Ha recibido tanta atención en los últimos años que el 18 de agosto de 2017, Facebook otorgó su premio anual Internet Defense Prize a un grupo de investigadores de la Universidad de California, Berkeley, que lograron crear un proyecto de detección automatizada de phishing con lanza. Han publicado un útil artículo sobre el tema que nos ayudará a comprender cómo debería funcionar la detección de phishing con arpón en un entorno corporativo.
¿Por qué el phishing es una amenaza tan grande?
Si quieres un resumen de lo que es el phishing con lanza, ya he escrito sobre ello en este artículo . El nivel de sofisticación de un ataque de phishing con lanza puede variar según los recursos de que disponga el hacker.
Saltar
Pero en general, el objetivo es crear un correo electrónico que imite perfectamente lo que la víctima recibiría de una persona de confianza. Esto significa que estos correos electrónicos en particular a menudo carecen de las señales de un mensaje de estafa. Como parece legítimo, baja la guardia de la víctima, haciéndola más susceptible de hacerse daño a sí misma o a las compañías en las que trabaja sin darse cuenta.
Aquí está la parte aterradora: el mensaje de correo electrónico podría provenir incluso de la dirección de alguien en quien la víctima confía, falsificando el nombre y otros detalles y desviando los métodos tradicionales de detección de su rastro.
Cómo los algoritmos detectan los correos electrónicos
A pesar del hecho de que los correos electrónicos de phishing por lo general parecen muy legítimos en comparación con los mensajes distribuidos utilizando el estilo tradicional de phishing de la lotería, la lanza no es tan aguda como parece. Cada mensaje falso tiene su significado. En este caso en particular, se trata de hacer un análisis heurístico simple de todos los mensajes enviados a y desde la víctima, detectando patrones tanto en el lenguaje del cuerpo como en el contenido del encabezado del correo electrónico.
Si usted, por ejemplo, tiene un contacto que normalmente le envía mensajes desde los Estados Unidos y de repente recibe un mensaje de ese mismo contacto procedente de Nigeria, eso podría ser una señal de alarma. El algoritmo, conocido como Puntuación de Anomalía Dirigida (DAS), también examina el mensaje en sí para detectar signos de contenido sospechoso. Por ejemplo, si hay un enlace dentro del correo electrónico a un sitio web y el sistema advierte que ningún otro empleado de su empresa lo ha visitado, esto podría marcarse como algo sospechoso. El mensaje podría ser analizado más a fondo para determinar la reputación de las URLs contenidas en él.
Dado que la mayoría de los atacantes sólo falsifican el nombre del remitente y no su dirección de correo electrónico, el algoritmo también puede intentar correlacionar el nombre del remitente con un correo electrónico utilizado en los últimos meses. Si el nombre y el correo electrónico del remitente no se corresponden con nada utilizado en el pasado, se activarán las alarmas.
En pocas palabras, el algoritmo DAS escaneará el contenido del correo electrónico, su encabezado y los registros LDAP corporativos para tomar una decisión sobre si el correo electrónico es el resultado de un intento de suplantación de identidad (spear phishing) o si se trata simplemente de un mensaje extraño, pero legítimo. En su prueba de análisis de 370 millones de correos electrónicos, el DAS ha detectado 17 de los 19 intentos y ha tenido una tasa de falsos positivos del 0,004%. No está mal!
Aquí hay otra cuestión: ¿Cree usted que los escáneres de correo electrónico violan la privacidad de las personas, incluso cuando se utilizan en un entorno corporativo cerrado únicamente para la detección de estafas? Discutamos esto en los comentarios!
Fuente: este post proviene de Vida Tecno, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: