الذكاء الاصطناعي لمحاربة قرصنة البريد الإلكتروني

تسوية البريد الإلكتروني للأعمال (BEC) ، هو شكل من أشكال التصيد المستهدف حيث يتنكر المهاجمون في هيئة كبار المديرين التنفيذيين لخداع الموظفين للقيام بشيء لا ينبغي لهم مطلقًا القيام به ، مثل تحويل الأموال.

لقد بدأ كتطور لعمليات الاحتيال في تحويل الأموال الدولي ، وغالبًا ما كانت الرسائل مليئة بعلامات ترقيم وقواعد ضعيفة ، وأسماء بها أخطاء إملائية وأكثر مما جعل التعرف عليها أمرًا سهلاً نسبيًا. ومع ذلك ، ما زالوا يكسبون المال.

عندما أدرك مجرمو الإنترنت الأكثر تطوراً ذلك ، زادت جودة رسائل البريد الإلكتروني بسرعة.

تستند عمليات الاحتيال الأكثر إقناعًا لـ BEC إلى بحث تفصيلي حول شركة ، وكبار المديرين التنفيذيين الرئيسيين والموظفين المسؤولين عن النشاط المالي. يتيح ذلك للمهاجمين تسليم رسائل تبدو حقيقية ومقنعة.

المحتويات

تحدي الكشف

قد يكون من الصعب اكتشاف رسائل البريد الإلكتروني الخاصة بـ BEC باستخدام حلول الأمان نظرًا لعدم وجود برامج ضارة. لا توجد روابط مضمنة لعناوين URL مشكوك فيها أو مرفقات مفخخة. غالبًا ما يسيئون استخدام عناوين البريد الإلكتروني الخاصة بالشركة.

يعد اكتشاف رسائل البريد الإلكتروني المصنوعة يدويًا من BEC أكثر صعوبة لأن كل واحدة فريدة من نوعها ، ويمكن للمهاجمين المهرة أن يكونوا جيدين جدًا في محاكاة أسلوب ونبرة أهدافهم.

شرعنا في معرفة ما إذا كان بإمكاننا القبض على المهاجمين باستخدام نماذج اللغة الطبيعية لاكتشاف هذا النوع من الاحتيال.

تعقيد اللغة

يعد اكتشاف التصيد الاحتيالي و BEC صعبًا لأن اللغة صعبة.

تتكون اللغة من مكونات معقدة. يمكن لأدمغتنا معالجة هذه الأمور بشكل طبيعي لأن لديهم احتياطيات هائلة من السياق والخبرة للاستفادة منها وقوة حسابية هائلة.

تشمل هذه المكونات:

النحو – ماذا يخبرنا هيكل العبارة وعلامات الترقيم عن المعنى المقصود؟
الدلالات – عند استخدامها في سياق معين ، ماذا تعني الكلمات وما هي العلاقة بينهما؟
المشاعر – النغمة. ما الذي ينقل من حيث العاطفة ، هل هو غضب أم سخرية أم سخرية؟

يعد إنشاء نموذج حسابي يمكنه معالجة كل هذا بسرعة ودقة كافية للتمييز بين البريد الإلكتروني الحميد والمقنع ولكن الاحتيالي تحديًا كبيرًا للأمن السيبراني.

تقديم كاتبرت

لقد بدأنا من خلال تكييف نموذج التعلم العميق الذي طورته Google واستخدامه في معالجة اللغة الطبيعية (NLP).

يتعلق البرمجة اللغوية العصبية ببناء برامج كمبيوتر يمكنها معالجة بيانات اللغة الطبيعية وتحليلها. يمكن أن تشمل التطبيقات طويلة المدى لهذه التكنولوجيا الروبوتات الاجتماعية المحسنة والتفاعل بين الإنسان والحاسوب ؛ ترجمة فورية والقدرة على طرح أسئلة مفتوحة معقدة على أجهزة الكمبيوتر.

يُطلق على النموذج الذي استخدمناه اسم BERT (لتمثيلات التشفير ثنائي الاتجاه من المحولات). أظهر BERT نتائج رائعة في مهام البرمجة اللغوية العصبية مثل فهم القصة وتحديد العواطف. ومع ذلك ، فإن تطبيق نموذج BERT المعقد على أنظمة الأمان في الوقت الفعلي أمر صعب لأنها معقدة من الناحية الحسابية ، وهذا يجعلها بطيئة للغاية.

قررنا ضغط BERT بالإضافة إلى إصدار أخف وضبطه ، وهو بالأحرى يسمى DistilBERT لإنشاء نموذج جاهز للأمن السيبراني خاص بنا.

احتاج النموذج الجاهز للأمن السيبراني إلى بعض القدرات الإضافية المهمة. أولاً ، يجب أن يكون خفيفًا (سريعًا) قدر الإمكان للتنبؤات والاستجابة في الوقت الفعلي.

