橫向網(wǎng)絡(luò)釣魚(yú)攻擊(針對(duì)組織中受感染電子郵件帳戶的用戶的騙局)在美國(guó)日益受到關(guān)注。

過(guò)去，攻擊者會(huì)從組織外部的電子郵件帳戶發(fā)送網(wǎng)絡(luò)釣魚(yú)詐騙，而最近，電子郵件傳播的詐騙激增，攻擊者會(huì)破壞組織內(nèi)部的電子郵件帳戶，然后使用這些帳戶向內(nèi)部員工發(fā)送內(nèi)部網(wǎng)絡(luò)釣魚(yú)電子郵件。 -這種攻擊稱為側(cè)向網(wǎng)絡(luò)釣魚(yú)。

當(dāng)網(wǎng)絡(luò)釣魚(yú)電子郵件來(lái)自內(nèi)部帳戶時(shí)，絕大多數(shù)電子郵件安全系統(tǒng)都無(wú)法阻止它?，F(xiàn)有的安全系統(tǒng)主要依靠IP和域信譽(yù)等信號(hào)來(lái)檢測(cè)來(lái)自外部的網(wǎng)絡(luò)攻擊，當(dāng)電子郵件來(lái)自內(nèi)部來(lái)源時(shí)，這些攻擊無(wú)效。橫向網(wǎng)絡(luò)釣魚(yú)攻擊也很昂貴。例如，F(xiàn)BI數(shù)據(jù)顯示，這些網(wǎng)絡(luò)攻擊在2013-2018年間造成了超過(guò)120億美元的損失。在過(guò)去兩年中，這些攻擊造成的損失增加了136%。

為了緩解這一日益嚴(yán)重的問(wèn)題，數(shù)據(jù)科學(xué)研究所成員Asaf Cidon幫助開(kāi)發(fā)了一種基于機(jī)器學(xué)習(xí)的檢測(cè)器原型，該檢測(cè)器可以自動(dòng)檢測(cè)并阻止橫向網(wǎng)絡(luò)釣魚(yú)攻擊。

檢測(cè)器使用多種功能來(lái)阻止攻擊，包括檢測(cè)接收者是否偏離了員工通常會(huì)與之通信的對(duì)象;電子郵件的文本是否類似于其他已知的網(wǎng)絡(luò)釣魚(yú)攻擊;以及鏈接是否異常。該檢測(cè)器可以以較高的準(zhǔn)確率和較低的誤報(bào)率檢測(cè)到這些攻擊中的絕大多數(shù)-在每100萬(wàn)員工發(fā)送的電子郵件中有4次誤報(bào)。

Cidon是研究小組的成員，該小組分析了來(lái)自近100個(gè)企業(yè)的1.13億員工發(fā)送的電子郵件的數(shù)據(jù)集。他們還分析了147起橫向網(wǎng)絡(luò)釣魚(yú)事件，每起事件都涉及至少一封網(wǎng)絡(luò)釣魚(yú)電子郵件。這項(xiàng)研究是與梭子魚(yú)網(wǎng)絡(luò)(Barracuda Networks)聯(lián)合進(jìn)行的，梭子魚(yú)網(wǎng)絡(luò)是一家網(wǎng)絡(luò)安全公司，旨在為研究人員提供有關(guān)其客戶的數(shù)據(jù)，目的是開(kāi)發(fā)一種用于橫向網(wǎng)絡(luò)釣魚(yú)的檢測(cè)器。

研究人員還寫(xiě)了一篇有關(guān)該研究的論文《大規(guī)模檢測(cè)和表征橫向網(wǎng)絡(luò)釣魚(yú)》，最近在領(lǐng)先的網(wǎng)絡(luò)安全會(huì)議Usenix Security 2019上獲得了杰出論文獎(jiǎng)。

