Af Eskil Sørensen, 21/03/24
Researchere har afdækket en ny type cyberangreb, der bruger tilslørede e-mails til at snyde maskinlæringssystemer til at infiltrere af virksomhedsnetværk.
Det skriver Infosecurity Magazine.
Det er virksomheden SlashNext, der afdækker metoden, som de kalder "Conversation Overflow". Det er en metode, der omgår avancerede sikkerhedsforanstaltninger til at levere emailbaserede phishing-beskeder direkte i ofrenes indbakker.
De ondsindede e-mails består af to forskellige komponenter. I en synlig del bedes modtageren om at handle på klassisk phishing-vis såsom at indtaste legitimationsoplysninger eller klikke på links. Under denne tekst skal der være en skjult sektion, som indeholder godartet tekst, der ligner almindeligt e-mail-indhold. Denne skjulte tekst er udformet til at snyde maskinlæringsalgoritmer til at kategorisere e-mailen som legitim. Derved kan den omgå sikkerhedstjek og nå målets indbakke. Herefter er det op til modtageren at handle eller ikke-handle. Men hvis modtageren er vandt til, at ondsindede e-mails er bortfiltreret, så snydes også modtageren til at klikke på det, som han/hun tror er legitimt.
Betatest
Infosecurity Magazine skriver, at denne metode er blevet observeret gentagne gange af researchere fra SlashNext, hvilket indikerer, at trusselsaktører er i gang med en potentiel beta-test af løsningen.
I modsætning til traditionelle sikkerhedsforanstaltninger, der er afhængige af at detektere "kendte, ondsindede" signaturer, identificerer maskinlæringssystemer anomalier fra "kendte godsindede" kommunikationsmønstre. Ved at efterligne godartet kommunikation udnytter trusselsaktører dette aspekt af ML til at skjule deres ondsindede hensigter. Når de er infiltreret, implementerer angribere meddelelser om legitimationstyveri forklædt som legitime anmodninger om re-godkendelse. De skulle hovedsageligt være rettet mod topledere. Stjålne legitimationsoplysninger fra topledere giver høje priser på Dark Web.
Ifølge SlashNext udgør denne sofistikerede form for indsamling af legitimationsoplysninger en "betydelig udfordring" for avancerede AI- og ML-motorer; det signalerer et skifte i cyberkriminelles taktikker midt i det landskab af AI-drevet sikkerhed, der er under udvikling.
SlashNext konkluderer i sin vejledning, at ”.. cyberskurke ændrer deres angrebsteknikker i denne gryende tidsalder af AI-sikkerhed," og tilføjer, at vi er ”..bekymrede over, at denne udvikling afslører et helt nyt værktøjssæt, der i dag bliver forfinet af kriminelle hackergrupper i realtid."
SlashNext anbefaler sikkerhedsteams at forbedre AI- og ML-algoritmer, gennemføre regelmæssig sikkerhedstræning og implementere multifaktorautentifikation.
Konklusionen må være, at heller ikke AI og ML giver genveje til højere sikkerhed. Medarbejderne skal stadig uddannes i højere sikkerhed.
Links:
https://www.infosecurity-magazine.com/news/new-conversation-overflow-tactic/