ثانيًا ، يجب أن تكون قادرًا على التقاط القرائن القيمة المختبئة في معلومات سياق البريد الإلكتروني ، مثل تفاصيل المرسل والعنوان.

أطلقنا على نموذجنا Context-Aware Tiny BERT أو CATBERT.

تحويل اللغة إلى نموذج رياضي

يعتمد BERT على شيء يسمى المحول. تم طرح Transformers في عام 2017 ، وهي عبارة عن كتل من قوة الحوسبة الذكية التي يمكن أن تأخذ لغة طبيعية ثم ترميزها رقميًا وتفك تشفيرها لتصنيف المحتوى وإجراء تنبؤات حول المعنى.

يمكن تدريب المحولات مسبقًا على نطاق واسع لفهم سياق الكلمات والعلاقات والعمل مع الكلمات الجزئية (للسماح بالأخطاء الإملائية).

للتنبؤ بدقة وسرعة بما إذا كان البريد الإلكتروني ضارًا ، قمنا بتصميم CATBERT باستخدام أقل عدد ممكن من طبقات المحولات.

قمنا أيضًا بتمكين النموذج لاستخراج ومعالجة المعلومات السياقية مثل عنوان البريد الإلكتروني وتفاصيل المرسل بالإضافة إلى النسخة الأساسية.

وضع CATBERT على المحك

قمنا بإعداد سلسلة من الاختبارات لـ CATBERT بالإضافة إلى DistilBERT وغيرها. تم إجراء الاختبارات باستخدام مجموعة بيانات تضم أكثر من أربعة ملايين بريد إلكتروني وبيانات وصفية من موجز استخبارات التهديدات ونظام البريد الإلكتروني في Sophos.

من بين هؤلاء ، تم استخدام 70٪ من العينات للتدريب و 30٪ للتحقق من الصحة. تضمنت العينات الخبيثة كلاً من رسائل البريد الإلكتروني المخادعة و BEC.

كانت معظم رسائل البريد الإلكتروني باللغة الإنجليزية ، لكن ربعها كان بلغات أخرى لتعكس ما نراه في العالم الحقيقي.

أظهرت الاختبارات أن نموذج CATBERT يمكنه اكتشاف التصيد الخبيث ورسائل البريد الإلكتروني BEC بدرجة عالية من الدقة مع كونه أصغر بنسبة 30٪ وأسرع مرتين من النموذج الأخف وزناً ، DistilBERT (والذي هو في حد ذاته أخف بنسبة 40٪ من BERT الأصلي).

تعمل بنية “الوعي بالسياق” التي تأخذ ميزات المحتوى من نص البريد الإلكتروني والعناصر السياقية من حقول الرأس على تحسين أداء اكتشاف النموذج.

أخيرًا وليس آخرًا ، تمكنت CATBERT أيضًا من التعرف على التفاصيل الدقيقة من حيث موضوع البريد الإلكتروني والنبرة والأسلوب ، مما سمح لها باكتشاف هجمات التصيد الجديدة والمستهدفة بدقة.

بشكل عام ، حققت CATBERT معدل اكتشاف 82٪ و 90٪ على هجمات التصيد الاحتيالي و BEC على التوالي ، بمعدل إيجابي كاذب 0.1٪.

تم اكتشاف رسالتين من رسائل البريد الإلكتروني بنجاح بواسطة CATBERT:

ماذا أفعل؟

كما يظهر هذا البحث ، يمكن أن تساعد تكنولوجيا التعلم الآلي المتقدمة في المعركة ضد BEC.

ومع ذلك ، فإن BEC تدور حول الهندسة الاجتماعية والتلاعب البشري أكثر من كونها تتعلق بالتكنولوجيا والقرصنة.

لذلك عندما يتعلق الأمر بحماية مؤسستك من BEC ، فإن أهم شيء يمكنك القيام به هو تثقيف الموظفين ومواصلة تثقيفهم حول ما يدور حوله BEC ، والأعلام الحمراء التي يجب البحث عنها وماذا تفعل إذا تلقوا إشعارًا يحتمل أن يكون مريبًا رسالة.

من الضروري إنشاء ثقافة يشعر فيها الموظفون بالقدرة على طرح الأسئلة والتحقق من طلب من زميل ، مهما كان كبيرًا. تستغل هذه الهجمات عن عمد حقيقة أن العديد من الموظفين سيكونون خائفين للغاية من القيام بذلك.

نشرت Naked Security عددًا من المقالات التي تحتوي على معلومات ونصائح حول التعامل مع عمليات الاحتيال BEC ، بما في ذلك:

قد ترغب أيضًا في مشاهدة أحدث هل يمكنك تحديد ذلك فيديو:

https://www.youtube.com/watch؟v=n9GYJzraS-o