网络机器人吧社区

【安全资讯】Gmail引入机器学习模型检测网络钓鱼邮件

MottoIN 2019-01-10 12:24:50




    网络犯罪和由国家资助的高级持续攻击依然以电子邮件作为第一阶段恶意软件的主要分发渠道。网络钓鱼攻击的目标不断扩展,加上犯罪者使用带有恶意软件附件的方式感染受害人的电脑,完成了网络犯罪活动最初的立足点。


    5月份第一周,Google方面监察到海量的以Google Docs方式发送的网络钓鱼活动,为了有效缓解这一情况,最近Gmail开启了一系列新的安全功能。

    Google 反滥用技术组的Andy Wen谈到:新的更新受益于一个专门的机器学习模型,主要集中在对网络钓鱼和垃圾邮件的早期发现上。

    这一模型会将消息延迟(小于消息发送的0.05%),用于应用模型和分析邮件。

    Andy Wen谈到:“从收件箱中显示的数据表明,机器学习帮助Gmail阻止的垃圾邮件和钓鱼信息,准确性超过99.9%”,“这是巨大的进步,考虑到Gmail接收的邮件中50%~70%都是垃圾邮件”。

    Google表示,检测模型与机器学习相结合,支持安全浏览,这一功能主要是用来向Chrome用户警示潜在的恶意网址。

    这些新的模型融合了各种技术,如URLs的信誉和相似性分析,是模型能够生成新的用于提醒网络钓鱼和恶意软件链接的告警,在用户即将点击时给予警告。这种新的模型的适应性比人工系统更快,而且随着时间的推移会变的越来越好。

    Gmail邮箱企业用户如果想在公司域名之外收到警告,作为防止潜在数据丢失的防范措施的话,Gmail方面会选择性的进行处理,比如会根据上下文环境判断这个链接是否合法,即使是在非办公网络。

    Google还推出了安全增强功能,可以扫描附件中的勒索或其他恶意软件变种。

    “我们将结合成千上万的垃圾邮件、恶意软件、有启发式信号的含勒索软件的附件和发送者的签名(已被标识为恶意的),对新的威胁进行识别和分类”。

    2017年5月初,攻击者采用Google Docs网络钓鱼的方式,利用Google的OAUTH2服务针对100多万的Gmail用户进行欺诈攻击。Google方面在1小时内阻断了攻击,0.1%的Gmail用户受到了影响。

    攻击者能够通过用户存储在Gmail通讯录里的联系人进行恶意邮件的传播,邮件的内容是发送者想要分享一个Google Doc。

 


  受害人一旦点击邮件中的“Open in Docs”按钮,会重定向到一个看似合法类似Google Docs的第三方APP应用。这时受害人会被要求允许访问Gmail和通讯录。 一旦用户同意,授予攻击者访问权限,恶意程序就会获得受害人的邮箱操作权限及对应的联系人信息。利用通讯录中获取到的信息,恶意邮件继续扩散。


    这个骗局主要是滥用了OAUTH的开放性和易用性,其允许与第三方应用分享帐号授权,不过由于其利用通讯录持续进行扩散,该钓鱼攻击在短时间内完成了数以百万的垃圾邮件发送量。

    今年二月份,Google已经为Gmail相关应用做了关键的安全加固,Gmail在消息传输时新增了S/MIME的控制功能。最近的增强只是一个持续。

    RSA会议上,Google表示今年将为Gmail引入SMTP Strict Transport Security (SMTP STS)。SMTP STS 类似于为电子邮件提供了HTTPS的证书认证,它将给予可信公钥列表验证TLS证书的有效性,仅接受可信的TLS连接。这种通信机制,将有效的阻断那些依赖于那些利用了伪造、盗窃或其他不信任证书的中间人攻击。

【参考资料】

https://threatpost.com/new-machine-learning-behind-early-phishing-detection-in-gmail/125976/

https://lwn.net/Articles/684462/?utm_source=tuicool&utm_medium=referral

*图片来自网络


Copyright © 网络机器人吧社区@2017