横向网络钓鱼攻击(针对组织中受感染电子邮件帐户的用户的骗局)在美国日益受到关注。
过去,攻击者会从组织外部的电子邮件帐户发送网络钓鱼诈骗,而最近,电子邮件传播的诈骗激增,攻击者会破坏组织内部的电子邮件帐户,然后使用这些帐户向内部员工发送内部网络钓鱼电子邮件。 -这种攻击称为侧向网络钓鱼。
当网络钓鱼电子邮件来自内部帐户时,绝大多数电子邮件安全系统都无法阻止它。现有的安全系统主要依靠IP和域信誉等信号来检测来自外部的网络攻击,当电子邮件来自内部来源时,这些攻击无效。横向网络钓鱼攻击也很昂贵。例如,FBI数据显示,这些网络攻击在2013-2018年间造成了超过120亿美元的损失。在过去两年中,这些攻击造成的损失增加了136%。
为了缓解这一日益严重的问题,数据科学研究所成员Asaf Cidon帮助开发了一种基于机器学习的检测器原型,该检测器可以自动检测并阻止横向网络钓鱼攻击。
检测器使用多种功能来阻止攻击,包括检测接收者是否偏离了员工通常会与之通信的对象;电子邮件的文本是否类似于其他已知的网络钓鱼攻击;以及链接是否异常。该检测器可以以较高的准确率和较低的误报率检测到这些攻击中的绝大多数-在每100万员工发送的电子邮件中有4次误报。
Cidon是研究小组的成员,该小组分析了来自近100个企业的1.13亿员工发送的电子邮件的数据集。他们还分析了147起横向网络钓鱼事件,每起事件都涉及至少一封网络钓鱼电子邮件。这项研究是与梭子鱼网络(Barracuda Networks)联合进行的,梭子鱼网络是一家网络安全公司,旨在为研究人员提供有关其客户的数据,目的是开发一种用于横向网络钓鱼的检测器。
研究人员还写了一篇有关该研究的论文《大规模检测和表征横向网络钓鱼》,最近在领先的网络安全会议Usenix Security 2019上获得了杰出论文奖。
哥伦比亚大学电气工程与计算机科学系助理教授Cidon说:“本研究分析的攻击是最难检测到的网络攻击类型之一,因为它们发自内部员工的帐户。”工程学以及数据科学研究所的成员。阻止这种有针对性的社会工程攻击的关键是使用基于机器学习的方法,这些方法可以依赖于发件人,收件人和组织的独特上下文。”
当攻击者发起网络钓鱼攻击时,其目的是说服用户该电子邮件是合法的,并诱使他们执行特定的操作。因此,通过使用他们所认识和信任的同事的被黑电子邮件帐户,比说服用户相信电子邮件是合法的更好的方法。在横向网络钓鱼中,攻击者利用受损的电子邮件帐户向组织中的其他用户发送网络钓鱼电子邮件,这得益于同事的隐式信任以及被劫持用户帐户中的信息。Cidon帮助开发的分类器可以查找通信模式中的异常情况。例如,分类器会标记一个雇员突然发送一连串带有模糊链接的电子邮件,或者标记一个雇员从其已发送邮件文件夹中系统地删除电子邮件-试图掩盖他们的骗局。
利用此类网络钓鱼攻击以及一系列用户报告的事件,研究人员使用机器学习来量化横向网络钓鱼的规模,确定攻击者使用的主题内容和收件人定向策略。然后,他们能够确定攻击者用来定制攻击的两种策略:内容和名称定制。内容剪裁是攻击者如何剪裁电子邮件的内容,以迫使收件人单击链接并陷入网络钓鱼电子邮件。他们发现的最常见的内容剪裁是一般的网络钓鱼内容(例如,“您收到了新文档,请单击此处打开”)。但是他们还发现,某些攻击者是根据组织的特定情况定制电子邮件的(例如,“
他们对影响近100个组织的1亿多封电子邮件的分析得出的一些主要发现包括:
超过10%的事件导致成功的附加内部折衷(这比外部发起的攻击高出几个数量级)。
大多数攻击是相对简单的网络钓鱼电子邮件。但是,很大一部分攻击者的确会根据收件人的角色和组织的上下文对电子邮件进行大量定制。
超过30%的攻击者采取某种复杂的行为:通过隐藏其在攻击中的存在(例如,删除外发电子邮件)或与攻击的接收者进行接触以确保成功。Cidon说,这类攻击代表了网络犯罪的新领域:高度个性化的攻击,攻击者愿意花数天和数周的时间进行“侦察”。
Cidon补充说:“在这项研究中,我们专注于基于链接的横向网络钓鱼。“但是,在探索没有链接的攻击或结合其他社交媒体(例如短信和语音)的攻击时,仍有大量工作要做。但是我们希望我们的探测器能够应对日益严重的横向网络钓鱼攻击。”