Como a Inteligência Artificial pode ajudar na detecção de e-mails BEC

* Joyce Huang

Não é uma tarefa fácil para o usuário comum distinguir um e-mail comprometido de um e-mail legítimo. A detecção do golpe de Business Email Compromise (BEC), tem se tornado cada vez mais difícil e de acordo com o o FBI, gera um prejuízo médio por incidente de US$132 mil.

A maioria das vítimas fica mais preocupada em atender um pedido urgente de um cibercriminoso que se passa por um executivo, do que parar para analisar a autenticidade do que está sendo lido. As soluções tradicionais de segurança não rastreiam esses ataques com facilidade, pois geralmente não existem anexos ou URL’s para analisar o conteúdo e compará-los com um e-mail legítimo.

Ferramentas como padrões de autenticação de e-mail (SPF, DKIM e, mais recentemente, DMARC) evitam a falsificação de domínio/remetente, mas isso resolve apenas parte do problema. Esses padrões impedem que seus domínios/remetentes sejam falsificados, mas não impedem outras técnicas de adulteração de e-mail, como “abuso de conta de e-mail gratuito” (usando um nome de domínio de e-mail gratuito, mas legítimo) e “abuso de conta de e-mail comprometido” (usando uma conta comprometida para um ataque interno).

Como a IA pode ser utilizada para detectar email’s BEC

A inteligência artificial combina o conhecimento de um especialista em segurança - que analisa os fatores comportamentais e a intenção do e-mail- com um modelo matemático de autoaprendizagem, que juntos, irão identificar os e-mails falsos.

O pesquisador analisa os seguintes fatores: se o e-mail vem de um provedor duvidoso, se o domínio do remetente é similar ao da organização-alvo, se o remetente usa o nome de um executivo da organização do destinatário e muitos outros fatores.

O conteúdo do e-mail também ajuda o pesquisador a descobrir sua intenção. Pedidos que levam a uma ação, especialmente envolvendo fatores financeiros, envolvem maior senso de urgência por parte da organização. Isoladamente, esses pontos não se configuram como suspeitos, mas combinados com as atitudes comportamentais do atacante, se tornam bem comprometedores.

A inteligência artificial entra então em uma parte crucial dessa análise: ela pode praticamente reproduzir o processo de tomada de decisão de um pesquisador de segurança. Explicado de maneira básica: o pesquisador configura quais regras do e-mail serão analisadas e classifica esses fatores em suspeitos ou não.

Em seguida, um segundo tipo de inteligência artificial chamado machine learning, colhe os resultados deste sistema e utiliza um algoritmo gerado por computador para detectar mais precisamente se o e-mail é falso ou não.

O machine learning tem como base milhões de e-mails reais e falsos, sendo constantemente aprimorado. Isso porque até usuários treinados têm dificuldade para identificar e-mails phishing. Ao serem combinadas as regras de tomada de decisão de um especialista em segurança com o poder do machine learning, as chances de se evitar os danos consequentes de ataques do Business Email Compromise, são muito maiores.

Sinais de alerta na identificação de um e-mail BEC

Abaixo, elenco os motivos pelos quais a técnica de detecção de BEC’s por meio da Inteligência Artificial e Machine Learning, é mais efetiva:

  1. Protege contra não só o remetente falso, mas também contra o conteúdo suspeito
    Não somente o comportamento do e-mail é analisado (exemplo: remetente falso), mas também a intenção (exemplo: urgência).
  2. Proteção contra BEC’s internos no caso de contas de e-mails comprometidas
    Quando a conta ou caixa de entrada de um usuário é comprometida, geralmente após um ataque de phishing, o atacante pode usar a conta comprometida para enviar e-mails internos de phishing ou BEC. Como o e-mail vem de um usuário legítimo, não haverá nada suspeito no cabeçalho do e-mail ou no endereço de e-mail do remetente. Portanto, as técnicas de autenticação do remetente não conseguirão detectar o ataque. A combinação de inteligência artificial e machine learning possibilitam a detecção de ataques internos de BEC.
  3. Proteção para usuários de alto nível
    Ataques de BEC visam usuários de alto nível, como executivos C-level de uma empresa. Pela análise das mensagens de e-mail recebidas supostamente desses usuários, serão aplicados critérios de verificação de ataques para identificar mensagens falsas.

 

Previsões quanto ao aumento de ataques BEC

A simplicidade e facilidade de implementar o golpe BEC, fazem do e-mail uma das ferramentas favoritas para os cibercriminosos implementarem esse ataque.

A tendência é que os hackers adquiram técnicas cada vez mais criativas, usando o que for necessário para forjar e-mails e fazer com que pareçam legítimos.

Filtros anti-spam já não são suficientes para competir com avanços nas quais os cibercriminosos parecem estar se especializando cada vez mais. O momento é decisivo para que empresas e usuários estejam mais vigilantes, pois a ameaça é real.

*Joyce Huang é Gerente Sênior de Marketing de Produtos na Trend Micro