Il team sviluppa un rilevatore che blocca gli attacchi di phishing laterale

Credito:CC0 Dominio Pubblico

Gli attacchi di phishing laterale, ovvero le truffe che prendono di mira gli utenti da account di posta elettronica compromessi all'interno di un'organizzazione, stanno diventando una preoccupazione crescente negli Stati Uniti.

Mentre in passato gli aggressori inviavano truffe di phishing da account di posta elettronica esterni a un'organizzazione, di recente si è verificata un'esplosione di truffe via e-mail in cui un aggressore compromette gli account di posta elettronica all'interno delle organizzazioni, e quindi utilizza quegli account per lanciare e-mail di phishing interne ai colleghi, il tipo di attacchi noti come phishing laterale.

E quando un'e-mail di phishing proviene da un account interno, la stragrande maggioranza dei sistemi di sicurezza della posta elettronica non può fermarlo. I sistemi di sicurezza esistenti rilevano in gran parte gli attacchi informatici che provengono dall'esterno, basandosi su segnali come IP e reputazione del dominio, che sono inefficaci quando l'e-mail proviene da una fonte interna. Anche gli attacchi di phishing laterale sono costosi. I dati dell'FBI mostrano, ad esempio, che questi attacchi informatici hanno causato perdite per oltre 12 miliardi di dollari tra il 2013 e il 2018. E negli ultimi due anni, gli attacchi hanno provocato un aumento del 136 per cento delle perdite.

Per alleviare questo problema crescente, Asaf Cidon, membro del Data Science Institute, ha aiutato a sviluppare un prototipo di un rilevatore basato sull'apprendimento automatico che rileva e blocca automaticamente gli attacchi di phishing laterale.

Il rilevatore utilizza diverse funzioni per bloccare gli attacchi, compreso rilevare se il destinatario si discosta da qualcuno con cui un dipendente normalmente comunicherebbe; se il testo dell'e-mail è simile ad altri attacchi di phishing noti; e se il collegamento è anomalo. Il rilevatore è in grado di rilevare la stragrande maggioranza di questi attacchi con un'elevata precisione e un basso tasso di falsi positivi, inferiore a quattro falsi positivi per ogni milione di e-mail inviate dai dipendenti.

Cidon faceva parte di un team di ricerca che ha analizzato un set di dati di 113 milioni di email inviate dai dipendenti da quasi 100 aziende. Hanno anche caratterizzato 147 incidenti di phishing laterale, ognuno dei quali ha coinvolto almeno un'e-mail di phishing. Lo studio è stato condotto in collaborazione con Barracuda Networks, una società di sicurezza di rete che ha fornito dati sui propri clienti ai ricercatori con l'obiettivo di sviluppare un rilevatore per il phishing laterale.

I ricercatori hanno anche scritto un articolo sullo studio, Rilevamento e caratterizzazione del phishing laterale su larga scala, che ha recentemente vinto un Distinguished Paper Award a Usenix Security 2019, una conferenza leader sulla sicurezza informatica.

"Gli attacchi analizzati in questo studio rappresentano uno dei tipi di attacchi informatici più difficili da rilevare automaticamente, poiché provengono dall'account di un dipendente interno, " disse Cidone, un Assistant Professor di Ingegneria Elettrica e Informatica (affiliato congiuntamente) presso la Columbia Engineering e membro del Data Science Institute. "La chiave per fermare tali attacchi mirati di ingegneria sociale è utilizzare metodi basati sull'apprendimento automatico che possono fare affidamento sul contesto unico del mittente, destinatario e organizzazione”.

