Los ataques de phishing lateral (estafas dirigidas a usuarios de cuentas de correo electrónico comprometidas dentro de una organización) se están convirtiendo en una preocupación cada vez mayor en los EE. UU.

Mientras que en el pasado los atacantes enviaban estafas de phishing desde cuentas de correo electrónico externas a una organización, Recientemente, ha habido una explosión de estafas transmitidas por correo electrónico en las que los atacantes ponen en peligro las cuentas de correo electrónico dentro de las organizaciones. y luego utiliza esas cuentas para enviar correos electrónicos internos de phishing a otros empleados, el tipo de ataques conocidos como phishing lateral.

Y cuando un correo electrónico de phishing proviene de una cuenta interna, la gran mayoría de los sistemas de seguridad del correo electrónico no pueden detenerlo. Los sistemas de seguridad existentes detectan en gran medida ciberataques que provienen del exterior, confiando en señales como la IP y la reputación del dominio, que son ineficaces cuando el correo electrónico proviene de una fuente interna. Los ataques de phishing lateral también son costosos. Los datos del FBI muestran, por ejemplo, que estos ciberataques causaron más de $ 12 mil millones en pérdidas entre 2013-2018. Y en los últimos dos años, los ataques han provocado un aumento del 136 por ciento de las pérdidas.

Para paliar este problema creciente, Asaf Cidon, miembro del Data Science Institute, ayudó a desarrollar un prototipo de detector basado en aprendizaje automático que detecta y detiene automáticamente los ataques de phishing laterales.

El detector utiliza varias funciones para detener los ataques, incluida la detección de si el destinatario se desvía de alguien con quien normalmente se comunicaría un empleado; si el texto del correo electrónico es similar a otros ataques de phishing conocidos; y si el vínculo es anómalo. El detector puede detectar la gran mayoría de estos ataques con una alta tasa de precisión y una baja tasa de falsos positivos:menos de cuatro falsos positivos por cada millón de correos electrónicos enviados por los empleados.

Cidon formó parte de un equipo de investigación que analizó un conjunto de datos de 113 millones de correos electrónicos enviados por empleados de casi 100 empresas. También caracterizaron 147 incidentes de phishing lateral, cada uno de los cuales involucró al menos un correo electrónico de phishing. El estudio se realizó en conjunto con Barracuda Networks, una empresa de seguridad de redes que proporcionó datos sobre sus clientes a los investigadores con el objetivo de desarrollar un detector de phishing lateral.

Los investigadores también escribieron un artículo sobre el estudio, Detectar y caracterizar el phishing lateral a escala, que recientemente ganó un premio Distinguished Paper Award en Usenix Security 2019, una conferencia líder en ciberseguridad.

"Los ataques analizados en este estudio representan uno de los tipos de ciberataques más difíciles de detectar automáticamente, dado que emanan de la cuenta de un empleado interno, "dijo Cidon, profesor asistente de ingeniería eléctrica y ciencias de la computación (afiliado conjunto) en Columbia Engineering, así como miembro del Data Science Institute. "La clave para detener estos ataques dirigidos de ingeniería social es utilizar métodos basados ​​en el aprendizaje automático que pueden depender del contexto único del remitente, destinatario y organización ".

Cuando los atacantes lanzan un ataque de phishing, su objetivo es convencer al usuario de que el correo electrónico es legítimo y engatusarlo para que realice una determinada acción. ¿Qué mejor manera de convencer a un usuario de que un correo electrónico es legítimo? por lo tanto, que mediante el uso de una cuenta de correo electrónico pirateada de un colega que conocen y en quien confían. Y en el phishing lateral, los atacantes aprovechan una cuenta de correo electrónico comprometida para enviar correos electrónicos de phishing a otros usuarios de la organización, beneficiándose de la confianza implícita de los colegas y de la información en la cuenta del usuario secuestrado. Los clasificadores que Cidon ayudó a desarrollar buscan anomalías en los patrones de comunicación. Por ejemplo, los clasificadores marcarían a un empleado que repentinamente enviaba una ráfaga de correos electrónicos con enlaces oscuros o un empleado eliminaba sistemáticamente correos electrónicos de sus carpetas de elementos enviados, tratando de enmascarar sus estafas.

Basándose en este tipo de ataques de phishing, así como de una colección de incidentes notificados por los usuarios, los investigadores utilizaron el aprendizaje automático para cuantificar la escala del phishing lateral, identificar el contenido temático y las estrategias de focalización de destinatarios que utilizaron los atacantes. Luego pudieron caracterizar dos estrategias que los atacantes utilizaron para adaptar sus ataques:el contenido y la adaptación del nombre. La adaptación de contenido es la forma en que el atacante adapta el contenido del correo electrónico para obligar al destinatario a hacer clic en el enlace y caer en el correo electrónico de phishing. La adaptación de contenido más común que descubrieron fue un contenido de phishing genérico (por ejemplo, "Recibiste un nuevo documento, haga clic aquí para abrir "). Pero también encontraron que algunos atacantes adaptaron el correo electrónico al contexto específico de la organización (p. ej., "Consulte el anuncio adjunto sobre el 25 aniversario de Acme"). La adaptación de nombres es la forma en que los atacantes personalizan el correo electrónico para un destinatario mediante el uso de su nombre y función en la organización (por ejemplo, "Beto, por favor revise la orden de compra adjunta, "y en este caso Bob trabaja en contabilidad).

Algunos hallazgos clave de su análisis de más de 100 millones de correos electrónicos que comprometieron a casi 100 organizaciones incluyen:

• Más del 10 por ciento de los incidentes dan como resultado un compromiso interno adicional exitoso (esto es un porcentaje de órdenes de magnitud más alto que los ataques que se originan externamente).
• La mayoría de los ataques son correos electrónicos de phishing relativamente simples. Pero un porcentaje significativo de atacantes adapta en gran medida sus correos electrónicos de acuerdo con el rol del destinatario y el contexto de la organización.
• Más del 30 por ciento de los atacantes se involucran en algún tipo de comportamiento sofisticado:ya sea ocultando su presencia en el ataque (por ejemplo, eliminar correos electrónicos salientes) o interactuando con el destinatario del ataque para asegurarse de que tenga éxito.

Cidon dice que este tipo de ataques representan la nueva frontera del crimen cibernético:ataques altamente personalizados donde los atacantes están dispuestos a pasar días y semanas "haciendo reconocimiento".

"En este estudio nos centramos en la suplantación de identidad lateral basada en enlaces, "añade Cidon." Aún queda mucho trabajo por hacer, sin embargo, en la exploración de ataques sin enlaces o ataques que combinen otros medios sociales como mensajes de texto y voz. Pero esperamos que nuestro detector ayude a combatir el creciente flagelo de los ataques de phishing lateral ".