HTCinside


Хакерите се възползват от страха от коронавирус, за да подмамят потребителите да кликнат върху злонамерени имейли

Атаките над имейли стават все по-целенасочени и персонализирани. Киберпрестъпниците са започнали да се насочват към хората не по общи теми, а по актуални теми, за които е сигурно, че ще предизвикат интереса на целта. С цялата паника, която циркулира около новия коронавирус, COVID-19 е новата примамка.

Имейли, насочени към COVID, се изпращат на хора в опит да ги накарат да отворят и кликнат върху злонамерени връзки, които не изглеждат така. При този последен опит имейлите са маскирани да бъдат от Центъра за контрол и превенция на заболяванията, обявявайки, че има някаква спешна информация за вируса.

Това е ход за използване на страха на хората от вируса.

Въпреки че действителната предпоставка не е нова, проблемът възниква поради наличието на нови думи, които преминават през съществуващите филтри и защото не е имало предвидими модели, които да подпомогнат създаването на нови правила за спиране на такива имейли.

Освен това има и несъответствие на връзките към показвания текст, което също води до фалшиви положителни резултати и позволява тези имейли да преминат.

В момента повечето организации използват защитени имейл шлюзове, за да анализират и идентифицират заплахите в имейлите, получавани от доставчиците на имейл. Те се използват и като машини за откриване на спам, където вредните имейли се идентифицират и контролират.

Вижда се обаче, че те се провалят при тази идентификация, когато имейлите започнат да използват персонализирани атаки или дори когато леко се отклоняват от предишните режими. Тук се вижда, че повечето от тези имейли са преминали през защитите от Mimecast, Proofpoint, ATP на Microsoft и т.н.

Защитените имейл шлюзове или SEG работят само в ретроспекция, тоест те могат да се учат от имейлите само след като са били доставени. С други думи, SEG работят върху списък с IP адреси, за които е известно, че са лоши.

За да започнат напредналите технологии за откриване на аномалии или машинното обучение, има нужда от изпращане на значителни обеми подобни имейли. Това се превръща в проблем, тъй като се отбелязва, че тези имейли включват комбинация от домейни, само за да се избегне реализирането на какъвто и да е модел, което прави безполезна възможността на SEG да включва IP адреси в своя „лош“ списък.

Прочети -Хакерите могат да променят напрежението на процесора на Intel, за да откраднат криптовалута

За да се противопостави на недостатъците на SEG, той може да разчита на нещо, наречено sandboxing, което по същество създава изолирана среда за тестване на подозрителни връзки и проверка на прикачените файлове в имейлите.

Но дори и това не е достатъчно, тъй като потенциалните заплахи използват тактики за избягване, като например време за активиране, при което заплахата се „активира“ след определен период, позволявайки й да се изплъзне покрай съществуващите защити.

Съществува обаче нов подход, който може да се използва вместо това. Cyber ​​AI разчита на бизнес контекста и разбира как се управляват корпорациите, вместо да се фокусира само върху имейлите в изолация.

Това се прави, като се позволи на изкуствения интелект да развие „себе си“, за да се бори с необичайна дейност, която може да представлява заплаха. Това също помага на AI да разбере поведението извън мрежата и го подготвя за нови атаки, които могат да възникнат, като същевременно му дава разбиране на корпоративно ниво.