Quando gli aggressori lanciano un attacco di phishing, il loro obiettivo è convincere l'utente che l'e-mail è legittima e persuaderlo a eseguire una determinata azione. Quale modo migliore per convincere un utente che un'e-mail è legittima, perciò, piuttosto che utilizzando un account di posta elettronica compromesso da un collega che conoscono e di cui si fidano. E nel phishing laterale, gli aggressori sfruttano un account e-mail compromesso per inviare e-mail di phishing ad altri utenti dell'organizzazione, beneficiando della fiducia implicita dei colleghi e delle informazioni nell'account dell'utente dirottato. I classificatori che Cidon ha contribuito a sviluppare cercano anomalie nei modelli di comunicazione. Ad esempio, i classificatori segnalano un dipendente che invia improvvisamente una serie di e-mail con collegamenti oscuri o un dipendente che elimina sistematicamente le e-mail dalle cartelle degli elementi inviati, cercando di mascherare le loro truffe.

Attingendo a questo tipo di attacchi di phishing, nonché da una raccolta di incidenti segnalati dagli utenti, i ricercatori hanno utilizzato l'apprendimento automatico per quantificare la portata del phishing laterale, identificare i contenuti tematici e le strategie di targeting dei destinatari utilizzate dagli aggressori. Sono quindi stati in grado di caratterizzare due strategie utilizzate dagli aggressori per personalizzare i loro attacchi:il contenuto e la personalizzazione del nome. La personalizzazione del contenuto è il modo in cui l'attaccante adatta il contenuto dell'e-mail per costringere il destinatario a fare clic sul collegamento e cadere nell'e-mail di phishing. L'adattamento dei contenuti più comune che hanno scoperto è stato un contenuto di phishing generico (ad esempio, "Hai ricevuto un nuovo documento, clicca qui per aprire"). Ma hanno anche scoperto che alcuni aggressori hanno adattato l'e-mail al contesto specifico dell'organizzazione (ad es. "Si prega di consultare l'annuncio allegato sul 25° anniversario di Acme"). La personalizzazione del nome è il modo in cui gli aggressori personalizzano l'e-mail per un destinatario utilizzando il suo nome e il suo ruolo nell'organizzazione (ad es. "Bob, si prega di rivedere l'ordine di acquisto allegato, " e in questo caso Bob lavora in contabilità).

Alcuni risultati chiave della loro analisi di oltre 100 milioni di email che hanno compromesso quasi 100 organizzazioni includono:

Oltre il 10% degli incidenti si traduce in un'ulteriore compromissione interna riuscita (questa è una percentuale di ordini di grandezza superiore rispetto agli attacchi originati dall'esterno).
La maggior parte degli attacchi sono e-mail di phishing relativamente semplici. Ma una percentuale significativa di aggressori adatta pesantemente le proprie e-mail in base al ruolo del destinatario e al contesto dell'organizzazione.
Più del 30% degli aggressori si impegna in qualche tipo di comportamento sofisticato:nascondendo la propria presenza nell'attacco (ad es. l'eliminazione delle e-mail in uscita) o interagendo con il destinatario dell'attacco per assicurarsi che abbia successo.

Cidon afferma che questi tipi di attacchi rappresentano la nuova frontiera del crimine informatico:attacchi altamente personalizzati in cui gli aggressori sono disposti a trascorrere giorni e settimane "facendo ricognizione".

"In questo studio ci siamo concentrati sul phishing laterale basato sui link, " aggiunge Cidon. "C'è ancora una grande mole di lavoro da fare, però, nell'esplorare attacchi senza collegamenti o attacchi che combinano altri mezzi sociali come messaggi di testo e voce. Ma speriamo che il nostro rilevatore aiuti a combattere la crescente piaga degli attacchi di phishing laterale".

Sport dal vivo, l'ultima arma nella guerra dello streaming televisivo

Google citato in giudizio dai regolatori australiani per il monitoraggio della posizione

Elettronica

Il Regno Unito mette in guardia sulle truffe di trading online

La connessione tecnologica potenzia gli agricoltori verticali di New York

Prima interruzione netta dell'Iran per isolare efficacemente un'intera nazione

Scienza

Ossido di alluminio trovato in un Giove ultra caldo

Il satellite osserva la tempesta tropicale Jose che agita le acque costiere

Vuoi agire sui cambiamenti climatici ma non sai come fare? Modificare queste 3 parti della tua vita farà la differenza più grande