Não é uma tarefa fácil para o usuário
comum distinguir um e-mail comprometido de um e-mail legítimo. A detecção do
golpe de Business Email
Compromise (BEC),
tem se tornado cada vez mais difícil e de acordo com o o FBI, gera um prejuízo médio por
incidente de US$132 mil.
A maioria das vítimas fica mais
preocupada em atender um pedido urgente de um cibercriminoso que se passa por um
executivo do que para analisar a autenticidade do que está sendo lido. As
soluções tradicionais de segurança não rastreiam esses ataques com facilidade,
pois geralmente não existem anexos ou URL’s para analisar o conteúdo e
compará-los com um e-mail legítimo.
Ferramentas como padrões de
autenticação de e-mail (SPF, DKIM e, mais recentemente, DMARC) evitam a
falsificação de domínio/remetente, mas isso resolve apenas parte do problema.
Esses padrões impedem que seus domínios/remetentes sejam falsificados, mas não
impedem outras técnicas de
adulteração de e-mail,
como “abuso de conta de e-mail gratuito” (usando um nome de domínio de e-mail
gratuito, mas legítimo) e “abuso de conta de e-mail comprometido” (usando uma
conta comprometida para um ataque interno).
Como a IA pode ser utilizada
para detectar email’s BEC
A inteligência artificial combina
o conhecimento de um especialista em segurança - que analisa os fatores comportamentais
e a intenção do
e-mail- com um modelo matemático de autoaprendizagem, que juntos, irão
identificar os e-mails falsos.
O pesquisador analisa os
seguintes fatores: se o e-mail vem de um provedor duvidoso, se o domínio do
remetente é similar ao da organização-alvo, se o remetente usa o nome de um
executivo da organização do destinatário e muitos outros fatores.
O conteúdo do e-mail também ajuda
o pesquisador a descobrir sua intenção. Pedidos que levam a uma ação,
especialmente envolvendo fatores financeiros, envolvem maior senso de urgência
por parte da organização. Isoladamente, esses pontos não se configuram como
suspeitos, mas combinados com as atitudes comportamentais do atacante, se
tornam bem comprometedores.
A inteligência artificial entra
então em uma parte crucial dessa análise: ela pode praticamente reproduzir o
processo de tomada de decisão de um pesquisador de segurança. Explicado de
maneira básica: o pesquisador configura quais regras do e-mail serão analisadas
e classifica esses fatores em suspeitos ou não.
Em seguida, um segundo tipo de
inteligência artificial chamado machine
learning, colhe os resultados deste sistema e utiliza um algoritmo
gerado por computador para detectar mais precisamente se o e-mail é falso ou
não.
O machine learning tem como base milhões
de e-mails reais e falsos, sendo constantemente aprimorado. Isso porque até
usuários treinados têm dificuldade para identificar e-mails phishing. Ao serem
combinadas as regras de tomada de decisão de um especialista em segurança com o
poder do machine
learning, as chances de se evitar os danos consequentes de ataques
do Business Email
Compromise, são muito maiores.
Sinais de alerta
na identificação de um e-mail BEC
Abaixo, elenco os motivos pelos
quais a técnica de detecção de BEC’s por meio da Inteligência Artificial e
Machine Learning, é mais efetiva:
1. Protege contra não só o
remetente falso, mas também contra o conteúdo suspeito
Não somente o comportamento do
e-mail é analisado (exemplo: remetente falso), mas também a intenção (exemplo:
urgência).
2. Proteção contra BEC’s
internos no caso de contas de e-mails comprometidas
Quando a conta ou caixa de
entrada de um usuário é comprometida, geralmente após um ataque de phishing, o
atacante pode usar a conta comprometida para enviar e-mails internos de
phishing ou BEC. Como o e-mail vem de um usuário legítimo, não haverá nada
suspeito no cabeçalho do e-mail ou no endereço de e-mail do remetente.
Portanto, as técnicas de autenticação do remetente não conseguirão detectar o
ataque. A combinação de inteligência artificial e machine learning possibilitam
a detecção de ataques internos de BEC.
3. Proteção para usuários de
alto nível
Ataques de BEC visam usuários de
alto nível, como executivos C-level de uma empresa. Pela análise das mensagens de
e-mail recebidas supostamente desses usuários, serão aplicados critérios de
verificação de ataques para identificar mensagens falsas.
Previsões quanto ao aumento de
ataques BEC
A simplicidade e facilidade de
implementar o golpe BEC, fazem do e-mail uma das ferramentas favoritas para os
cibercriminosos implementarem esse ataque.
A tendência é que os hackers
adquiram técnicas cada vez mais criativas, usando o que for necessário para
forjar e-mails e fazer com que pareçam legítimos.
Joyce Huang - Gerente Sênior de
Marketing de Produtos na Trend Micro
Nenhum comentário:
Postar um comentário