Din mail-beskyttelse læser dine kontormails over skulderen

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Muligheden for at sende og modtage skrevne beskeder gennem computeren blev lanceret i 1971 som en åben og lettilgængelig kommunikationsmetode. Men som udgangspunkt er e-post (electronic mail eller e-mails) af samme grund heller ikke særlig godt beskyttet og følgelig et yndet mål for cyberkriminelle.

Det er generelt ikke vanskeligt for en hacker at snyde sig til at læse navnlig firma-e-mails og skaffe sig oplysninger, der kan udnyttes til at skaffe sig kontrol eller økonomisk gevinst.

Men e-mails er også en funktion, som de fleste nødig vil undvære. Udbydere af e-mail-tjenester har derfor i en årrække på forskellig vis gennemgået alle e-mails for de specielle kendetegn, der kan afsløre dem som Business Email Compromise (BEC) eller kort og godt scams (et fællesord for falske og uærlige e-mails, der ikke kommer fra den afsender, de angiver eller har mistænkeligt indhold mv.)

Skematisk illustration, der viser, hvordan et phishing-angreb kan gå ind bag om de normale sikkerhedsforanstaltninger.

Men efterhånden som e-mail-trafikken er øget (i 1995 blev der sendt og modtaget 1 mio. e-mails, i 2018 var det tal steget til 280 mia.) er det blevet sværere og sværere at gennemgå alle. Derfor tog man allerede i 1990’erne maskinlæring i brug i form af simple Bayes classifier-algoritmer for at frafiltrere e-mails, som afveg fra brugernes normale e-mail-vaner og sprogbrug.

Kunstig intelligens kikker med

I dag benytter stort set alle store mailudbydere kunstig intelligens og maskinlæring for at filtrere al e-mail, der sendes og modtages både inden for i et firma og til eller fra samme firma. Registrerer algoritmerne følsomt indhold i en udgående e-mail, krypterer de rutinemæssigt indholdet, så kun rette modtager kan læse mailen.

Det betyder imidlertid også, at selv om du måske går du ud fra, at dine elektroniske mail-beskeder er fortrolige og omfattet af dataloven om tavshedspligt og personbeskyttelse, vil de store professionelle antivirus-udbydere godt kunne svare på spørgsmål som eksempelvis: Hvornår skriver du arbejdsmails, og hvad står der i dem? Og sender du fra din kontorcomputer eller andre steder fra?

Eksempel på, hvordan Sentinel security-algoritmerne fra sikkerhedsfirmaet Barracuda fanger og sorterer stedfundne angreb.

Heldigvis skal udbyderen kun bruge svarene for at beskytte din mailsikkerhed og frafiltrere scam med op mod 99,9 % sikkerhed i realtime, idet de hele tiden tilpasser sig nye forbrugervaner og trends. Men i hænderne på en hacker vil svarene have en helt anden værdi.

Principperne bag de større mailudbyderes forskellige intelligente filtre er ikke umiddel-bar offentlig viden, idet hver udbyder har sine egne neurale netværk og maskinlærings-algoritmer, og ingen oplyser om hverken opbygning, retningslinjer eller kriterier for deres kunstige intelligens.

En udbyder som Google har i sin Gmail-tjeneste eksempelvis inkluderet et værktøj, som særligt går efter ondsindede URL’er (Google Safe Browsing).

Googles filterteknologi omfatter også en phishing-detektion, der parkerer visse mistænkelige mails for at få lejlighed til at sammenligne dem med andre lignende mails, da det altid er nemmere at slå ned enkelte mistænkelige mails, hvis de bliver analyseret gruppevis. De scannede indbakker udgør altså med andre ord en slags database for algoritmen, der skal vurdere mulige risici.

[su_box title="De værste scams" box_color="#9c100d" titel_color="#ffffff" radius="1" class="verdict-box"]

1) Phishing – en fælles betegnelse for alle mails, der på den ene eller anden måde forsøger at fralokke dig vigtige og følsomme personlige oplysninger i form af kontonumre mv.

2) Tillykke – mails, der påstår, at du har vundet en stor præmie i en konkurrence eller lotteri. Udbetalingen forudsætter dog, at du lige opgiver nogle personlige oplysninger såsom dit navn, fødselsdag, adresse og telefonnummer og i værste fald dine kontooplysninger, så din præmie kan blive udbetalt til dig (!).

3) Job tilbydes – nogle svindelmails lover job og grønne skove. Du skal bare sende nogle få centrale oplysninger om dig selv eller en betaling for nødvendig oplæring eller andet.
Du kan roligt regne med, at har du ikke søgt et job, så får du heller ikke tilbudt noget ud af den bare luft.

