SlideShare a Scribd company logo

Summary of :“Detecting and Characterizing Lateral Phishing at scale”

Matteo Billè
Matteo Billè

Summary of :“Detecting and Characterizing Lateral Phishing at scale”

Engineering
1 of 7
Download to read offline
1 UNIVERSITÀ DEGLI STUDI DI TRIESTE DIPARTIMENTO DI INGEGNERIA E ARCHITETTURA Tesi triennale in Ingegneria Elettronica ed Informatica Summary of “Detecting and Characterizing Lateral Phishing at scale” [1] Candidato: Relatore: Matteo BILLÈ Prof. Alberto BARTOLI Matricola: IN0500281 Anno Accademico 2019-2020
2 Indice: 1 Introduzione ..................................................................................................................................3 2 Descrizione del classificatore .......................................................................................................3 3 Elaborazione dei risultati .............................................................................................................4 4 Conclusione ....................................................................................................................................7
3 1. Introduzione Per oltre una decade la sicurezza informatica ha esplorato e ha sviluppato molte difese contro gli attacchi di tipo phishing. Negli ultimi anni però si è sviluppato un nuovo tipo di attacco phishing detto lateral phishing in cui l’attaccante usa un account aziendale compromesso per inviare delle email di phishing ad un gruppo di destinatari. Questi attacchi sono particolarmente insidiosi perché viene sfruttata la fiducia implicita che il mittente ha sia da parte dell’utente destinatario del messaggio sia da parte dei sistemi di protezione convenzionali. Viene presentato in questo articolo un nuovo classificatore per rilevare gli URL-based lateral phishing ovvero gli attacchi in cui è presente un URL maligno e viene studiata una prima caratterizzazione su larga scala di questo fenomeno. Per questo studio ci si è basati su un dataset di 92 aziende di cui 23 sono state scelte casualmente fra una lista di società che hanno riportato attacchi di lateral phishing, mentre le altre 69 sono state scelte casualmente. Le 92 aziende scelte risultano avere mercati diversi e dimensioni diverse. 2. Descrizione del classificatore Per creare un insieme degli attacchi di lateral phishing vengono unite due sorgenti, la prima è l’insieme delle mail riportate dalla sicurezza dell’azienda, la seconda è invece un rivelatore che segnala le possibili email pericolose che poi vengono controllate manualmente. Il metodo studiato per etichettare un’email è quello di creare un classificatore tramite un algoritmo di random forest [2] addestrato tramite tre set di features. a) Il primo set consiste in due variabili, la prima è il numero di destinatari univoci di ogni messaggio, mentre la seconda valuta la Jaccard similarity [3] tra i destinatari dell’email e i destinatari a cui l’indirizzo mittente ha scritto nel mese precedente. b) Il secondo set è composto da una variabile booleana che indica la presenza nell’email di una delle parole contenute in un dizionario di 150 parole chiave tipiche degli attacchi phishing costruito analizzando migliaia di attacchi. c) Il terzo set è composto da due indici, un indice di reputazione globale degli URL contenuti nelle email e un indice di reputazione locale degli URL nell’email. L’indice di reputazione globale si ottiene prendendo il massimo indice degli URL presenti nelle mail. L’indice di ogni URL corrisponde alla sua posizione all’interno del ranking Cisco Umbrella Top 1 Million Sites, se un URL non è presente nella classifica prende come punteggio 10 milioni mentre se un URL proviene da un servizio di hosting lo si valuta come inclassificato.
