Laterale phishing-aanvallen - oplichting gericht op gebruikers van gecompromitteerde e-mailaccounts binnen een organisatie - worden een steeds groter probleem in de VS.

Terwijl in het verleden aanvallers phishing-scams stuurden vanaf e-mailaccounts buiten een organisatie, onlangs is er een explosie geweest van oplichting via e-mail waarbij aanvallers e-mailaccounts binnen organisaties compromitteren, en gebruikt die accounts vervolgens om interne phishing-e-mails naar collega's te sturen, het soort aanvallen dat laterale phishing wordt genoemd.

En wanneer een phishing-e-mail afkomstig is van een intern account, de overgrote meerderheid van e-mailbeveiligingssystemen kan het niet stoppen. Bestaande beveiligingssystemen detecteren grotendeels cyberaanvallen die van buitenaf komen, vertrouwen op signalen zoals IP en domeinreputatie, die niet effectief zijn wanneer de e-mail afkomstig is van een interne bron. Laterale phishing-aanvallen zijn ook kostbaar. FBI-gegevens laten zien, bijvoorbeeld, dat deze cyberaanvallen tussen 2013-2018 meer dan $ 12 miljard aan verliezen hebben veroorzaakt. En in de afgelopen twee jaar, de aanslagen hebben geleid tot een toename van 136 procent in verliezen.

Om dit groeiende probleem op te lossen, Asaf Cidon, lid van het Data Science Institute, hielp bij de ontwikkeling van een prototype van een op machine learning gebaseerde detector die laterale phishing-aanvallen automatisch detecteert en stopt.

De detector gebruikt verschillende functies om aanvallen te stoppen, inclusief het detecteren of de ontvanger afwijkt van iemand met wie een werknemer gewoonlijk zou communiceren; of de tekst van de e-mail vergelijkbaar is met andere bekende phishing-aanvallen; en of de link abnormaal is. De detector kan de overgrote meerderheid van deze aanvallen detecteren met een hoge precisie en een laag percentage valse positieven - minder dan vier valse positieven voor elke miljoen door medewerkers verzonden e-mails.

Cidon maakte deel uit van een onderzoeksteam dat een dataset analyseerde van 113 miljoen door medewerkers verzonden e-mails van bijna 100 bedrijven. Ze karakteriseerden ook 147 laterale phishing-incidenten, die elk ten minste één phishing-e-mail bevatten. Het onderzoek is uitgevoerd in samenwerking met Barracuda Networks, een netwerkbeveiligingsbedrijf dat gegevens over zijn klanten aan de onderzoekers verstrekte met als doel een detector voor laterale phishing te ontwikkelen.

De onderzoekers schreven ook een paper over het onderzoek, Laterale phishing op grote schaal detecteren en karakteriseren, die onlangs een Distinguished Paper Award won op Usenix Security 2019, een toonaangevende conferentie over cyberbeveiliging.

"De aanvallen die in dit onderzoek zijn geanalyseerd, vormen een van de moeilijkste soorten cyberaanvallen om automatisch te detecteren, aangezien ze afkomstig zijn van een interne werknemersaccount, " zei Cidon, Universitair Docent Elektrotechniek en Informatica (gezamenlijk verbonden) aan Columbia Engineering en lid van het Data Science Institute. "De sleutel tot het stoppen van dergelijke gerichte social-engineered aanvallen is het gebruik van op machine learning gebaseerde methoden die kunnen vertrouwen op de unieke context van de afzender, ontvanger en organisatie."

Wanneer aanvallers een phishing-aanval lanceren, hun doel is om de gebruiker ervan te overtuigen dat de e-mail legitiem is en om hem over te halen een bepaalde actie uit te voeren. Wat is een betere manier om een ​​gebruiker ervan te overtuigen dat een e-mail legitiem is, daarom, dan door een gehackt e-mailaccount te gebruiken van een collega die ze kennen en vertrouwen. En bij laterale phishing, aanvallers gebruiken een gecompromitteerd e-mailaccount om phishing-e-mails naar andere gebruikers in de organisatie te sturen, profiteren van het impliciete vertrouwen van collega's en de informatie in het account van de gekaapte gebruiker. De classifiers die Cidon heeft helpen ontwikkelen, zoeken naar anomalieën in communicatiepatronen. Bijvoorbeeld, de classificaties zouden een werknemer markeren die plotseling een uitbarsting van e-mails met obscure links verstuurt of een werknemer die systematisch e-mails verwijdert uit zijn of haar mappen met verzonden items - in een poging om hun oplichting te maskeren.

Op basis van dit soort phishing-aanvallen, evenals uit een verzameling door gebruikers gerapporteerde incidenten, gebruikten de onderzoekers machine learning om de omvang van laterale phishing te kwantificeren, het identificeren van thematische inhoud en targetingstrategieën voor ontvangers die aanvallers hebben gebruikt. Vervolgens konden ze twee strategieën karakteriseren die aanvallers gebruikten om hun aanvallen aan te passen:content en name tailoring. Content tailoring is hoe de aanvaller de inhoud van de e-mail aanpast om de ontvanger te dwingen op de link te klikken en voor de phishing-e-mail te vallen. De meest voorkomende contentaanpassing die ze ontdekten, was generieke phishing-content (bijvoorbeeld "U heeft een nieuw document ontvangen, klik hier om te openen"). Maar ze ontdekten ook dat sommige aanvallers de e-mail afstemden op de specifieke context van de organisatie (bijv. "Zie de bijgevoegde aankondiging over het 25-jarig jubileum van Acme"). Naamaanpassing is hoe de aanvallers de e-mail naar een ontvanger personaliseren door zijn of haar naam en rol in de organisatie te gebruiken (bijv. "Bob, controleer de bijgevoegde bestelbon, " en in dit geval werkt Bob in de boekhouding).

Enkele belangrijke bevindingen uit hun analyse van meer dan 100 miljoen e-mails die bijna 100 organisaties in gevaar brachten, zijn onder meer:

• Meer dan 10 procent van de incidenten resulteert in een succesvol aanvullend intern compromis (dit is een veel groter percentage dan aanvallen van buitenaf).
• De meeste aanvallen zijn relatief eenvoudige phishing-e-mails. Maar een aanzienlijk percentage aanvallers stemt hun e-mails sterk af op de rol van de ontvanger en de context van de organisatie.
• Meer dan 30 procent van de aanvallers vertoont geraffineerd gedrag:ofwel door hun aanwezigheid bij de aanval te verbergen (bijv. door uitgaande e-mails te verwijderen) of door contact op te nemen met de ontvanger van de aanval om ervoor te zorgen dat deze succesvol is.

Cidon zegt dat dit soort aanvallen de nieuwe grens van cybercriminaliteit vertegenwoordigen:zeer gepersonaliseerde aanvallen waarbij aanvallers bereid zijn dagen en weken te besteden aan 'verkenningen'.

"In dit onderzoek hebben we ons gericht op link-based laterale phishing, " voegt Cidon toe. "Er is nog een grote hoeveelheid werk te doen, echter, bij het verkennen van aanvallen zonder links of aanvallen die andere sociale media combineren, zoals sms-berichten en spraak. Maar we hopen dat onze detector de groeiende plaag van laterale phishing-aanvallen helpt bestrijden."