4) Tech support – scammails, der meddeler, at din computer er inficeret med alverdens vira, og at du uden videre kan få bugt med ved at trykke på et link eller lignende. Men gør du det, åbner du din computer op på vid gab for afsenderen og dermed også nem adgang til alt og alle på den. Der kan også være tale om en beskeden pengesum for afsenderens ”hjælp”.

5) Onlineindkøb – tilbud om at købe et eller andet utroligt billigt. Problemet er kun, at du aldrig modtager det, du bestiller og betaler for. Og da der altid er leveringstid, kan det - set fra afsenderens synspunkt – tage dejlig bekvem tid at opdage.

6) Falske fakturaer – betalingskrav, der kan være særdeles troværdigt udført og gerne følges op af trusler om RKI, politianmeldelse og tårnhøje strafrenter, hvis du ikke punger ud straks. Som regel lønner det sig at ringe til det firma, kravet giver sig ud fra at være fra, og så vil du nok blive klar over, at de aldrig har sendt dig nogen rykker.

7) Ud af det blå – scam-mails, som du modtager fra personer eller ”firmaer”, der tilbyder lukrative forretninger, investeringer i bitcoins, staldfiduser eller en livspartner. Navnlig det sidste lokker mange, og forbryderne i den anden ende er gode til at opbygge et troværdigt tillidsforhold mellem dig og den eventuelle ”livspartner”.

8) Nigeria Scam – gammel kending, hvor en fremmed advokat eller velstående fyrste, lige har brug for at overføre en lige så fyrstelig sum fra en oversøisk bank til sin egen med din mellemkomst. Det kræver kun dine egne kontooplysninger, men du bliver tilsvarende fyrsteligt belønnet til tak. Lover de.

9) Chefens ordre – her udgiver hackerne sig som virksomhedens chef eller direktør og sender mails ud til regnskabsafdelingen med pålæg om straks at overføre et givet beløb til en falsk modtager (CEO scam). Ifølge Internet Crime Complaint Center (IC3) kostede denne scam-metode alene i 2018 internationale virksomheder hele 1,3 mia. dollar.

10) Betal eller – her truer hackere med at offentliggøre private og meget følsomme oplysninger med mindre de modtager en løsesum i bitcoins. Som oftest skyder hackerne blot i blinde, men nogle føler sig truffet og bliver nervøse. Denne form for scam-mails synes dog at være på retur i takt med, at bitcoins er faldet i værdi.

[/su_box]

1 mia. mails om dagen

Men der kommer ustandseligt nye trusler, der nødvendiggør nye modspil fra sikkerhedsfirmaerne. For eksempel har hackerne på det seneste fået en nyttig foræring i form af bitcoins og andre betalingsformer, der generelt gør svindel nemmere at udføre og sværere at spore.

Dertil kommer mail-angreb bestående af tekst alene uden links eller vedhæftede filer, og det er unægtelig svært at bekæmpe den slags angreb ved at advare mod links og fjerne vedhæftninger. Det er derfor ofte nødvendigt med en vis menneskelig indblanding for at omstille og tilpasse algoritmerne.

Hatem Naguib fra sikkerhedsfirmaet Barracuda Networks fortæller om deres specielle cloud-baserede machine learning-algoritme Sentinel, at de anvender algoritmer, der fletter sig ind i Office 365 (en udbredt cloud-udgave af den kendte officepakke) og på den måde fanger trusler i mails, som almindelige filtre ikke finder.

Lidt mere munter oversigt over, hvordan du garderer dig mod mail-angreb.

Barracuda Sentinel kombinerer tre effektive delelementer i form af kunstig intelligens (der stopper spear fishing i realtime), en API-baseret arkitektur (der indprenter sig tidligere kommunikationsmønstre og tager ved lære af det) samt DMARC authentication (der beskytter din mailsikkerhed og dermed også sikrer dit firmas omdømme og troværdighed).

Sentinel gennemgår en mia. mails om dagen og giver dem point efter grad af mistænkelighed på baggrund af hvert givet klientfirmas kommunikationsform. Hvis eksempelvis en medarbejders mail bliver sendt uden for normal arbejdstid, eller hvis sprogbrugen tydeligt afviger fra medarbejderens normale profil, scorer mailen højere, og den kunstige intelligens udsender straks en advarsel til såvel modtageren som den mailansvarlige administrator.

Men selv om danske virksomheder ifølge branchefolk generelt er gode til at informere deres medarbejdere om disse sikkerhedsforanstaltninger, kan det godt udløse en gråzone, hvor medarbejderne kan føle sig overvågede.

På den anden side gælder, at hvis en firmamail bliver kompromitteret, er det nødvendigt at opdatere alle passwords, blackliste alle URL’er og så videre, og det synes de fleste, der har været ude for det, er værre endnu.