HTCinside
Los ataques por correo electrónico son cada vez más específicos y personalizados. Los ciberdelincuentes han comenzado a apuntar a las personas no por temas genéricos, sino por temas de moda que seguramente despertarán el interés del objetivo. Con todo el pánico que circula en torno al nuevo coronavirus, el COVID-19 es el nuevo cebo.
Los correos dirigidos a COVID se envían a las personas en un intento de que las personas abran y hagan clic en enlaces maliciosos que no lo parecen. En este último intento, los correos electrónicos se disfrazan para ser del Centro para el Control y la Prevención de Enfermedades y anuncian que hay información de emergencia sobre el virus.
Este es un movimiento para explotar el miedo de la gente con respecto al virus.
Si bien la premisa real no es nueva, el problema surge debido a la presencia de nuevas palabras que superan los filtros existentes y porque no ha habido patrones predecibles para ayudar a la creación de nuevas reglas para detener dichos correos electrónicos.
Además, también hay una falta de coincidencia de los enlaces al texto que se muestra, lo que también conduce a falsos positivos y permite que pasen estos correos.
Actualmente, la mayoría de las organizaciones utilizan Secure Email Gateways para analizar e identificar las amenazas en los correos electrónicos que reciben los proveedores de correo electrónico. Estos también se utilizan como motores de detección de spam donde se identifican y controlan los correos electrónicos dañinos.
Sin embargo, se ve que fallan en esta identificación cuando los correos electrónicos comienzan a utilizar ataques personalizados, o incluso cuando se desvían ligeramente de los modos anteriores. Aquí, se ve que la mayoría de estos correos electrónicos han pasado por las defensas de Mimecast, Proofpoint, ATP de Microsoft, etc.
Las puertas de enlace de correo electrónico seguras, o SEG, solo funcionan en retrospectiva, es decir, solo pueden aprender de los correos electrónicos después de que se hayan entregado. En otras palabras, los SEG funcionan en una lista de direcciones IP que se sabe que son malas.
Para que se activen las tecnologías avanzadas de detección de anomalías o aprendizaje automático, es necesario enviar volúmenes significativos de correos electrónicos similares. Esto se convierte en un problema, ya que se observa que estos correos electrónicos incluyen una combinación de dominios solo para evitar que se realice cualquier patrón que haga inútil la capacidad de los SEG para incluir direcciones IP en su lista de 'malos'.
Leer -Los piratas informáticos pueden modificar el voltaje de la CPU de Intel para robar criptomonedas
Para contrarrestar las deficiencias de SEG, puede depender de algo llamado sandboxing que esencialmente crea un entorno aislado para probar enlaces sospechosos y verificar los archivos adjuntos en los correos electrónicos.
Sin embargo, incluso esto se queda corto porque las amenazas potenciales utilizan tácticas de evasión, como tener un tiempo de activación, por lo que la amenaza se 'activa' después de un período determinado, lo que le permite evadir las defensas existentes.
Sin embargo, hay un nuevo enfoque que se puede utilizar en su lugar. La IA cibernética se basa en el contexto comercial y comprende cómo se ejecutan las corporaciones en lugar de centrarse solo en los correos electrónicos de forma aislada.
Esto se hace al permitir que la IA desarrolle un 'yo' para combatir la actividad anormal que podría representar una amenaza. Esto también ayuda a la IA a comprender el comportamiento más allá de la red y la prepara para nuevos ataques que puedan surgir al tiempo que le brinda una comprensión a nivel corporativo.