Email Security

    Mobilisierung von AI im Kampf gegen URL-Phishing

    E-Mail-Scanner integrieren künstliche Intelligenz, um ihre Effektivität bei der Erkennung und Blockierung bösartiger URLs zu verbessern.

    by Kiri Addison

    Wichtige Punkte

    • Seit Jahren haben Sicherheitsteams mit einem besonders hartnäckigen Problem zu kämpfen.
    • Mitarbeiter klicken immer wieder auf bösartige Links in E-Mails und laden damit unwissentlich Cyberangriffe auf ihr Unternehmen ein.
    • Software zum Scannen von E-Mails in Verbindung mit Schulungen zum Thema Sicherheit hat das Problem zwar eingedämmt, aber nicht beseitigt.
    • Jetzt sind KI-gestützte Scanner auf dem Vormarsch.

    Mitarbeiter klicken auf bösartige URLs in Phishing-E-Mails. Es passiert immer wieder: Ein Mitarbeiter landet auf einer gefälschten Website und gibt sein Lieblingspasswort ein - das gleiche, das er auch für seine Firmen-E-Mails, Kollaborationsplattformen und Apps verwendet. Diese kleine Schwachstelle in der Sicherheitspanzerung ihres Arbeitgebers kann schließlich zu einer umfassenden Datenverletzung, einem Ransomware-Angriff oder einem Netzwerkausfall führen.

    Herkömmliche Tools zum Scannen und Blockieren von E-Mails haben dieses Problem nicht beseitigt. Jetzt können Scanner mit künstlicher Intelligenz (KI) aufgerüstet werden, um viele der bösartigen URLs zu erkennen, die sich normalerweise der Erkennung entziehen. Dieser Ansatz beginnt sich für die Kunden von Mimecasts KI-gestütztem URL Protection Scanner auszuzahlen, wie wir weiter unten beschreiben.

    Die neuesten Statistiken über URL-Phishing

    Mimecast untersucht kontinuierlich die Neigung von Mitarbeitern, auf bösartige URLs in E-Mails zu klicken. Die jüngsten Erkenntnisse aus drei unserer Berichte - State of Email Security 2022 , How to Reduce the Risk of Phishing and Ransomware und der in Kürze erscheinende State of Ransomware - verdeutlichen die Hartnäckigkeit der Situation:

    • Die derzeitigen Präventionsmaßnahmen greifen zu kurz. Mehr als die Hälfte der Befragten stufte die Effektivität ihrer Organisation als gering ein, wenn es darum geht, Mitarbeiter davon abzuhalten, durch E-Mails auf Phishing-Websites zu klicken.
    • Bösartige URLs verbreiten sich wie ein Lauffeuer. Vier von 10 Mitarbeitern gaben an, dass sie mit bösartigen URLs infizierte E-Mails in ihrem Unternehmen verbreitet haben.
    • Click-throughs treiben Ransomware an. Mehr als 40 % der Ransomware-Angriffe wurden auf Phishing-E-Mails zurückgeführt, die die Empfänger auf eine bösartige Website führten.

    Wie bösartige URLs aussehen 

    Unsere Arbeit mit Kunden liefert einige reale Beispiele für bösartige URLs, die zeigen, wie verlockend es für Mitarbeiter ist, auf sie zu klicken. Hier sind nur drei, die von unserem KI-gesteuerten Scanner erfasst wurden:

    • Microsoft 365 Online-Fax: Eine E-Mail mit einem Microsoft 365-Logo und einer Miniaturansicht eines scheinbar offiziellen Dokuments kam an. "Sie haben (2) Pdf online erhalten", hieß es in dem Schreiben. "Klicken Sie hier." Leider handelte es sich dabei um eine Phishing-E-Mail, und der Link führte zu einer Website zum Sammeln von Zugangsdaten.
    • OneDrive-Datei: In einer weiteren E-Mail wird der Empfänger darauf hingewiesen, dass er ein gesichertes Dokument über OneDrive erhalten hat, und aufgefordert, auf den Link "Dokument anzeigen" zu klicken. Unsere Untersuchung ergab, dass der Angreifer die Absicht hatte, das Gerät des Benutzers mit Malware zu infizieren.
    • Skype-Einladung: So viele Sitzungen zur Zusammenarbeit am Arbeitsplatz, so wenig Zeit für die Mitarbeiter, den Überblick zu behalten. Diese Einladung mit dem Microsoft-Logo schlug dem Empfänger lediglich vor, die Sitzung mit Hilfe seiner E-Mail, seines Telefons oder seines Skype-Logins und -Kennworts zu initiieren". Eigentlich war die E-Mail eine Einladung zum Diebstahl von Zugangsdaten.

    Viele bösartige URLs führen zum Diebstahl von Anmeldeinformationen, was im IBM Cost of a Data Breach Report 2022 als eine der häufigsten Ursachen für Datenschutzverletzungen genannt wird.[1] Andere Links leiten die E-Mail-Empfänger auf gefälschte Websites, die Malware auf die Geräte und Netzwerke von Unternehmen herunterladen, so genannte Drive-by-Downloads.

    Bei der Analyse einer gesperrten URL haben wir beispielsweise festgestellt, dass sie mit ziemlicher Sicherheit eine trojanerähnliche Variante von Malware heruntergeladen hätte, die normalerweise im Dark Web für etwa 100 Dollar verkauft wird. Zu den Hauptfunktionen dieser Malware gehören das Sammeln von Informationen aus Browsern (einschließlich Kennwörtern, Autofill-Daten, Cookies und Kreditkarteninformationen), Remote-Desktop-Zugriff (zum Installieren und Starten von Malware) und anderes.

