橫向網(wǎng)絡(luò)釣魚攻擊(針對組織中受感染電子郵件帳戶的用戶的騙局)在美國日益受到關(guān)注。

過去，攻擊者會從組織外部的電子郵件帳戶發(fā)送網(wǎng)絡(luò)釣魚詐騙，而最近，電子郵件傳播的詐騙激增，攻擊者會破壞組織內(nèi)部的電子郵件帳戶，然后使用這些帳戶向內(nèi)部員工發(fā)送內(nèi)部網(wǎng)絡(luò)釣魚電子郵件。 -這種攻擊稱為側(cè)向網(wǎng)絡(luò)釣魚。

當(dāng)網(wǎng)絡(luò)釣魚電子郵件來自內(nèi)部帳戶時，絕大多數(shù)電子郵件安全系統(tǒng)都無法阻止它?，F(xiàn)有的安全系統(tǒng)主要依靠IP和域信譽等信號來檢測來自外部的網(wǎng)絡(luò)攻擊，當(dāng)電子郵件來自內(nèi)部來源時，這些攻擊無效。橫向網(wǎng)絡(luò)釣魚攻擊也很昂貴。例如，F(xiàn)BI數(shù)據(jù)顯示，這些網(wǎng)絡(luò)攻擊在2013-2018年間造成了超過120億美元的損失。在過去兩年中，這些攻擊造成的損失增加了136%。

為了緩解這一日益嚴(yán)重的問題，數(shù)據(jù)科學(xué)研究所成員Asaf Cidon幫助開發(fā)了一種基于機器學(xué)習(xí)的檢測器原型，該檢測器可以自動檢測并阻止橫向網(wǎng)絡(luò)釣魚攻擊。

檢測器使用多種功能來阻止攻擊，包括檢測接收者是否偏離了員工通常會與之通信的對象;電子郵件的文本是否類似于其他已知的網(wǎng)絡(luò)釣魚攻擊;以及鏈接是否異常。該檢測器可以以較高的準(zhǔn)確率和較低的誤報率檢測到這些攻擊中的絕大多數(shù)-在每100萬員工發(fā)送的電子郵件中有4次誤報。

Cidon是研究小組的成員，該小組分析了來自近100個企業(yè)的1.13億員工發(fā)送的電子郵件的數(shù)據(jù)集。他們還分析了147起橫向網(wǎng)絡(luò)釣魚事件，每起事件都涉及至少一封網(wǎng)絡(luò)釣魚電子郵件。這項研究是與梭子魚網(wǎng)絡(luò)(Barracuda Networks)聯(lián)合進(jìn)行的，梭子魚網(wǎng)絡(luò)是一家網(wǎng)絡(luò)安全公司，旨在為研究人員提供有關(guān)其客戶的數(shù)據(jù)，目的是開發(fā)一種用于橫向網(wǎng)絡(luò)釣魚的檢測器。

研究人員還寫了一篇有關(guān)該研究的論文《大規(guī)模檢測和表征橫向網(wǎng)絡(luò)釣魚》，最近在領(lǐng)先的網(wǎng)絡(luò)安全會議Usenix Security 2019上獲得了杰出論文獎。

哥倫比亞大學(xué)電氣工程與計算機科學(xué)系助理教授Cidon說：“本研究分析的攻擊是最難檢測到的網(wǎng)絡(luò)攻擊類型之一，因為它們發(fā)自內(nèi)部員工的帳戶。”工程學(xué)以及數(shù)據(jù)科學(xué)研究所的成員。阻止這種有針對性的社會工程攻擊的關(guān)鍵是使用基于機器學(xué)習(xí)的方法，這些方法可以依賴于發(fā)件人，收件人和組織的獨特上下文。”

當(dāng)攻擊者發(fā)起網(wǎng)絡(luò)釣魚攻擊時，其目的是說服用戶該電子郵件是合法的，并誘使他們執(zhí)行特定的操作。因此，通過使用他們所認(rèn)識和信任的同事的被黑電子郵件帳戶，比說服用戶相信電子郵件是合法的更好的方法。在橫向網(wǎng)絡(luò)釣魚中，攻擊者利用受損的電子郵件帳戶向組織中的其他用戶發(fā)送網(wǎng)絡(luò)釣魚電子郵件，這得益于同事的隱式信任以及被劫持用戶帳戶中的信息。Cidon幫助開發(fā)的分類器可以查找通信模式中的異常情況。例如，分類器會標(biāo)記一個雇員突然發(fā)送一連串帶有模糊鏈接的電子郵件，或者標(biāo)記一個雇員從其已發(fā)送郵件文件夾中系統(tǒng)地刪除電子郵件-試圖掩蓋他們的騙局。

利用此類網(wǎng)絡(luò)釣魚攻擊以及一系列用戶報告的事件，研究人員使用機器學(xué)習(xí)來量化橫向網(wǎng)絡(luò)釣魚的規(guī)模，確定攻擊者使用的主題內(nèi)容和收件人定向策略。然后，他們能夠確定攻擊者用來定制攻擊的兩種策略：內(nèi)容和名稱定制。內(nèi)容剪裁是攻擊者如何剪裁電子郵件的內(nèi)容，以迫使收件人單擊鏈接并陷入網(wǎng)絡(luò)釣魚電子郵件。他們發(fā)現(xiàn)的最常見的內(nèi)容剪裁是一般的網(wǎng)絡(luò)釣魚內(nèi)容(例如，“您收到了新文檔，請單擊此處打開”)。但是他們還發(fā)現(xiàn)，某些攻擊者是根據(jù)組織的特定情況定制電子郵件的(例如，“

他們對影響近100個組織的1億多封電子郵件的分析得出的一些主要發(fā)現(xiàn)包括：

超過10%的事件導(dǎo)致成功的附加內(nèi)部折衷(這比外部發(fā)起的攻擊高出幾個數(shù)量級)。

大多數(shù)攻擊是相對簡單的網(wǎng)絡(luò)釣魚電子郵件。但是，很大一部分攻擊者的確會根據(jù)收件人的角色和組織的上下文對電子郵件進(jìn)行大量定制。

超過30%的攻擊者采取某種復(fù)雜的行為：通過隱藏其在攻擊中的存在(例如，刪除外發(fā)電子郵件)或與攻擊的接收者進(jìn)行接觸以確保成功。Cidon說，這類攻擊代表了網(wǎng)絡(luò)犯罪的新領(lǐng)域：高度個性化的攻擊，攻擊者愿意花數(shù)天和數(shù)周的時間進(jìn)行“偵察”。

Cidon補充說：“在這項研究中，我們專注于基于鏈接的橫向網(wǎng)絡(luò)釣魚。“但是，在探索沒有鏈接的攻擊或結(jié)合其他社交媒體(例如短信和語音)的攻擊時，仍有大量工作要做。但是我們希望我們的探測器能夠應(yīng)對日益嚴(yán)重的橫向網(wǎng)絡(luò)釣魚攻擊。”