Có một nhánh của kỹ thuật lừa đảo email đang bắt đầu để làm cho các viên đạn, và nó được gọi là spear phishing. Loại lừa đảo mới này đã có xu hướng tăng ổn định kể từ năm 2015, khiến các công ty chịu lỗ lớn và rút hàng triệu đô la khỏi nền kinh tế vào tay những kẻ tin tặc.

Nó đã nhận được rất nhiều sự chú ý trong những năm gần đây vào ngày 18 tháng 8 năm 2017, Facebook đã trao giải thưởng Internet Defense hàng năm cho một nhóm các nhà nghiên cứu từ Đại học California, Berkeley, đã quản lý để tạo ra một dự án phát hiện phishing tự động. Họ đã xuất bản một bài báo hữu ích về chủ đề này sẽ giúp chúng tôi có được những cái đinh bằng đồng về việc phát hiện lừa đảo giáo nên hoạt động như thế nào trong môi trường doanh nghiệp.

Điều gì làm cho Spear Phishing như một mối đe dọa

Nếu bạn muốn một tóm tắt về những gì phishing spear là, tôi đã viết về nó ở độ dài trong bài viết này. Mức độ tinh tế trong cuộc tấn công lừa đảo giáo có thể khác nhau tùy theo tài nguyên có sẵn cho hacker.

Nhưng nói chung, mục tiêu là tạo một email hoàn toàn giống với những gì nạn nhân sẽ nhận được từ một cá nhân đáng tin cậy. Điều này có nghĩa rằng những email cụ thể này thường sẽ thiếu các dấu hiệu của một tin nhắn lừa đảo. Vì nó có vẻ hợp pháp, nó sẽ bảo vệ nạn nhân, khiến họ dễ bị vô tình gây hại cho bản thân hoặc các công ty nơi họ được tuyển dụng.

Đây là phần đáng sợ: thông điệp email thậm chí có thể đến từ địa chỉ của người mà nạn nhân tin tưởng, giả mạo tên và các chi tiết khác và ném các phương pháp phát hiện truyền thống ra khỏi mùi hương của nó.

Cách các thuật toán phát hiện email

Mặc dù thực tế là các email lừa đảo giáo thường trông rất hợp pháp so với các thư được phân phối bằng cách sử dụng kiểu lừa đảo "xổ số" truyền thống, ngọn giáo không sắc nét như nó trông. Mọi tin nhắn giả đều có thông báo của nó. Trong trường hợp cụ thể này, tất cả là về việc phân tích heuristic đơn giản tất cả các tin nhắn được gửi đến và từ nạn nhân, phát hiện các mẫu trong cả ngôn ngữ của nội dung và nội dung của tiêu đề trong email.

Ví dụ: nếu bạn có một liên hệ thường gửi thư cho bạn từ Hoa Kỳ và đột nhiên nhận được thư từ cùng một liên hệ có nguồn gốc từ Nigeria, đó có thể là một lá cờ đỏ. Thuật toán, được gọi là Ghi điểm bất thường định hướng (DAS) cũng xem xét thông điệp cho các dấu hiệu của nội dung đáng ngờ. Ví dụ: nếu có một liên kết trong email đến một trang web và hệ thống thông báo rằng không có nhân viên nào khác trong công ty của bạn đã truy cập vào trang web, điều này có thể được đánh dấu là một điều đáng ngờ. Thông điệp có thể được phân tích sâu hơn để xác định “uy tín” của các URL chứa bên trong.

Vì hầu hết kẻ tấn công sẽ chỉ giả mạo tên người gửi chứ không phải địa chỉ email của họ, thuật toán cũng có thể cố gắng tương quan tên người gửi với email được sử dụng trong vài tháng qua. Nếu tên người gửi và email không tương ứng với bất kỳ thứ gì được sử dụng trong quá khứ, điều đó sẽ tăng báo động.

Tóm lại, thuật toán DAS sẽ quét nội dung của email, tiêu đề của nó và các bản ghi LDAP của công ty để đưa ra quyết định về việc liệu các kết quả email từ một nỗ lực lừa đảo giáo hay chỉ là một thông điệp kỳ lạ nhưng hợp pháp. Trong thử nghiệm của nó phân tích 370 triệu email, DAS đã phát hiện 17 trong số 19 lần thử và có tỷ lệ dương tính giả là 0, 004%. Không tệ!

Bây giờ đây là một vấn đề khác: Bạn có nghĩ rằng máy quét email vi phạm quyền riêng tư của cá nhân, ngay cả khi được sử dụng trong môi trường doanh nghiệp khép kín hoàn toàn cho việc phát hiện lừa đảo? Hãy thảo luận điều này trong phần bình luận!