4 L’indice di reputazione locale degli URL invece si ricava contando il numero di giorni del mese precedente in cui almeno un dipendente dell’azienda ha inviato una mail contenente il Fully-qualified domain dell’URL. L’insieme per l’addestramento contiene 25 milioni di email, prelevate durante il periodo Aprile-Giugno 2018, da 52 aziende (Exploratory orgs), mentre l’insieme per il test contiene 87 milioni di email che provengono dal periodo Luglio-Ottobre 2018 delle 52 aziende sopracitate e dalle email delle restanti 40 aziende (Test orgs). Dopo la fase di addestramento, data un’email il classificatore sarà in grado di estrarre tutte le caratteristiche necessarie e darne una classificazione. Le aziende hanno un volume di email molto differente come mostrato in Figura 1. 3. Elaborazione dei risultati Gli attacchi di lateral phishing verranno contati tramite mail univoche della coppia oggetto-mittente, queste occorrenze vengono chiamate incident. Questa metodologia permette di non sovrastimare i numeri degli attacchi in caso di molti destinatari. Per valutare la qualità del classificatore vengono utilizzati due parametri, il detection rate e la precision, il primo parametro è la percentuale di incident rilevati rispetto a tutti gli incident, mentre il secondo è la percentuale di segnalazioni corrette rispetto a quelle complessive (attacchi e falsi positivi). Si ottiene così che nella fase di training il detection rate è del 88,6% degli attacchi e una precision del 31,3%. Mentre nel dataset di test otteniamo un detection rate del 87,3% e crea 316 falsi positivi con una precision del 23,3% (Tabella 1). Tabella 1: Risultati della valutazione del classificatore. Figura 1: Distribuzione del numero di mailbox nelle 92 aziende
5 Analizzando i risultati del classificatore sul campione di 92 aziende si evidenzia che 33 hanno subito un attacco di lateral phishing e di queste il 60% con almeno due account compromessi come si vede in figura 2. Per quantificare gli attacchi in cui l’attaccante riesce a compromettere il destinatario per inviare altre email di phishing, si studia il comportamento dei destinatari delle email. Ipotizziamo che Alice sia l’attaccante e Bob un destinatario, saremo in grado di dire che l’attacco è stato portato a termine con successo se: Bob riceve l’email di phishing da Alice, Bob entro due giorni invia una sua mail di phishing ad altri utenti e i messaggi inviati da Alice e Bob sono strettamente correlati. In conclusione, nel campione risulta che 17 utenti inizialmente compromessi sono riusciti a ottenere l’accesso ad altri 23 utenti. Non si è in grado però di quantificare il numero completo di account compromessi. Concentrandosi ora sui destinatari dei messaggi spediti dagli attaccanti si possono suddividere quasi tutti gli attacchi in quattro categorie: Account-agnostic Attackers, Lateral- organization Attackers, Organization-wide Attackers e Target-recipient Attackers. Un attacco di phishing viene identificato come Account-agnostic Attackers se meno dell’1% dei destinatari fa parte della stessa organizzazione e se i destinatari non hanno una forte connessione con il mittente, oppure, se meno del 50% dei destinatari appartiene alla stessa organizzazione del mittente e se i destinatari appartengono ad almeno il doppio dei domini email rispetto a quelli presenti negli ultimi contatti del destinatario. Un attacco viene valutato come Lateral-organization Attackers se i destinatari fanno parte della stessa organizzazione per meno dell’1%, ma fanno parte di aziende che si occupano della stessa zona di mercato. L’ Organization-wide Attackers si verifica se più del 50% dei dipendenti di un’azienda riceve la stessa email di phishing oppure se più del 95% dei destinatari dell’attacco appartengono alla stessa azienda dell’attaccante. L’ultima categoria è quelle degli Target-recipient Attackers si riferisce agli attacchi in cui almeno il 33,3% dei destinatari appartengono ai contatti recenti del mittente. La distribuzione degli attacchi secondo questa classificazione si trova nella Tabella 2. Tabella 2: Quantificazione dei tipi di attacchi. Figura 2: frazione totale delle aziende rispetto il numero totale di account compromessi. ATO: account compromessi
6 Oltre a questa suddivisione in classi basata sui destinatari, si può creare un’ulteriore distinzione per quanto riguarda il contenuto della mail. È possibile valutare una mail attraverso due macro-gruppi con tre ulteriori divisioni ciascuno. Il primo macro-gruppo è quello del topic Tailoring che caratterizza la specificità del messaggio, di divide in: generic phishing in cui non si entra in nessun dettaglio specifico, Broadly enterprise related topic in cui il messaggio, pur rimanendo generico, risulta pertinente per molte aziende dello stesso ramo e per ultimo il target topic in cui il messaggio è molto legato all’azienda di cui fa parte il destinatario. Il secondo macro-gruppo è il name tailoring che differenzia le email in base all’uso preciso del nome del destinatario o dell’azienda, anche questa categoria si divide in tre sottogruppi: non-personal naming che sono messaggi in cui non viene nominata né l’azienda né il nome del dipendente, Organization specifically named dove viene specificato il nome dell’azienda ma non quello del destinatario e recipient specifically named in cui viene usato il nome della vittima. Incrociando questi macro-gruppi otteniamo la tabella 3. Le principali tecniche per adescare le vittime sono due: la prima consiste in un messaggio di errore riguardante l’account, mentre la seconda è la notifica di una nuova condivisione di un documento. Per approfondire questi metodi di adescamento si è costruito il set di tutte le parole presenti in ciascuno degli attacchi. Il dizionario così ottenuto è composto solo da 444 parole distinte e nella quasi totalità degli attacchi è presente almeno una delle 20 parole più frequenti. Da questo risultato e dai risultati precedenti si trae la conclusione che gli attaccanti cercano di utilizzare tecniche di adescamento banali e metodi di scrittura generici per poter riutilizzare lo stesso messaggio per attacchi a più aziende. Si è studiato inoltre l’andamento temporale degli attacchi durante la settimana, ma non ne risulta nessun comportamento particolare, analogamente anche una ricerca sull’attività o inattività account dai quali partono le mail non ha portato a risultati. Si nota inoltre che alcuni attaccanti utilizzano delle tecniche non automatizzate per aumentare le possibilità di riuscita di un attacco di lateral phishing, un metodo è quello di Tabella 3: Divisione degli attacchi in base alla Topic Tailoring ed il Name Tailoring Tabella 4: Le dieci parole più comuni presenti nelle email di phising
7 avere un’interazione attiva con i destinatari tramite risposte a mail di conferma di autenticità o chiarimenti sul messaggio. Altri attaccanti invece investono del tempo extra per eliminare le tracce degli attacchi. In totale in 48 attacchi è stata utilizzata almeno una di queste due tecniche. 4. Conclusione In conclusione, questo lavoro è solamente un primo studio del fenomeno, in quanto ci sono ancora molti aspetti da approfondire. Inoltre, si denota la possibilità che il lateral phishing in futuro possa evolversi e diventare molto più pericoloso utilizzando più efficacemente i dati reperibili dagli account email oppure utilizzando tecniche di mascheramento più efficaci. RIFERIMENTI: [1] Grant Ho, Asaf Cidon, Lior Gavish, Marco Schweighauser, Vern Paxson, Stefab Savage Geoffrey M. Voelker, David Wagne. Detecting and Characterizing Lateral Phishing at scale. In Proc. of 28th USENIX Security Symposium, 2019. [2] Wikipedia, Random forest. https://en.wikipedia.org/wiki/Random_forest Accessed feb-2020 [3] Wikipedia, Jaccard index. https://en.wikipedia.org/wiki/Jaccard_index Accessed feb-2020

