Wie sich Phishing entwickelt hat und wie man es erkennt Mit Machine Learning gegen E-Mail-Phishing

Autor / Redakteur: Nikita Benkovich / Peter Schmitz

Phishing ist nach wie vor eine beliebte Angriffsart von Cyberkriminellen, um Daten abzugreifen. Im Jahr 2019 erkannte das Anti-Phishing-System von Kaspersky 467 Millionen Zugriffsversuche auf Phishing-Websites; damit war jeder siebte User betroffen. Zwar entwickeln sich Phishing-Techniken ständig weiterentwickeln, aber die Erkennungsmethoden halten Schritt.

Firmen zum Thema

Phishing-Schutzmechanismen müssen darauf ausgerichtet sein, die Reaktionszeit auf neue Betrugstechniken zu verkürzen, um Angriffe so unprofitabel wie möglich zu machen.
Phishing-Schutzmechanismen müssen darauf ausgerichtet sein, die Reaktionszeit auf neue Betrugstechniken zu verkürzen, um Angriffe so unprofitabel wie möglich zu machen.
(Bild: gemeinfrei / Pixabay )

Solange solche Phishing-Angriffe profitabel sind, werden Betrüger es auch weiter versuchen. Daher müssen Phishing-Schutzmechanismen darauf ausgerichtet sein, die Reaktionszeit auf neue Betrugstechniken zu verkürzen, um Angriffe so unprofitabel wie möglich zu machen. Vor etwa 10 Jahren wurden manuell erstellte Wörterbücher verwendet, um Phishing im E-Mail-Verkehr zu erkennen. Später tauchte die Heuristik im Repertoire der Erkennungstechnologien auf.

Eine weitere gängige Erkennungsmethode ist die Untersuchung von E-Mail-Headern. Ein Header enthält Informationen über die E-Mail, ihren Absender und den Übertragungsweg, einschließlich Datum, ID-Nummer, Verschlüsselungsart, Empfänger und IP-Adresse. Sie ist in den Eigenschaften der Nachricht zu finden. Die Analyse der Header hilft Cybersicherheitsspezialisten, verdächtige Absender zu identifizieren. Wenn nur ein einzelner Hinweis auf Phishing vorhanden ist, hilft das den Experten jedoch nicht unbedingt dabei, festzustellen und zu garantieren, ob die Nachricht bösartig ist oder nicht. Stattdessen suchen sie nach Anhäufungen von Hinweisen, die zu sogenannten Signaturen kombiniert werden und mit denen sich eindeutig erkennen lässt, ob eine Nachricht bösartig ist oder nicht.

Beispiel für den Header einer E-Mail.
Beispiel für den Header einer E-Mail.
(Bild: Kaspersky)

Doch die Angreifer bleiben nicht tatenlos. Sie erhöhen die Zahl ihrer Angriffe, indem sie ihre Nachrichten als E-Mails von Online-Diensten tarnen und populäre Ereignisse wie große Sport- oder Musikveranstaltungen und die Coronavirus-Pandemie ausnutzen.

Zusätzlich zu den neuen Möglichkeiten für den Versand von Massen-Mails ist die Art und Weise, wie Phishing-Mails getarnt werden, komplexer geworden: Texte und Überschriften sind vielseitiger, Phishing-Seiten können auch das sichere https-Protokoll verwenden und Mails können über Botnets verschickt werden. In der Vergangenheit konnte eine Sicherheitslösung nach dem Abfangen einer einzigen Phishing-E-Mail schnell eine Signatur erstellen, die alle eingehenden E-Mails dieses Absenders blockierte. Jetzt nutzen Betrüger jedoch Botnets, um automatisch Tausende von Textbausteinen und Überschriften zu variieren.

Um Nutzer vor diesen Angriffen zu schützen, bedarf es also Technologien, die neue Arten von Phishing-E-Mails durch Automatisierung schnell erkennen können. Diese nutzen Statistiken und maschinelles Lernen, wodurch sie automatisch die notwendigen Informationen ermitteln können, um Phishing zu erkennen, zu blockieren und dabei dazulernen.

Mehr Schutz durch Machine Learning und Algorithmen

Das übernächste Bild zeigt das allgemeine Prinzip dieser Technologie. Es handelt sich um ein Paket aus zwei Algorithmen für maschinelles Lernen, die verschiedene Elemente von Nachrichten analysieren. Zusammen bieten sie eine Lösung, die Phishing automatisch und ohne Fehlalarme erkennen und blockieren kann.

Der erste „Deep-Learning“-Algorithmus erkennt Ratware – eine Software, die automatisch Massennachrichten generiert und versendet. Dieser Classifier befindet sich in einem Cloud-Service, mit dem das Produkt bei der Installation auf dem Gerät des Nutzers verbunden wird. Er verarbeitet E-Mail-Header über ein tiefes neuronales Netz, um Anzeichen von Ratware zu erkennen. Der zweite Classifier, ein maschineller Lernalgorithmus zur Erkennung des Phishing-Kontexts, arbeitet auf dem Gerät des Kunden und bestimmt das Phishing-Vokabular im Nachrichtentext.

Das Verfahren der E-Mail-Phishing-Erkennungstechnologie.
Das Verfahren der E-Mail-Phishing-Erkennungstechnologie.
(Bild: Kaspersky)

Aber wieso braucht es zwei Classifier, um umfassenden Schutz vor Phishing zu bieten? Das liegt an der Funktionsweise der E-Mail-Übertragung und was Angreifer tun, um deren Sicherheitssystem zu umgehen.

E-Mail-Übertragung über ein SMTP-Schema (Simple Mail Transfer Protocol).
E-Mail-Übertragung über ein SMTP-Schema (Simple Mail Transfer Protocol).
(Bild: Kaspersky)

Generell wird ein Mail User Agent (MUA) benötigt, um eine E-Mail zu erstellen und zu versenden. Dieser ist dafür verantwortlich, die Nachricht zu generieren und an den Mail Transfer Agent (MTA) zur Weiterleitung zu senden. Zusätzlich zu den Feldern wie Nachrichtentext, Betreff und Empfänger, die von den Nutzern ausgefüllt werden, schreibt der MUA auch die notwendigen Header. Um Mail-Sicherheitssysteme zu umgehen, benutzen Angreifer oft ihren eigenen MUA, der Teil der Ratware ist. Dadurch können sie eine E-Mail nach ihren Anforderungen erstellen. Indem sie die Header stark variieren, erreichen sie eine maximale Vielfalt in ihren Vorlagen – und das macht das Gruppieren und Blockieren solcher E-Mails durch Signaturen zu einer äußerst schwierigen und zeitaufwändigen Aufgabe.

Classifier Nummer eins

In Bezug auf die Tools und den Umgang mit bösartigen E-Mails besteht die Aufgabe beim Schutz also nicht darin, eine bestimmte Art von Phishing-E-Mail mit Signaturen zu beschreiben, sondern ein Tool zu schaffen, das Ratware-Spuren anhand der Header erkennen kann. Dazu wird der erste Classifier verwendet. Dieser basiert auf einem tiefen neuronalen Netz und wird regelmäßig auf der Grundlage von Hunderten von Millionen von Metadatensätzen aktualisiert, die. Diese Daten enthalten Header, die aus der Statistik der von Kaspersky-Produkten erkannten Spam-E-Mails gewonnen werden. Die neuronalen Netze extrahieren nicht-triviale Merkmale aus den Statistiken, um verdächtige Header in einer E-Mail zu erkennen.

Die folgende Abbildung veranschaulicht, nach welchen Merkmalen der Algorithmus genau sucht. Auf der linken Seite ist eine echte E-Mail von PayPal, auf der rechten Seite eine gefälschte. Eines der erforderlichen Merkmale, die im Header einer E-Mail enthalten sind, ist die Message-Id, eine eindeutige Kennung für eine Nachricht, die bei verschiedenen MUAs unterschiedlich aussieht. Das Fehlen einer Domain oder eine zufällige Folge von Buchstaben und Verzeichnissen an dieser Stelle ist augenfällig, wenn man sich die Unterschiede zwischen der Originalnachricht und der Fälschung ansieht.

Das Programm lernt, die Kombinationen von Spuren zu erkennen, die beweisen, dass die E-Mail schädlich ist.

Beispiel für E-Mail-Header: Links das Original von PayPal, rechts die Fälschung.
Beispiel für E-Mail-Header: Links das Original von PayPal, rechts die Fälschung.
(Bild: Kaspersky)

Das Integrieren dieses Classifiers in den Cloud-Service ermöglicht es Kaspersky, die hohen Rechenkapazitäten des Servers zu nutzen, die Rechenleistung auf dem Computer des Nutzers zu reduzieren und das Modell sofort auf der Grundlage neuer Daten zu aktualisieren.

Classifier Nummer zwei

Phishing-Angriffe machen sich menschliche Emotionen zu Nutze. Denn Personen, die um ihr Bankkonto oder ein lang erwartetes Paket besorgt sind, klicken eher auf einen Link in einer E-Mail und füllen die vorgeschlagenen Felder aus. Um die erwünschte Wirkung zu erzielen, verwenden die Angreifer in ihren Texten eine emotionsgeladene Sprache mit Handlungsaufforderungen wie „Anhang herunterladen" oder „Klicken Sie auf diesen Link", oder Nachrichten über ein ernstes Problem („Ihr Paket konnte nicht zugestellt werden", „Ihr Konto wird auf unbestimmte Zeit gesperrt") sowie Mitteilungen zu Geldangelegenheiten („Zahlung rückgängig machen", „Rechnung anzeigen").

