Não é uma tarefa fácil para o usuário
comum distinguir um e-mail comprometido de um e-mail legítimo. A detecção do
golpe de Business Email Compromise (BEC), tem se
tornado cada vez mais difícil e de acordo com o o FBI,
gera um prejuízo médio por incidente de US$132 mil.
A maioria das vítimas fica mais
preocupada em atender um pedido urgente de um cibercriminoso que se passa por
um executivo do que para analisar a autenticidade do que está sendo lido. As
soluções tradicionais de segurança não rastreiam esses ataques com facilidade,
pois geralmente não existem anexos ou URL’s para analisar o conteúdo e
compará-los com um e-mail legítimo.
Ferramentas como padrões de
autenticação de e-mail (SPF, DKIM e, mais recentemente, DMARC) evitam a
falsificação de domínio/remetente, mas isso resolve apenas parte do problema.
Esses padrões impedem que seus domínios/remetentes sejam falsificados, mas não
impedem outras técnicas de adulteração de e-mail, como
“abuso de conta de e-mail gratuito” (usando um nome de domínio de e-mail
gratuito, mas legítimo) e “abuso de conta de e-mail comprometido” (usando uma
conta comprometida para um ataque interno).
Como a IA pode ser utilizada
para detectar email’s BEC
A inteligência artificial combina o
conhecimento de um especialista em segurança - que analisa os fatores comportamentais
e a intenção do
e-mail- com um modelo matemático de autoaprendizagem, que juntos, irão
identificar os e-mails falsos.
O pesquisador analisa os seguintes
fatores: se o e-mail vem de um provedor duvidoso, se o domínio do remetente é
similar ao da organização-alvo, se o remetente usa o nome de um executivo da
organização do destinatário e muitos outros fatores.
O conteúdo do e-mail também ajuda o
pesquisador a descobrir sua intenção. Pedidos que levam a uma ação,
especialmente envolvendo fatores financeiros, envolvem maior senso de urgência
por parte da organização. Isoladamente, esses pontos não se configuram como
suspeitos, mas combinados com as atitudes comportamentais do atacante, se
tornam bem comprometedores.
A inteligência artificial entra então
em uma parte crucial dessa análise: ela pode praticamente reproduzir o processo
de tomada de decisão de um pesquisador de segurança. Explicado de maneira
básica: o pesquisador configura quais regras do e-mail serão analisadas e
classifica esses fatores em suspeitos ou não.
Em seguida, um segundo tipo de
inteligência artificial chamado machine
learning, colhe os resultados deste sistema e utiliza um
algoritmo gerado por computador para detectar mais precisamente se o e-mail é
falso ou não.
O machine
learning tem como base milhões de e-mails reais e falsos, sendo
constantemente aprimorado. Isso porque até usuários treinados têm dificuldade
para identificar e-mails phishing. Ao serem combinadas as regras de tomada de
decisão de um especialista em segurança com o poder do machine learning, as
chances de se evitar os danos consequentes de ataques do Business Email Compromise, são
muito maiores.
Sinais de
alerta na identificação de um e-mail BEC
Abaixo, elenco os motivos pelos
quais a técnica de detecção de BEC’s por meio da Inteligência Artificial e
Machine Learning, é mais efetiva:
1. Protege contra não só o
remetente falso, mas também contra o conteúdo suspeito
Não somente o comportamento do e-mail
é analisado (exemplo: remetente falso), mas também a intenção (exemplo:
urgência).
2. Proteção contra BEC’s
internos no caso de contas de e-mails comprometidas
Quando a conta ou caixa de entrada de
um usuário é comprometida, geralmente após um ataque de phishing, o atacante
pode usar a conta comprometida para enviar e-mails internos de phishing ou BEC.
Como o e-mail vem de um usuário legítimo, não haverá nada suspeito no cabeçalho
do e-mail ou no endereço de e-mail do remetente. Portanto, as técnicas de
autenticação do remetente não conseguirão detectar o ataque. A combinação de
inteligência artificial e machine learning possibilitam a detecção de ataques
internos de BEC.
3. Proteção para usuários de
alto nível
Ataques de BEC visam usuários de alto
nível, como executivos C-level de uma empresa. Pela análise das mensagens de
e-mail recebidas supostamente desses usuários, serão aplicados critérios de
verificação de ataques para identificar mensagens falsas.
Previsões quanto ao aumento de ataques
BEC
A simplicidade e facilidade de
implementar o golpe BEC, fazem do e-mail uma das ferramentas favoritas para os
cibercriminosos implementarem esse ataque.
A tendência é que os hackers adquiram
técnicas cada vez mais criativas, usando o que for necessário para forjar
e-mails e fazer com que pareçam legítimos.
Joyce
Huang - Gerente Sênior de Marketing de Produtos na Trend Micro
Nenhum comentário:
Postar um comentário