Recommended

Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Federico Cergol
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
AlbertoLuvisutto
 
High precision detection of business e mail compromise
High precision detection of business e mail compromiseHigh precision detection of business e mail compromise
High precision detection of business e mail compromise
Davide Savron
 
Extended summary of why we still can’t browse in peace on the uniqueness and ...
Extended summary of why we still can’t browse in peace on the uniqueness and ...Extended summary of why we still can’t browse in peace on the uniqueness and ...
Extended summary of why we still can’t browse in peace on the uniqueness and ...
DiegoBartoli2
 
Rama ada 2010-11_esercizio4
Rama ada 2010-11_esercizio4Rama ada 2010-11_esercizio4
Rama ada 2010-11_esercizio4adarama
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Matteo Makovec
 
Sunrise tosunset
Sunrise tosunsetSunrise tosunset
Sunrise tosunset
SilvioAngeloBarattoR
 
Summary of :“Detecting and Characterizing Lateral Phishing at scale”
Summary of :“Detecting and Characterizing Lateral Phishing at scale”Summary of :“Detecting and Characterizing Lateral Phishing at scale”
Summary of :“Detecting and Characterizing Lateral Phishing at scale”
Matteo Billè
 

Recommended

Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Federico Cergol
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
AlbertoLuvisutto
 
High precision detection of business e mail compromise
High precision detection of business e mail compromiseHigh precision detection of business e mail compromise
High precision detection of business e mail compromise
Davide Savron
 
Extended summary of why we still can’t browse in peace on the uniqueness and ...
Extended summary of why we still can’t browse in peace on the uniqueness and ...Extended summary of why we still can’t browse in peace on the uniqueness and ...
Extended summary of why we still can’t browse in peace on the uniqueness and ...
DiegoBartoli2
 
Rama ada 2010-11_esercizio4
Rama ada 2010-11_esercizio4Rama ada 2010-11_esercizio4
Rama ada 2010-11_esercizio4adarama
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Matteo Makovec
 
Sunrise tosunset
Sunrise tosunsetSunrise tosunset
Sunrise tosunset
SilvioAngeloBarattoR
 
Summary of :“Detecting and Characterizing Lateral Phishing at scale”
Summary of :“Detecting and Characterizing Lateral Phishing at scale”Summary of :“Detecting and Characterizing Lateral Phishing at scale”
Summary of :“Detecting and Characterizing Lateral Phishing at scale”
Matteo Billè
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 

More Related Content

Featured

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Summary of :“Detecting and Characterizing Lateral Phishing at scale”