Bildergalerie

Anders als zum Beispiel bei Spam-Texte, sind Texte in Phishing-E-Mails ausführlicher und enthalten keine expliziten Trigger. Spam verwendet gewöhnlich ein Vokabular aus sehr spezifischen Bereichen, wie etwa Pharmazeutika, das leicht zu erkennen ist: Viagra-Werbung ist ein Spam-Klassiker. Phishing-Texte sind dagegen sehr unterschiedlich und ändern sich im Laufe der Zeit, was es schwierig macht, sie allein durch die Erstellung von Signaturen zu erfassen. Dadurch können Erkennungslösungen nicht allein aufgrund des Textes entscheiden, ob die E-Mail bösartig ist oder nicht.

Der zweite Classifier verwendet ein Modell zur genauen Analyse eingehender Nachrichten und zur Erkennung von Phishing-Phrasen. Während der Trainingsphase analysiert das Modell viele Beispiele von Phishing-E-Mails: Es teilt sie in einzelne Phrasen und weist jeder Phrase eine Gewichtung zu, je nach ihrem Potenzial für Phishing-Aktivitäten oder ihrer Häufigkeit unter den Phishing-Nachrichten. Zum Beispiel wird „Mit freundlichen Grüßen" geringer gewichtet, da es keine Anzeichen von Phishing aufweist und oft in normalen Nachrichten verwendet wird. Zahlungsaufforderungen, Links und erforderliche Dateneingaben hingegen haben mehr Gewicht, da sie speziell in Phishing-E-Mails eingesetzt werden. Als Ergebnis dieser Gewichtung erhält das Modell ganze Kategorien von Wörtern und Sätzen, die es dann als verdächtig einstuft, wenn sie in einer Nachricht auftauchen. Diese Kategorien gibt es an den ersten Classifier weiter, der sich auf dem Gerät des Kunden befindet. Der Classifier verwendet diese Kategorien als Bezugspunkt und kann auf dieser Grundlage entscheiden, ob die beim Kunden eingehenden Nachrichten Phishing-Kontext enthalten.

Diese Methode ist effektiv, weil erstens der Algorithmus des Modells transparent und auswertbar ist – es ist anhand der Gewichtung leicht zu verstehen, warum das Modell seine Entscheidungen getroffen hat. Zweitens lernt und aktualisiert das Modell schnell – dadurch kann es seine Leistungsfähigkeit und Erkennungsqualität trotz der Weiterentwicklung von Phishing-Texten über die Zeit aufrechterhalten.

1 + 1 = 3 – Synergieeffekte nutzen

Durch die Kombination der Classifier entstand eine neue Technologie, die Phishing-E-Mails in Echtzeit erkennen und blockieren kann. Das Urteil von nur einem der beiden Classifier reicht nicht aus, um zu entscheiden, ob es sich bei einer Nachricht um Phishing handelt. Beide Urteile müssen übereinstimmen – erst das ermöglicht der Technologie, schädliche Nachrichten genauer zu identifizieren und die Wahrscheinlichkeit eines Fehlalarms zu minimieren.

Die Technologie ist proaktiv und so in der Lage, selbst neue und unbekannte Phishing-Techniken aufzuspüren. Das unterscheidet die Lösung von den gängigen Methoden, die auf dem Signatur-Ansatz basieren und das Muster zuerst sehen müssen, um es in Zukunft blockieren zu können. Darüber hinaus handelt es sich um eine vollautomatische Lösung. Die Technologie lernt selbständig aus neuen Datensammlungen, wodurch die Reaktionsgeschwindigkeit und die Erkennung bösartiger E-Mails verbessert wird. Des Weiteren kann es nicht-triviale Muster erkennen: Dank der Modellstruktur und der großen Menge an Daten, die für den Selbstlern-Prozess zur Verfügung stehen, kann es komplexe Muster daraus filtern.

Kaspersky arbeitet weiter an der Verbesserung der Technologie und plant, weitere Classifier hinzuzufügen, die weitere Nachrichtenparameter analysieren. In ihrer jetzigen Form konnte die Technologie als Teil der Lösungen zum Schutz von Mail-Servern und Microsoft Office 365 bereits dazu beitragen, die Erkennungsrate extrem komplexer Phishing-E-Mails zu erhöhen.

Über den Autor: Nikita Benkovich ist Senior Data Scientist, Anti-Spam Technologies Development bei Kaspersky.

(ID:47012046)