Kredit:CC0 Public Domain
Laterala nätfiskeattacker – bedrägerier riktade mot användare från komprometterade e-postkonton inom en organisation – blir ett allt större problem i USA.
Medan angripare tidigare skickade nätfiske från e-postkonton utanför en organisation, nyligen har det skett en explosion av e-postburna bedrägerier där en angripare äventyrar e-postkonton inom organisationer, och använder sedan dessa konton för att skicka interna nätfiske-e-postmeddelanden till andra anställda – den typ av attacker som kallas lateralt nätfiske.
Och när ett nätfiske-e-postmeddelande kommer från ett internt konto, de allra flesta e-postsäkerhetssystem kan inte stoppa det. Befintliga säkerhetssystem upptäcker till stor del cyberattacker som kommer utifrån, förlitar sig på signaler som IP och domänrykte, som är ineffektiva när e-postmeddelandet kommer från en intern källa. Laterala nätfiskeattacker är också kostsamma. FBI-data visar, till exempel, att dessa cyberattacker orsakade mer än 12 miljarder dollar i förluster mellan 2013-2018. Och under de senaste två åren, attackerna har resulterat i en ökning av förlusterna med 136 procent.
För att lindra detta växande problem, Data Science Institute-medlemmen Asaf Cidon hjälpte till att utveckla en prototyp av en maskininlärningsbaserad detektor som automatiskt upptäcker och stoppar laterala nätfiskeattacker.
Detektorn använder flera funktioner för att stoppa attacker, inklusive att upptäcka om mottagaren avviker från någon som en anställd vanligtvis skulle kommunicera med; om e-postmeddelandets text liknar andra kända nätfiskeattacker; och om länken är onormal. Detektorn kan upptäcka den stora majoriteten av dessa attacker med en hög precisionsfrekvens och en låg falsk positiv frekvens – under fyra falska positiva för varje miljon e-postmeddelanden från anställda.
Cidon var en del av ett forskarteam som analyserade en datauppsättning med 113 miljoner anställda skickade e-postmeddelanden från nästan 100 företag. De karakteriserade också 147 laterala nätfiskeincidenter, var och en involverade minst ett nätfiske-e-postmeddelande. Studien genomfördes tillsammans med Barracuda Networks, ett nätverkssäkerhetsföretag som tillhandahållit data om sina kunder till forskarna med målet att utveckla en detektor för lateralt nätfiske.
Forskarna skrev också en artikel om studien, Upptäcka och karakterisera lateralt nätfiske i skala, som nyligen vann ett Distinguished Paper Award på Usenix Security 2019, en ledande cybersäkerhetskonferens.
"Attackerna som analyseras i denna studie representerar en av de svåraste typerna av cyberattacker att upptäcka automatiskt, eftersom de härrör från en intern anställds konto, sa Cidon, en biträdande professor i elektroteknik och datavetenskap (gemensamt ansluten) vid Columbia Engineering samt medlem av Data Science Institute. "Nyckeln till att stoppa sådana riktade socialt utformade attacker är att använda maskininlärningsbaserade metoder som kan lita på avsändarens unika sammanhang, mottagare och organisation."
När angripare inleder en nätfiskeattack, deras mål är att övertyga användaren om att e-postmeddelandet är legitimt och att locka dem att utföra en viss åtgärd. Vilket bättre sätt att övertyga en användare om att ett e-postmeddelande är legitimt, därför, än genom att använda ett hackat e-postkonto från en kollega de känner och litar på. Och i sidonätfiske, angripare utnyttjar ett äventyrat e-postkonto för att skicka nätfiske-e-postmeddelanden till andra användare i organisationen, dra nytta av kollegors underförstådda förtroende och informationen på den kapade användarens konto. Klassificerarna som Cidon hjälpte till att utveckla letar efter anomalier i kommunikationsmönster. Till exempel, klassificerarna skulle flagga för en anställd som plötsligt skickade en serie e-postmeddelanden med obskyra länkar eller en anställd som systematiskt raderade e-postmeddelanden från sina mappar med skickade föremål – och försökte maskera deras bedrägerier.
Utifrån den här typen av nätfiskeattacker, samt från en samling användarrapporterade incidenter, forskarna använde maskininlärning för att kvantifiera omfattningen av lateralt nätfiske, identifiera tematiskt innehåll och strategier för inriktning mot mottagare som angripare använde. De kunde sedan karakterisera två strategier som angripare använde för att skräddarsy sina attacker:innehåll och namnanpassning. Innehållsanpassning är hur angriparen skräddarsyr innehållet i e-postmeddelandet för att tvinga mottagaren att klicka på länken och falla för nätfiskemeddelandet. Det vanligaste innehållsskräddarsytt de upptäckte var ett generiskt nätfiskeinnehåll (t.ex. "Du har fått ett nytt dokument, klicka här för att öppna"). Men de upptäckte också att vissa angripare anpassade e-postmeddelandet till organisationens specifika kontext (t.ex. "Se det bifogade meddelandet om Acmes 25-årsjubileum"). Namnanpassning är hur angriparna anpassar e-postmeddelandet till en mottagare genom att använda hans eller hennes namn och roll i organisationen (t.ex. "Guppa, vänligen granska den bifogade inköpsordern, " och i det här fallet arbetar Bob med redovisning).
Några viktiga resultat från deras analys av mer än 100 miljoner e-postmeddelanden som äventyrade nästan 100 organisationer inkluderar:
Cidon säger att den här typen av attacker representerar den nya gränsen för cyberbrottslighet:mycket personliga attacker där angripare är villiga att spendera dagar och veckor med att "göra spaning".
"I den här studien fokuserade vi på länkbaserat lateralt nätfiske, " tillägger Cidon. "Det återstår fortfarande mycket arbete, dock, i att utforska attacker utan länkar eller attacker som kombinerar andra sociala medier som textmeddelanden och röst. Men vi hoppas att vår detektor hjälper till att bekämpa det växande gisselet av laterala nätfiskeattacker."