    Integration von KI zur Verbesserung der Scanning-Fähigkeiten

    Unternehmen können die Funktionen aktueller Scanner durch KI ergänzen, indem sie beispielsweise URLs mit Bedrohungsdaten abgleichen. Diese Systeme können alle URLs in eingehenden E-Mails umschreiben, so dass die Mitarbeiter, wenn sie auf die Links klicken, die beabsichtigten Ziel-Websites in Echtzeit überprüfen können. Die Benutzer haben nur Zugriff auf URLs, die ausgecheckt sind. Und all dies ist für den Benutzer nicht erkennbar, es sei denn, er erhält einen Warnhinweis, der ihn darüber informiert, dass die URL tatsächlich bösartig ist. 

    Die KI verbessert das URL-Scannen auf verschiedene Weise. Unsere Datenwissenschaftler haben die Fähigkeit entwickelt, weit über die Standardbehandlung einer URL hinauszugehen. Unser KI-gestützter Scanner berücksichtigt auch den Kontext, einschließlich der Merkmale der E-Mail, der Anhänge und der Zielseite, sowie andere KI-gestützte TTP-Erweiterungen wie Credential Theft Protection, die auf Websites auf Markenspoofing und Versuche zum Sammeln von Zugangsdaten untersucht. Diese und andere Funktionen bieten zusätzlichen Schutz vor gezielteren, ausgefeilteren Bedrohungen, wie z. B. business email compromise, die im vergangenen Jahr für die größten dem FBI gemeldeten Cyberverluste verantwortlich waren.[2]

    So sind KI-gestützte Scanner in der Lage, neue Bedrohungen wie Zero-Day-URL-Angriffe zu erkennen und zu blockieren - oder auch CAPTCHA-Seiten, die automatisierten Sicherheitsscannern den Weg versperren sollen. Mit anderen Worten: Sie sind jetzt in der Lage, Exploits zu erkennen, die von Bedrohungsforschern noch nie zuvor gesehen wurden. Dies ist eine Schlüsselfunktion, da Angreifer ständig neue bösartige URLs einrichten.

    Unsere KI-gestützten Scanner laufen auf der X1-Plattform von Mimecast, die auf einer 20-jährigen Erfolgsbilanz bei der Überwachung von Billionen von E-Mails aufbaut und sich auf das Nutzerverhalten unserer über 40.000 Kunden stützt, die diese Erfahrung gemacht haben. Ergänzt werden die Scanner durch Funktionen wie Internal Email Protection, die die interne Verbreitung einer bösartigen E-Mail eindämmt, und CyberGraph, eine KI-Funktion, die Beziehungen und Verbindungen zwischen Absendern und Empfängern versteht. Zunehmend wird auch die Leistung von Einzelpersonen in Mimecasts Schulungsprogrammen zum Sicherheitsbewusstsein in unsere Erkennungs- und Präventionssysteme integriert.

    AI verbessert die Wirksamkeit von URL-Scans

    Das Ergebnis ist, dass KI-gestützte Scanner neue und gezieltere Angriffe erkennen können, während sich herkömmliche Scanner auf die Erkennung bekannter bösartiger oder zuvor identifizierter Techniken konzentrieren, die von überwachten Bedrohungsakteuren verwendet werden. Infolgedessen zeigen KI-gestützte E-Mail-Scanner wie der von Mimecast Ergebnisse, indem sie mehr bösartige URLs davon abhalten, die Postfächer der Mitarbeiter zu erreichen.

    Mimecast führte einen Proof of Concept mit unseren eigenen Best-of-Breed-Scannern durch - "vor und nach" AI. In diesem Zeitraum hat Mimecast fast 1 Milliarde angeklickter URLs gescannt und rund 6 Millionen davon blockiert. Der neue KI-gestützte Scanner trug zu einer Steigerung der Erkennungsrate um 1 % bei und schützte Kunden vor mehr als 41.000 Angriffen, die andernfalls unentdeckt geblieben wären.

    Die Statistiken selbst sind aussagekräftig in einem Bereich, in dem es nur einen Klick braucht, um eine "Kill Chain" von Cyberangriffen zu starten. Sie sind jedoch umso bedeutender, als sie in vielen Fällen gezieltere (und potenziell gefährlichere) Angriffe abwehren, während sie in anderen Fällen völlig unbekannt sind (und daher schwerer zu erkennen). 

    Auf der anderen Seite können einige KI-gestützte Scanner viele Fehlalarme erzeugen, wenn sie nicht überprüft werden, was ihre Nützlichkeit untergräbt, da Sicherheitsteams mit Warnmeldungen für URLs überschwemmt werden, die sich als harmlos herausstellen. Im Fall von Mimecast trainieren unsere internen Datenwissenschaftler das maschinelle Lernmodell kontinuierlich neu und überwachen die Leistung, um Fehlalarme zu reduzieren.

    Die Quintessenz

    Künstliche Intelligenz steigert die Effizienz von Systemen, die bösartige URLs in E-Mails scannen und blockieren. Sehen Sie, wie Mimecast Ihnen helfen kann, dieses hartnäckige Problem mit Hilfe von KI zu lösen.

     

     

    [1] "2022 Data Breach Investigations Report," Verizon

    [2] "Internet Crime Report 2021," FBI

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang