כיצד פועל זיהוי התחזות (הונאה ממוקדת) בחנית

Cum funcționează detectarea Spear Phishing (înșelătorie vizată)
⏱️ 1 min read

ישנו ענף של טכניקות הונאת דוא”ל שמתחיל להתפשט והוא נקרא דיוג בחנית. הסוג החדש הזה של דיוג הייתה מגמה מתמדת של עלייה מאז 2015, מה שגורם לחברות לסבול הפסדים עצומים ו גוזלים מיליוני דולרים מהכלכלה לידי האקרים יזמים.

זה זכה לתשומת לב רבה כל כך בשנים האחרונות, שב-18 באוגוסט 2017, פייסבוק העניקה את פרס ההסברה השנתי שלה באינטרנט לקבוצת חוקרים מאוניברסיטת קליפורניה, ברקלי, שהצליחה ליצור פרויקט אוטומטי של זיהוי דיוג בחנית. הם פרסמו מאמר שימושי בנושא מה שיעזור לנו להבין כיצד זיהוי התחזות בחנית צריך לעבוד בסביבה ארגונית.

יער אילנות (הארבורט...
יער אילנות (הארבורטום הלאומי)

מה הופך את פישינג בחנית לאיום כזה

אם אתה רוצה תקציר של מה זה פישינג בחנית, כתבתי על זה לא מעט במאמר זה. רמת התחכום בהתקפת דיוג חנית יכולה להשתנות בהתאם למשאבים העומדים לרשות ההאקר.

אבל באופן כללי, המטרה היא ליצור אימייל שמחקה בצורה מושלמת את מה שהקורבן יקבל מאדם מהימן. משמעות הדבר היא שהודעות דוא”ל ספציפיות אלו בדרך כלל אינן מציגות סימנים של הודעת הונאה. בכך שהוא נראה לגיטימי, זה מוריד את השמירה של הקורבן, מה שהופך אותם לרגישים יותר לגרימת נזק בשוגג לעצמם או לחברות בהן הם עובדים.

הנה החלק המפחיד: הודעת האימייל יכולה להגיע אפילו מכתובת של מישהו שהקורבן סומך עליו, לזייף את השם ופרטים אחרים ולהסיר את הריח משיטות זיהוי מסורתיות.

כיצד אלגוריתמים מזהים הודעות דוא”ל

זיהוי חנית

למרות העובדה שהודעות דוא”ל של ספייר דיוג בדרך כלל נראים לגיטימיים מאוד בהשוואה להודעות המופצות בסגנון הדיוג המסורתי של “הגרלה”, חנית אינה חדה כפי שהיא נראית. לכל הודעה מזויפת יש את החשבון שלה. במקרה הספציפי הזה, מדובר בניתוח היוריסטי פשוט של כל ההודעות הנשלחות אל הקורבן וממנו, זיהוי דפוסים הן בשפת הגוף והן בתוכן כותרת המייל.

אם, למשל, יש לך איש קשר שבדרך כלל שולח הודעות מארצות הברית ופתאום אתה מקבל הודעה מאותו איש קשר שמקורו בניגריה, זה יכול להיות דגל אדום. האלגוריתם, המכונה Directed Anomaly Scoring (DAS), בוחן גם את ההודעה עצמה לאיתור סימנים של תוכן חשוד. לדוגמה, אם יש במייל קישור לאתר אינטרנט והמערכת רואה שאף עובדים אחרים בחברה שלכם לא ביקרו בו, הדבר עלול להיות מסומן כחשוד. ניתן לנתח את ההודעה עוד יותר כדי לקבוע את ה”מוניטין” של כתובות האתרים שהיא מכילה.

מכיוון שרוב התוקפים פשוט מזייפים את שם השולח ולא את כתובת הדואר האלקטרוני, האלגוריתם עשוי גם לנסות להתאים את שם השולח לאימייל שנעשה בו שימוש בחודשים האחרונים. אם השם והמייל של השולח אינם תואמים לשום דבר ששימש בעבר, זה ייצור אזעקות.

בקיצור, אלגוריתם ה-DAS יבדוק את תוכן האימייל, את הכותרת שלו ואת יומני ה-LDAP הארגוניים כדי להחליט אם האימייל הוא תוצאה של ניסיון דיוג בחנית או שהוא סתם הודעה מוזרה אך לגיטימית. במבחן הניתוח של 370 מיליון אימיילים, DAS זיהה 17 מתוך 19 ניסיונות והיה לו שיעור חיובי שגוי של 0.004%. זה לא רע!

כעת, הנה בעיה נוספת: האם אתה חושב שסורקי דוא”ל מפרים את פרטיותם של אנשים, אפילו כאשר משתמשים בהם בסביבה ארגונית סגורה אך ורק לגילוי הונאה? בואו נדון בזה בתגובות!

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

You may also like...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x