HTCinside
Атаки на електронну пошту стають все більш цілеспрямованими та персоналізованими. Кіберзлочинці почали націлюватися на людей не за загальними темами, а за популярними темами, які, безсумнівно, викличуть інтерес цілі. Попри всю паніку, яка циркулює навколо нового коронавірусу, COVID-19 є новою приманкою.
Листи, націлені на COVID, надсилаються людям, щоб змусити людей відкрити та натиснути шкідливі посилання, які не виглядають такими. Під час цієї останньої спроби листи маскуються під повідомлення Центру з контролю та профілактики захворювань, в яких повідомляється, що є екстрена інформація щодо вірусу.
Це спроба використати страх людей перед вірусом.
Хоча фактична передумова не є новою, проблема виникає через наявність нових слів, які проходять повз існуючі фільтри, і тому, що не було передбачуваних шаблонів, які б сприяли створенню нових правил для припинення таких електронних листів.
Крім того, існує невідповідність посилань тексту, що відображається, що також призводить до помилкових спрацьовувань і дозволяє цим листам проходити.
Наразі більшість організацій використовують захищені шлюзи електронної пошти для аналізу та виявлення загроз в електронних листах, які отримують постачальники послуг електронної пошти. Вони також використовуються як механізми виявлення спаму, де ідентифікуються та контролюються шкідливі електронні листи.
Однак видно, що вони не справляються з цією ідентифікацією, коли електронні листи починають використовувати персоналізовані атаки або навіть коли вони дещо відрізняються від попередніх режимів. Тут видно, що більшість цих електронних листів пройшли захист від Mimecast, Proofpoint, Microsoft ATP тощо.
Захищені шлюзи електронної пошти, або SEG, працюють лише ретроспективно, тобто вони можуть вивчати електронні листи лише після їх доставки. Іншими словами, SEG працюють зі списком IP-адрес, які відомі як погані.
Щоб передові технології виявлення аномалій або машинного навчання запрацювали, необхідно надсилати значні обсяги подібних електронних листів. Це стає проблемою, оскільки зазначається, що ці електронні листи включають суміш доменів лише для того, щоб уникнути реалізації будь-якого шаблону, що зробить марною можливість SEG включати IP-адреси до свого «поганого» списку.
Читати –Хакери можуть налаштувати напругу процесора Intel, щоб викрасти криптовалюту
Щоб протистояти недолікам SEG, він може покладатися на так звану «пісочницю», яка по суті створює ізольоване середовище для тестування підозрілих посилань і перевірки вкладень у електронних листах.
Однак навіть цього не вистачає, оскільки потенційні загрози використовують тактику ухилення, наприклад час активації, за допомогою якого загроза «активується» через встановлений період, дозволяючи їй проскочити повз наявний захист.
Однак замість цього можна застосувати новий підхід. Кіберштучний інтелект покладається на бізнес-контекст і розуміє, як працюють корпорації, а не зосереджується лише на електронних листах окремо.
Це робиться, дозволяючи штучному інтелекту розвивати «само» для боротьби з аномальною діяльністю, яка може становити загрозу. Це також допомагає штучному інтелекту зрозуміти поведінку за межами мережі та готує його до нових атак, які можуть виникнути, надаючи йому розуміння на корпоративному рівні.