In deze tijd van cyberaanvallen en datalekken, de meeste e-mailgebruikers zijn op zoek naar, en de mogelijke risico's van, berichten en bijlagen afkomstig van onbekende bronnen.

Echter, dat waakzaamheid alleen misschien niet genoeg is om je te beschermen, volgens nieuw onderzoek van Virginia Tech dat de toenemende verfijning van phishing-aanvallen onderzoekt.

Samen met slimmer schrijven, nu kunnen ondernemende hackers het e-mailadres van een vertrouwde vriend vervalsen, collega, of zaken en stuur valse e-mails naar slachtoffers. Met de juiste hoeveelheid social engineering, het is gemakkelijk om cruciale en gevoelige informatie te verkrijgen van een nietsvermoedende ontvanger met een eenvoudig verzoek.

"Dit soort phishing-aanvallen zijn bijzonder gevaarlijk, " zei Gang Wang, een assistent-professor in de computerwetenschappen aan het Virginia Tech's College of Engineering. "Technologie verandert zo snel, en nu kan een hacker uw informatie gemakkelijk verkrijgen. Deze informatie kan worden gebruikt om cyberaanvallen uit te voeren die enigszins vervelend zijn, zoals te maken hebben met een betaalrekening die is gehackt, tot ernstige gevolgen van lichamelijk leven en dood als informatie, bijvoorbeeld, naar het computer-mainframe van een ziekenhuis wordt verkregen."

Een van de onderzoeksgebieden van Wang is momenteel gericht op het afweren van deze aanvallen. Hij zal een paper over zijn recente bevindingen presenteren op het 27e jaarlijkse USENIX Security Symposium in Baltimore, Maryland, in augustus.

Bij phishing-aanvallen was bijna de helft van de meer dan 2, 000 bevestigde beveiligingsinbreuken gemeld door Verizon in de afgelopen twee jaar. Deze inbreuken veroorzaken het lekken van miljarden records en kosten miljoenen dollars om te corrigeren, afhankelijk van de betrokken sector en de geografische locatie.

spoofen, waarbij de aanvaller zich voordoet als een vertrouwde entiteit, is een cruciale stap bij het uitvoeren van phishing-aanvallen. Het huidige e-mailsysteem heeft geen mechanisme om spoofing volledig te voorkomen.

"Het SMTP-systeem dat we vandaag gebruiken, is ontworpen zonder veiligheid in het achterhoofd, "zei Wang. "Dat is iets dat het systeem sinds het begin heeft geplaagd."

Er zijn beveiligingsmaatregelen genomen om zich achteraf te beschermen tegen spoofing-aanvallen en vertrouwen op e-mailproviders om strategieën te implementeren met behulp van SMTP-extensies, zoals SPF (afzenderbeleidskader), DKIM (DomainKeys Identified Mail), en DMARC (Domain-based Message Authentication), om de afzender te authenticeren. Metingen uitgevoerd door het onderzoeksteam in 2018 geven aan dat onder Alexa's top 1 miljoen domeinen, 45 procent heeft SPF, 5 procent heeft DMARC, en nog minder zijn correct of strikt geconfigureerd.

Voor de studie, De methodologie van de onderzoeksteams was gericht op het opzetten van end-to-end spoofing-experimenten op populaire e-mailproviders die door miljarden gebruikers worden gebruikt. Ze deden dit door gebruikersaccounts in te stellen onder de doel-e-mailservices als de e-mailontvanger en een experimentele server te gebruiken om valse e-mails te verzenden, met een vals afzenderadres, naar de rekening van de ontvanger.

Het vervalste afzenderadres is de sleutel tot het onderzoek, aangezien dit een cruciaal onderdeel is van het authenticatieproces. Als het vervalste domein een geldige SPF heeft, DKIM, of DMARC-record, dan de ontvanger, in theorie, spoofing kan detecteren.

Spoofing kan worden gedaan met behulp van bestaande contacten of dezelfde e-mailprovider als de beoogde ontvanger.

Hiertoe, onderzoekers gebruikten vijf verschillende soorten e-mailinhoud voor het onderzoek:een lege e-mail, een lege e-mail met een goedaardige URL, een lege e-mail met een goedaardige bijlage, een goedaardige e-mail met echte inhoud, en een phishing-e-mail met inhoud die technische ondersteuning imiteert om een ​​beveiligingsinbreuk te melden en te corrigeren door naar een URL te worden geleid.

In totaal, de studie gebruikte 35 populaire e-maildiensten, zoals Gmail, iCloud, en Vooruitzichten. De onderzoekers ontdekten dat e-mailproviders de voorkeur geven aan e-mailbezorging boven beveiliging. Wanneer de authenticatie van een e-mail mislukt, de meeste e-mailproviders, inclusief Gmail en iCloud, nog steeds de e-mail bezorgd zolang het protocol van het vervalste domein het niet zou weigeren.

De onderzoekers ontdekten ook dat slechts zes e-mailservices beveiligingsindicatoren hebben weergegeven op valse e-mails, inclusief Gmail, protonmail, Naver, Mail.ru, 163.com, en 126.com. Slechts vier e-mailservices geven consequent beveiligingsindicatoren weer in hun mobiele e-mailapps. Menselijke factoren blijven nog steeds een zwakke schakel in het end-to-end proces, daarom heeft het onderzoeksteam het onderzoek opgezet om inzicht te krijgen in de e-mailgewoonten van gebruikers.

In de studie van Wang, de doorklikratio voor mensen die de e-mail ontvingen met een beveiligingsindicator was 17,9 procent. Zonder een veiligheidssignaal, het tarief was 26,1 procent. Omdat niet iedereen die een phishingmail ontving de e-mail opende, het team heeft ook de klikfrequentie berekend van alle gebruikers die de e-mail hebben geopend, wat resulteert in hogere tarieven van 48,9 procent en 37,2 procent.

Aanbevelingen uit het onderzoek zijn onder meer het gebruik van SPF, DKIM, en DMARC om e-mails te verifiëren, en als een e-mail in een inbox wordt afgeleverd, e-mailproviders moeten een beveiligingsindicator plaatsen, zoals het rode vraagteken van Google op de e-mail, om gebruikers te waarschuwen voor de mogelijke risico's.

Het team adviseerde ook consistentie tussen e-mailproviders voor verschillende interfaces. Momenteel worden mobiele gebruikers blootgesteld aan hogere risico's vanwege het ontbreken van beveiligingsindicatoren. En tenslotte, de studie aanbevolen dat misleidende elementen, zoals een "profielfoto" en e-mail "geschiedenis, " worden uitgeschakeld bij verdachte e-mails.

Met zoveel e-mails die dagelijks worden bezorgd, het is verrassend dat er niet meer succesvolle phishing-campagnes zijn.

"Er is eigenlijk maar één e-mail nodig om een ​​beveiligingsinbreuk te veroorzaken, " zei Wang.