Darktrace电子邮件发现：Chase fraud alertMariana Pereira，电子邮件安全产品总监| 2020年7月13日星期一，我们分析了一个冒充QuickBooks（一种会计软件）的网络钓鱼攻击，试图在整个组织中安装恶意软件。这个博客展示了另一个最近的威胁发现，一个值得信任的金融机构的品牌被用来发送电子邮件攻击。用大通银行年收入超过1000亿美元，是美国第二大信用卡发行商。不足为奇的是，这个众所周知的、值得信赖的品牌被攻击者用于网络钓鱼攻击。随着最近电子商务交易的激增，加上对数字安全的审查越来越严格，当涉及到银行信息的安全性时，消费者高度警惕。来自金融机构的"欺诈警报"会引发压力和焦虑，接收者可能会匆忙采取行动，忘记安全培训，即使看起来可疑，也会点击链接。利用人类的情感，攻击者增加了成功。那个袭击者的解剖似乎已经投入了大量的研究和准备，精心设计了一个看起来合法的追逐诈骗警惕。数字1： 在仿冒邮件中的恶意邮件的一部分重新生成收件人将被要求确认交易是合法的。无论是通过电子邮件、短信还是应用程序收到的通知，通常都会包括供应商的名称、交易的日期和时间以及金额。攻击者不厌其烦地复制了这一点，列出了具体的可疑点交易。攻击者经常利用像蔡斯这样的知名品牌不分青红皂白地瞄准大量收件箱。从统计上看，他们很可能在不需要真正黑客攻击大通的情况下找到一个大通客户客户关系管理。但是虽然像这样的电子邮件绕过传统工具，经常愚弄人类收件人，但它们很容易被Antigena电子邮件对异常活动的上下文理解所发现，并被其自主性所阻止回答。怎么做AI抓到了假欺诈警报在这种情况下，当欺诈警报到达收件箱时，Antigena电子邮件检测到该电子邮件异常，给该电子邮件100%的异常分数。100%2020年6月22日星期一，10:38:34发件人：Chase Fraud警惕收件人：Kirsty Dunhill所需操作：确认您将这些purchasesEmail标记Susperches LinkNew Contacts Unknown Responents on EmailLock LinkHold Message图2:Darktrace的AI将电子邮件显示为100%异常，此高异常分数表明这是一封非常不寻常的电子邮件，Antigena电子邮件自动将其从用户的收件箱发件人的域，"fraudpreventino"在视觉上与"fraudprevention"（合法网站的域）相似，因此看起来像是很容易被a误读为合法的用户。但是，在Antigena Email dashboard的高级选项卡中，我们看到KCE和KCD的指标都是0，表示这是一个新的电子邮件地址，以前从未与收件人或组织内的任何其他人通信。另外，我们可以看到DKIM失败了，并且没有SPF记录，因此没有记录来验证电子邮件。图3： 威胁可视化工具显示，这些电子邮件已失败的SPF和DKIM checksAntigena电子邮件检测到电子邮件的其他异常方面，表明这是一次攻击。电子邮件包含许多异常链接，并且显示的链接地址与超链接此特定电子邮件中的显示链接是电子邮件发送时新注册的域。毫不奇怪，这个域现在被标识为恶意页面。但是，在发送电子邮件时，该域并没有被列在"拒绝列表"中，并且可能会跳过垃圾邮件过滤器或旧版安全性工具。在点击链接，用户就会看到一个欺诈的蔡斯登录屏幕。这是一种常见的凭证获取技术–当用户输入凭证时，他们会不知不觉地将此信息交给袭击者。图4： 假蔡斯登录屏幕与凭证收集恶意网站现在也被认为是恶意的，现在，用户会收到一条警告，鼓励他们在输入sensitive之前三思而后行信息。图5： 这个网页后来被网络浏览器认为是有害的，现在还不清楚假登录页面在被添加到"denylists"之前存在了多久，但可以肯定的是，Antigena电子邮件能够阻止攻击，即使没有任何关于攻击者技术的威胁情报，也能阻止攻击，确保没有任何损害完成了。图6： Antigena电子邮件识别恶意链接隐藏在误导性按钮后除了此按钮，攻击者还花时间添加许多合法的追逐链接和图片。通过在电子邮件中填充大部分有效的内容和链接，攻击者试图欺骗传统电子邮件安全工具，使其认为电子邮件是良性的。请注意，这些都链接到"欺诈事件"的合法地址，，它本身被用作发送者。图7： 电子邮件中包含的完整链接列表防御复杂的网络钓鱼攻击攻击者继续利用社会工程策略，在越来越有针对性的网络钓鱼攻击中利用人为错误和恐惧，在他们的域名中精心设计细微的拼写错误，用合法的链接填充电子邮件，制造一种虚假的紧迫感。当人们的压力和焦虑水平因全球变暖而变得更加敏感的时候，能够以机器速度和精度发现并阻止威胁的自学习人工智能成为一种关键工具中断当然，在这种攻击中，有一种讽刺意味，即操作顺序直接颠倒：首先是通知，然后是欺诈。但是有了Antigena电子邮件，像这样的攻击会被阻止，保护员工和组织免受攻击伤害。学习更多关于antigenaemailmariana PereiraMariana是Darktrace电子邮件安全产品的主管，主要关注AI网络防御电子邮件攻击的能力。Mariana与开发、分析师和营销团队密切合作，就如何最好地增强电子邮件域内的网络弹性以及如何将人工智能技术作为防御手段向技术和非技术受众提供建议。她经常在国际活动上发表演讲，专门介绍复杂的、人工智能驱动的电子邮件攻击。她拥有芝加哥大学的工商管理硕士学位，会说几种语言，包括法语、意大利语和葡萄牙语。分享在LinkedIn上的FacebookTweetShare发送电子邮件