哥倫比亞大學(xué)電氣工程與計(jì)算機(jī)科學(xué)系助理教授Cidon說(shuō)：“本研究分析的攻擊是最難檢測(cè)到的網(wǎng)絡(luò)攻擊類型之一，因?yàn)樗鼈儼l(fā)自內(nèi)部員工的帳戶。”工程學(xué)以及數(shù)據(jù)科學(xué)研究所的成員。阻止這種有針對(duì)性的社會(huì)工程攻擊的關(guān)鍵是使用基于機(jī)器學(xué)習(xí)的方法，這些方法可以依賴于發(fā)件人，收件人和組織的獨(dú)特上下文。”

當(dāng)攻擊者發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊時(shí)，其目的是說(shuō)服用戶該電子郵件是合法的，并誘使他們執(zhí)行特定的操作。因此，通過(guò)使用他們所認(rèn)識(shí)和信任的同事的被黑電子郵件帳戶，比說(shuō)服用戶相信電子郵件是合法的更好的方法。在橫向網(wǎng)絡(luò)釣魚(yú)中，攻擊者利用受損的電子郵件帳戶向組織中的其他用戶發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件，這得益于同事的隱式信任以及被劫持用戶帳戶中的信息。Cidon幫助開(kāi)發(fā)的分類器可以查找通信模式中的異常情況。例如，分類器會(huì)標(biāo)記一個(gè)雇員突然發(fā)送一連串帶有模糊鏈接的電子郵件，或者標(biāo)記一個(gè)雇員從其已發(fā)送郵件文件夾中系統(tǒng)地刪除電子郵件-試圖掩蓋他們的騙局。

利用此類網(wǎng)絡(luò)釣魚(yú)攻擊以及一系列用戶報(bào)告的事件，研究人員使用機(jī)器學(xué)習(xí)來(lái)量化橫向網(wǎng)絡(luò)釣魚(yú)的規(guī)模，確定攻擊者使用的主題內(nèi)容和收件人定向策略。然后，他們能夠確定攻擊者用來(lái)定制攻擊的兩種策略：內(nèi)容和名稱定制。內(nèi)容剪裁是攻擊者如何剪裁電子郵件的內(nèi)容，以迫使收件人單擊鏈接并陷入網(wǎng)絡(luò)釣魚(yú)電子郵件。他們發(fā)現(xiàn)的最常見(jiàn)的內(nèi)容剪裁是一般的網(wǎng)絡(luò)釣魚(yú)內(nèi)容(例如，“您收到了新文檔，請(qǐng)單擊此處打開(kāi)”)。但是他們還發(fā)現(xiàn)，某些攻擊者是根據(jù)組織的特定情況定制電子郵件的(例如，“

他們對(duì)影響近100個(gè)組織的1億多封電子郵件的分析得出的一些主要發(fā)現(xiàn)包括：

超過(guò)10%的事件導(dǎo)致成功的附加內(nèi)部折衷(這比外部發(fā)起的攻擊高出幾個(gè)數(shù)量級(jí))。

大多數(shù)攻擊是相對(duì)簡(jiǎn)單的網(wǎng)絡(luò)釣魚(yú)電子郵件。但是，很大一部分攻擊者的確會(huì)根據(jù)收件人的角色和組織的上下文對(duì)電子郵件進(jìn)行大量定制。

超過(guò)30%的攻擊者采取某種復(fù)雜的行為：通過(guò)隱藏其在攻擊中的存在(例如，刪除外發(fā)電子郵件)或與攻擊的接收者進(jìn)行接觸以確保成功。Cidon說(shuō)，這類攻擊代表了網(wǎng)絡(luò)犯罪的新領(lǐng)域：高度個(gè)性化的攻擊，攻擊者愿意花數(shù)天和數(shù)周的時(shí)間進(jìn)行“偵察”。

Cidon補(bǔ)充說(shuō)：“在這項(xiàng)研究中，我們專注于基于鏈接的橫向網(wǎng)絡(luò)釣魚(yú)。“但是，在探索沒(méi)有鏈接的攻擊或結(jié)合其他社交媒體(例如短信和語(yǔ)音)的攻擊時(shí)，仍有大量工作要做。但是我們希望我們的探測(cè)器能夠應(yīng)對(duì)日益嚴(yán)重的橫向網(wǎng)絡(luò)釣魚(yú)攻擊。”