Crédito CC0:domínio público
Ataques laterais de phishing - golpes direcionados a usuários de contas de e-mail comprometidas dentro de uma organização - estão se tornando uma preocupação crescente nos EUA.
Enquanto no passado os invasores enviavam golpes de phishing de contas de e-mail externas a uma organização, recentemente, houve uma explosão de golpes transmitidos por e-mail em que um invasor compromete contas de e-mail dentro das organizações, e usa essas contas para lançar e-mails de phishing internos para colegas de trabalho - o tipo de ataque conhecido como phishing lateral.
E quando um e-mail de phishing vem de uma conta interna, a grande maioria dos sistemas de segurança de e-mail não consegue impedi-lo. Os sistemas de segurança existentes detectam amplamente ataques cibernéticos vindos de fora, contando com sinais como IP e reputação de domínio, que são ineficazes quando o e-mail vem de uma fonte interna. Ataques laterais de phishing também são caros. Show de dados do FBI, por exemplo, que esses ataques cibernéticos causaram mais de US $ 12 bilhões em perdas entre 2013-2018. E nos últimos dois anos, os ataques resultaram em um aumento de 136% nas perdas.
Para aliviar este problema crescente, Asaf Cidon, membro do Data Science Institute, ajudou a desenvolver um protótipo de detector baseado em aprendizado de máquina que detecta e interrompe automaticamente ataques de phishing laterais.
O detector usa vários recursos para impedir ataques, incluindo detectar se o destinatário se afasta de alguém com quem um funcionário normalmente se comunicaria; se o texto do e-mail é semelhante a outros ataques de phishing conhecidos; e se o link é anômalo. O detector pode detectar a grande maioria desses ataques com uma taxa de alta precisão e uma baixa taxa de falsos positivos - menos de quatro falsos positivos para cada milhão de emails enviados por funcionários.
Cidon fez parte de uma equipe de pesquisa que analisou um conjunto de dados de 113 milhões de e-mails enviados por funcionários de quase 100 empresas. Eles também caracterizaram 147 incidentes de phishing laterais, cada um envolvendo pelo menos um e-mail de phishing. O estudo foi realizado em conjunto com a Barracuda Networks, uma empresa de segurança de rede que forneceu dados de seus clientes aos pesquisadores com o objetivo de desenvolver um detector de phishing lateral.
Os pesquisadores também escreveram um artigo sobre o estudo, Detectando e caracterizando phishing lateral em escala, que recentemente ganhou o prêmio Distinguished Paper Award na Usenix Security 2019, uma conferência líder em segurança cibernética.
“Os ataques analisados neste estudo representam um dos tipos de ataques cibernéticos mais difíceis de detectar automaticamente, uma vez que emanam da conta de um funcionário interno, "disse Cidon, professor assistente de Engenharia Elétrica e Ciência da Computação (afiliado em conjunto) na Columbia Engineering e também membro do Data Science Institute. "A chave para impedir esses ataques direcionados de engenharia social é usar métodos baseados em aprendizado de máquina que podem contar com o contexto exclusivo do remetente, destinatário e organização. "
Quando os invasores lançam um ataque de phishing, seu objetivo é convencer o usuário de que o e-mail é legítimo e persuadi-lo a realizar uma determinada ação. Qual a melhor maneira de convencer um usuário de que um e-mail é legítimo, Portanto, do que usando uma conta de e-mail hackeada de um colega que eles conhecem e confiam. E em phishing lateral, invasores utilizam uma conta de e-mail comprometida para enviar e-mails de phishing para outros usuários na organização, beneficiando-se da confiança implícita de colegas e das informações na conta do usuário sequestrado. Os classificadores que Cidon ajudou a desenvolver procuram anomalias nos padrões de comunicação. Por exemplo, os classificadores sinalizariam um funcionário enviando repentinamente uma explosão de emails com links obscuros ou um funcionário excluindo sistematicamente emails de suas pastas de itens enviados - tentando mascarar seus golpes.
Com base nesse tipo de ataque de phishing, bem como de uma coleção de incidentes relatados por usuários, os pesquisadores usaram o aprendizado de máquina para quantificar a escala de phishing lateral, identificar conteúdo temático e estratégias de direcionamento de destinatários usadas pelos invasores. Em seguida, eles foram capazes de caracterizar duas estratégias que os invasores usaram para adaptar seus ataques:adaptação de conteúdo e nome. Adaptação de conteúdo é a forma como o invasor adapta o conteúdo do e-mail para obrigar o destinatário a clicar no link e cair no e-mail de phishing. A adaptação de conteúdo mais comum que eles descobriram foi um conteúdo genérico de phishing (por exemplo, "Você recebeu um novo documento, clique aqui para abrir "). Mas eles também descobriram que alguns invasores adaptaram o e-mail ao contexto específico da organização (por exemplo, "Consulte o anúncio em anexo sobre o aniversário de 25 anos da Acme"). Adaptação de nome é como os invasores personalizam o e-mail para um destinatário usando seu nome e função na organização (por exemplo, "Prumo, reveja o pedido de compra em anexo, "e, neste caso, Bob trabalha em contabilidade).
Algumas das principais conclusões da análise de mais de 100 milhões de e-mails que comprometeram cerca de 100 organizações incluem:
Cidon diz que esses tipos de ataques representam a nova fronteira do crime cibernético:ataques altamente personalizados em que os invasores estão dispostos a passar dias e semanas "fazendo reconhecimento".
"Neste estudo, focamos no phishing lateral baseado em link, "acrescenta Cidon." Ainda há muito trabalho a fazer, Contudo, na exploração de ataques sem links ou ataques que combinem outras mídias sociais, como mensagens de texto e voz. Mas esperamos que nosso detector ajude a combater o flagelo crescente dos ataques laterais de phishing. "
