En septiembre pasado anunciamos nuestras nuevas tecnologías de seguridad para correo electrónico potenciadas por XGen™, así como un nuevo producto denominado Smart Protection for Office 365. Una tecnología clave que se presentó fue nuestra técnica de detección de fraudes por correo electrónico, o Compromiso del Correo Electrónico Comercial (BEC), basada en la inteligencia artificial (AI).
A un usuario que recibe un mensaje con BEC no le será fácil distinguir si es falso o real. Probablemente estará más preocupado por atender la solicitud urgente de un ejecutivo y perderá de vista los indicios sutiles que apuntan a que el correo electrónico es falso. Las soluciones de seguridad de correo electrónico tradicionales tienen dificultades con estos ataques ya que normalmente no existe un archivo adjunto o URL que examinar, y el contenido es muy similar al de un mensaje legítimo. Estas circunstancias hacen que los ataques de BEC sean difíciles de detectar y muy perjudiciales; de acuerdo con el FBI, las pérdidas promedio por incidente asciende a $132,000 dólares.
Trend Micro Hosted Email Security incluye estándares de autenticación para correo electrónico (SPF, DKIM y más recientemente DMARC) a fin de prevenir la falsificación de dominio/remitentes o emisores, pero esto solamente resuelve parte de la ecuación. Estos estándares evitan que se falsifique su dominio/remitentes pero no evitan otras técnicas de falsificación de correos electrónicos como son el “abuso de cuentas de correo electrónico gratuitas” (uso de un nombre de dominio de correo sin costo pero legítimo) y el “abuso de cuentas de correo electrónico comprometidas” (usando una cuenta comprometida que ataca internamente). Se necesitan tecnologías de BEC adicionales para proteger completamente a los usuarios del correo electrónico.
De qué forma Trend Micro utiliza la I.A. para detectar el BEC
Analicemos más de cerca cómo detectamos los correos electrónicos falsos o los ataques de BEC. A un usuario que recibe un correo electrónico BEC le será difícil distinguir si es falso. El contenido parece legítimo y los atacantes jugarán con el deseo del empleado de responder al ejecutivo por el que se están haciendo pasar.
Trend Micro utiliza inteligencia artificial que combina el conocimiento de un experto en seguridad con un modelo matemático que aprende automáticamente con el propósito de identificar los correos electrónicos falsos. Un experto en seguridad que examina un mensaje observaría los factores de comportamiento de un correo electrónico y su intención.
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog-3.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”813″ height=”338″]
El investigador de seguridad buscaría en el título del correo factores como si el mensaje proviene de un proveedor de correo electrónico no seguro, si el dominio del remitente es similar al de la organización objetivo, si el remitente está usando el nombre de un ejecutivo de la organización del receptor, entre muchos otros factores.
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog1-4.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”715″ height=”295″]
El investigador leería también el contenido del correo para deducir su intención. Los factores sospechosos incluirían un sentido de urgencia, una solicitud de acción, o una implicación financiera. Ninguno de estos factores son sospechosos por naturaleza, pero ofrecen un panorama más completo cuando se combinan con los factores de comportamiento del atacante.
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog2-3.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”704″ height=”316″]
Podemos imitar el proceso de toma de decisiones del investigador de seguridad con una forma de inteligencia artificial llamada Expert System. Las reglas del investigador deciden qué factores del correo electrónico examinar y clasificar si resultan sospechosos.
Entonces utilizamos una segunda forma de inteligencia artificial llamada machine learning que toma los resultados del sistema experto y utiliza un algoritmo generado por computadora para determinar si el correo electrónico es real, falso o sospechoso. El algoritmo de machine learning se basa en millones de correos electrónicos genuinos y falsos, y tiene la capacidad de aprender y mejorarse constantemente. Evalúa los resultados de las reglas de los expertos y detecta con mayor precisión el correo electrónico fraudulento como falso.
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/10/blog3.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”820″ height=”320″]
Incluso los usuarios capacitados tienen dificultades para identificar correos electrónicos de phishing. Trend Micro combina las reglas de toma de decisiones de un experto en seguridad con el poder del machine learning para detectar los correos electrónicos falsos y evitar los dañinos ataques del Compromiso de Correo Electrónico Comercial.
¿Por qué es distinta la técnica de detección de BEC de Trend Micro?
- Protege no sólo contra la falsificación de remitentes sino también contra el contenido sospechoso
Analizamos no sólo el comportamiento del correo electrónico (ejemplo: remitente falsificado), sino también la intención (ejemplo: la urgencia), usando el Expert System y machine learning.
- Incluye protección contra el BEC interno para una cuenta de correo electrónico comprometida
Cuando la cuenta o el buzón de un usuario se compromete, normalmente después de un embate de phishing, el atacante puede usar la cuenta comprometida para enviar correos internos de phishing o BEC. Debido a que el mensaje proviene del buzón de un usuario legítimo, no habrá nada sospechoso en el título del correo o en la dirección del emisor. Por tanto, las técnicas de autenticación de remitentes no pueden detectar esto. Cloud App Security de Trend Micro, que se incluye en Smart Protection for Office 365, puede detectar ataques BEC internos en el correo electrónico de Office 365.
- Incluye protección de usuarios de alto perfil
Ya que los fraudes de BEC atacan a usuarios de alto perfil como ejecutivos de compañías, se aplica un escrutinio extra a los usuarios que son identificados por el cliente usando grupos de Active Directory o capturando sus direcciones de correo electrónico. Trend Micro analizará los mensajes entrantes que afirman ser enviados por esos usuarios y aplicará los criterios de comprobación de fraude para identificar los mensajes falsos.
- Sin cargo extra
La protección contra BEC se incluye en Smart Protection for Office 365, que contiene Hosted Email Security (gateway de correo electrónico en la nube) y Cloud App Security (integración de servicios basada en API). No es necesario hacer un cargo extra pues creemos que todos los clientes merecen la mejor protección contra BEC.
Protección completa contra amenazas para su correo electrónico Office 365 e intercambio de archivos
Smart Protection for Microsoft Office 365 le ofrece las ventajas de un gateway y una solución integrada de servicios. El gateway ofrece una entrega previa contra phishing, fraude y amenazas avanzadas junto con cumplimiento de tráfico saliente usando DLP y encripción. La capa integrada de servicios protege contra el correo interno, OneDrive, Box, Dropbox y SharePoint, y es capaz de identificar amenazas en buzones y archivos existentes.
Leave a Reply