  • 1. 1 UNIVERSITÀ DEGLI STUDI DI TRIESTE DIPARTIMENTO DI INGEGNERIA E ARCHITETTURA Tesi triennale in Ingegneria Elettronica ed Informatica Summary of “Detecting and Characterizing Lateral Phishing at scale” [1] Candidato: Relatore: Matteo BILLÈ Prof. Alberto BARTOLI Matricola: IN0500281 Anno Accademico 2019-2020
  • 2. 2 Indice: 1 Introduzione ..................................................................................................................................3 2 Descrizione del classificatore .......................................................................................................3 3 Elaborazione dei risultati .............................................................................................................4 4 Conclusione ....................................................................................................................................7
  • 3. 3 1. Introduzione Per oltre una decade la sicurezza informatica ha esplorato e ha sviluppato molte difese contro gli attacchi di tipo phishing. Negli ultimi anni però si è sviluppato un nuovo tipo di attacco phishing detto lateral phishing in cui l’attaccante usa un account aziendale compromesso per inviare delle email di phishing ad un gruppo di destinatari. Questi attacchi sono particolarmente insidiosi perché viene sfruttata la fiducia implicita che il mittente ha sia da parte dell’utente destinatario del messaggio sia da parte dei sistemi di protezione convenzionali. Viene presentato in questo articolo un nuovo classificatore per rilevare gli URL-based lateral phishing ovvero gli attacchi in cui è presente un URL maligno e viene studiata una prima caratterizzazione su larga scala di questo fenomeno. Per questo studio ci si è basati su un dataset di 92 aziende di cui 23 sono state scelte casualmente fra una lista di società che hanno riportato attacchi di lateral phishing, mentre le altre 69 sono state scelte casualmente. Le 92 aziende scelte risultano avere mercati diversi e dimensioni diverse. 2. Descrizione del classificatore Per creare un insieme degli attacchi di lateral phishing vengono unite due sorgenti, la prima è l’insieme delle mail riportate dalla sicurezza dell’azienda, la seconda è invece un rivelatore che segnala le possibili email pericolose che poi vengono controllate manualmente. Il metodo studiato per etichettare un’email è quello di creare un classificatore tramite un algoritmo di random forest [2] addestrato tramite tre set di features. a) Il primo set consiste in due variabili, la prima è il numero di destinatari univoci di ogni messaggio, mentre la seconda valuta la Jaccard similarity [3] tra i destinatari dell’email e i destinatari a cui l’indirizzo mittente ha scritto nel mese precedente. b) Il secondo set è composto da una variabile booleana che indica la presenza nell’email di una delle parole contenute in un dizionario di 150 parole chiave tipiche degli attacchi phishing costruito analizzando migliaia di attacchi. c) Il terzo set è composto da due indici, un indice di reputazione globale degli URL contenuti nelle email e un indice di reputazione locale degli URL nell’email. L’indice di reputazione globale si ottiene prendendo il massimo indice degli URL presenti nelle mail. L’indice di ogni URL corrisponde alla sua posizione all’interno del ranking Cisco Umbrella Top 1 Million Sites, se un URL non è presente nella classifica prende come punteggio 10 milioni mentre se un URL proviene da un servizio di hosting lo si valuta come inclassificato.
  • 4. 4 L’indice di reputazione locale degli URL invece si ricava contando il numero di giorni del mese precedente in cui almeno un dipendente dell’azienda ha inviato una mail contenente il Fully-qualified domain dell’URL. L’insieme per l’addestramento contiene 25 milioni di email, prelevate durante il periodo Aprile-Giugno 2018, da 52 aziende (Exploratory orgs), mentre l’insieme per il test contiene 87 milioni di email che provengono dal periodo Luglio-Ottobre 2018 delle 52 aziende sopracitate e dalle email delle restanti 40 aziende (Test orgs). Dopo la fase di addestramento, data un’email il classificatore sarà in grado di estrarre tutte le caratteristiche necessarie e darne una classificazione. Le aziende hanno un volume di email molto differente come mostrato in Figura 1. 3. Elaborazione dei risultati Gli attacchi di lateral phishing verranno contati tramite mail univoche della coppia oggetto-mittente, queste occorrenze vengono chiamate incident. Questa metodologia permette di non sovrastimare i numeri degli attacchi in caso di molti destinatari. Per valutare la qualità del classificatore vengono utilizzati due parametri, il detection rate e la precision, il primo parametro è la percentuale di incident rilevati rispetto a tutti gli incident, mentre il secondo è la percentuale di segnalazioni corrette rispetto a quelle complessive (attacchi e falsi positivi). Si ottiene così che nella fase di training il detection rate è del 88,6% degli attacchi e una precision del 31,3%. Mentre nel dataset di test otteniamo un detection rate del 87,3% e crea 316 falsi positivi con una precision del 23,3% (Tabella 1). Tabella 1: Risultati della valutazione del classificatore. Figura 1: Distribuzione del numero di mailbox nelle 92 aziende
