risker på grund av bristen på säkerhetsindikatorer. Och slutligen, studien rekommenderade att vilseledande element, till exempel en "profilbild" och e -post "historik, "inaktiveras på misstänkta e -postmeddelanden.

Med så många e -postmeddelanden som levereras dagligen, Det är förvånande att det inte finns fler framgångsrika nätfiskekampanjer.

"Det krävs egentligen bara ett mejl för att orsaka säkerhetsbrott, sa Wang.