Darktrace电子邮件发现：微软团队模拟电子邮件安全产品总监Dan Fein，2020年7月16日星期四随着移动到远程工作，微软团队的每日活跃用户数量从去年的2000万增加到7500万。Slack、Zoom和googlemeet也出现了类似的趋势。随着这些SaaS应用程序成为我们工作生活中的主要应用程序，我们可以预期网络犯罪分子开始利用他们家喻户晓的名字和可信的声誉来发动电子邮件攻击竞选。真的上个月，Darktrace的人工智能在一家跨国企业集团以被动模式部署时，就开始了这样的尝试。Antigena电子邮件识别出48封冒充微软团队通知的传入电子邮件，但实际上来自一个未知的发件人和罕见的域。这些邮件中有一个隐藏的谷歌存储网站链接，隐藏在文本"接受协作"的后面，08:26:42分发件人：Microsoft团队收件人：Naomi Kelly团队消息电子邮件标签快速链接电子邮件上新的联系人范围内的分配移动到JunkDouble Lock LinkHold消息图1:Antigena电子邮件用户界面的交互式快照文件存储链接经常使用因为他们绕过垃圾邮件过滤。虽然链接本身并不被认为是恶意的，但它们很可能包含包含文件或其他有害内容的恶意软件。虽然这一攻击本来可以通过一个传统的电子邮件安全工具，Antigena电子邮件注意到，在这种情况下，该页面似乎托管了一个微软的登录页面。在电子邮件通过时，URL扫描并没有显示这个网站是恶意的，但是Antigena电子邮件认识到，Google域托管Office登录是非常不寻常的第页。识别这是一个试图冒充内部服务分发网络钓鱼链接，Antigena电子邮件锁定了有问题的链接并持有从收件箱返回的邮件。下面的截图显示了被破坏的模型的完整列表，以及这促使人工智能采取的相应行动拿着。数字2： 与此电子邮件相关的完整模型违反列表，以及采取的相关操作48封电子邮件中没有一封被Microsoft内置的安全工具捕获，其中12封电子邮件是由收件人。此外，电子邮件是按字母顺序发送给收件人的，这表明攻击者可能已经掌握了一个公司的地址簿，如果Antigena电子邮件没有识别出恶意活动并立即向安全部门发出警报，攻击者很可能会继续攻击，攻击目标甚至更多的员工团队。这个不是第一次，而且不太可能是最后一次，攻击者利用可信的SaaS协作工具试图吸引用户并诱使他们点击恶意链接。Antigena电子邮件可以看穿这些尝试，识别出什么时候一个值得信赖的品牌名称被用来掩盖不寻常和威胁性的行为。数以百计的组织现在正依赖这种人工智能技术，针对这些日益复杂的问题，制定更全面的检测和响应策略攻击。为了分析了13个以上的电子邮件攻击，阅读电子邮件安全威胁报告2020Dan feinb总部位于纽约，是美国电子邮件安全产品总监。他于2015年加入了Darktrace的技术团队，帮助客户迅速对Darktrace全球领先的网络人工智能平台和产品有一个全面而细致的了解。Dan特别关注Antigena电子邮件，确保它能有效地部署在复杂的数字环境中，并与开发、营销、销售和技术团队密切合作。丹拥有纽约计算机科学学士学位大学。分享在LinkedIn上的FacebookTweetShare发送电子邮件