  • 5. 5 Analizzando i risultati del classificatore sul campione di 92 aziende si evidenzia che 33 hanno subito un attacco di lateral phishing e di queste il 60% con almeno due account compromessi come si vede in figura 2. Per quantificare gli attacchi in cui l’attaccante riesce a compromettere il destinatario per inviare altre email di phishing, si studia il comportamento dei destinatari delle email. Ipotizziamo che Alice sia l’attaccante e Bob un destinatario, saremo in grado di dire che l’attacco è stato portato a termine con successo se: Bob riceve l’email di phishing da Alice, Bob entro due giorni invia una sua mail di phishing ad altri utenti e i messaggi inviati da Alice e Bob sono strettamente correlati. In conclusione, nel campione risulta che 17 utenti inizialmente compromessi sono riusciti a ottenere l’accesso ad altri 23 utenti. Non si è in grado però di quantificare il numero completo di account compromessi. Concentrandosi ora sui destinatari dei messaggi spediti dagli attaccanti si possono suddividere quasi tutti gli attacchi in quattro categorie: Account-agnostic Attackers, Lateral- organization Attackers, Organization-wide Attackers e Target-recipient Attackers. Un attacco di phishing viene identificato come Account-agnostic Attackers se meno dell’1% dei destinatari fa parte della stessa organizzazione e se i destinatari non hanno una forte connessione con il mittente, oppure, se meno del 50% dei destinatari appartiene alla stessa organizzazione del mittente e se i destinatari appartengono ad almeno il doppio dei domini email rispetto a quelli presenti negli ultimi contatti del destinatario. Un attacco viene valutato come Lateral-organization Attackers se i destinatari fanno parte della stessa organizzazione per meno dell’1%, ma fanno parte di aziende che si occupano della stessa zona di mercato. L’ Organization-wide Attackers si verifica se più del 50% dei dipendenti di un’azienda riceve la stessa email di phishing oppure se più del 95% dei destinatari dell’attacco appartengono alla stessa azienda dell’attaccante. L’ultima categoria è quelle degli Target-recipient Attackers si riferisce agli attacchi in cui almeno il 33,3% dei destinatari appartengono ai contatti recenti del mittente. La distribuzione degli attacchi secondo questa classificazione si trova nella Tabella 2. Tabella 2: Quantificazione dei tipi di attacchi. Figura 2: frazione totale delle aziende rispetto il numero totale di account compromessi. ATO: account compromessi
  • 6. 6 Oltre a questa suddivisione in classi basata sui destinatari, si può creare un’ulteriore distinzione per quanto riguarda il contenuto della mail. È possibile valutare una mail attraverso due macro-gruppi con tre ulteriori divisioni ciascuno. Il primo macro-gruppo è quello del topic Tailoring che caratterizza la specificità del messaggio, di divide in: generic phishing in cui non si entra in nessun dettaglio specifico, Broadly enterprise related topic in cui il messaggio, pur rimanendo generico, risulta pertinente per molte aziende dello stesso ramo e per ultimo il target topic in cui il messaggio è molto legato all’azienda di cui fa parte il destinatario. Il secondo macro-gruppo è il name tailoring che differenzia le email in base all’uso preciso del nome del destinatario o dell’azienda, anche questa categoria si divide in tre sottogruppi: non-personal naming che sono messaggi in cui non viene nominata né l’azienda né il nome del dipendente, Organization specifically named dove viene specificato il nome dell’azienda ma non quello del destinatario e recipient specifically named in cui viene usato il nome della vittima. Incrociando questi macro-gruppi otteniamo la tabella 3. Le principali tecniche per adescare le vittime sono due: la prima consiste in un messaggio di errore riguardante l’account, mentre la seconda è la notifica di una nuova condivisione di un documento. Per approfondire questi metodi di adescamento si è costruito il set di tutte le parole presenti in ciascuno degli attacchi. Il dizionario così ottenuto è composto solo da 444 parole distinte e nella quasi totalità degli attacchi è presente almeno una delle 20 parole più frequenti. Da questo risultato e dai risultati precedenti si trae la conclusione che gli attaccanti cercano di utilizzare tecniche di adescamento banali e metodi di scrittura generici per poter riutilizzare lo stesso messaggio per attacchi a più aziende. Si è studiato inoltre l’andamento temporale degli attacchi durante la settimana, ma non ne risulta nessun comportamento particolare, analogamente anche una ricerca sull’attività o inattività account dai quali partono le mail non ha portato a risultati. Si nota inoltre che alcuni attaccanti utilizzano delle tecniche non automatizzate per aumentare le possibilità di riuscita di un attacco di lateral phishing, un metodo è quello di Tabella 3: Divisione degli attacchi in base alla Topic Tailoring ed il Name Tailoring Tabella 4: Le dieci parole più comuni presenti nelle email di phising
  • 7. 7 avere un’interazione attiva con i destinatari tramite risposte a mail di conferma di autenticità o chiarimenti sul messaggio. Altri attaccanti invece investono del tempo extra per eliminare le tracce degli attacchi. In totale in 48 attacchi è stata utilizzata almeno una di queste due tecniche. 4. Conclusione In conclusione, questo lavoro è solamente un primo studio del fenomeno, in quanto ci sono ancora molti aspetti da approfondire. Inoltre, si denota la possibilità che il lateral phishing in futuro possa evolversi e diventare molto più pericoloso utilizzando più efficacemente i dati reperibili dagli account email oppure utilizzando tecniche di mascheramento più efficaci. RIFERIMENTI: [1] Grant Ho, Asaf Cidon, Lior Gavish, Marco Schweighauser, Vern Paxson, Stefab Savage Geoffrey M. Voelker, David Wagne. Detecting and Characterizing Lateral Phishing at scale. In Proc. of 28th USENIX Security Symposium, 2019. [2] Wikipedia, Random forest. https://en.wikipedia.org/wiki/Random_forest Accessed feb-2020 [3] Wikipedia, Jaccard index. https://en.wikipedia.org/wiki/Jaccard_index Accessed feb-2020