Därför får du spam trots ATP

by | Jul 9, 2020 | IT-säkerhet

Ledande serverlösningar för e-post med s k ATP (Advanced Threat Protection) är oftast förstklassiga produkter. Samtidigt när du öppnar din inbox, hittar du spampost. Undersökningar visar att så mycket som 10-15 procent kan slinka igenom ditt trots ledande skydd. Vi vet varför.

Detta händer när du skickar en e-post

Låt oss säga sven.svensson@microsoft.com skickar ett e-postmeddelande till sin vän per.persson@apple.com. E-postmeddelandet skickas först till en utgående e-postserver (SMTP) vars jobb, precis som ett traditionellt postkontor, är att transportera brevet. SMTP kontrollerar först port-adressen för att ta reda på var den ska skickas. Tyvärr förstår SMTP inte hur man läser domännamnet (precis som postmannen konsulterar en karta eftersom han inte känner till varje gatunamn i minnet). SMTP behöver en datorvänlig IP-adress för att hitta och leverera meddelandet till mottagaren.

För att hitta IP-adressen kontaktar SMTP DNS-servern (internets telefonbok) för att översätta mottagarens e-postadress, per.persson@apple.com till en IP-adress som “45.789.56.89”. När den tillhörande IP-enheten har hittats kan den avgöra om den domänen har några e-postutbytesservrar (MX) som innehåller detaljerad information om var meddelandet ska dirigeras till. Detta är precis som att kontrollera om mottagaren använder en brevlåda eller en postbox för att ta emot sina mail i verkligheten.

Nu har SMTP all nödvändig information om mottagaren för att skicka meddelandet från sin server till e-postmottagarens MTA-server. MTA beslutar var exakt ska skicka e-posten, om mottagaren använder en klient som arbetar via POP eller via IMAP-protokollet. Mottagaren får sedan ett nytt e-postmeddelande och e-posten väntar i brevlådan tills den hämtas.

Sårbarheter i de protokoll som används för att skicka epost

När IP protokollen byggdes så fokuserade man på leverans och flexibilitet. Vilket gör att man kan lätt byta ut data vid behov utan att verifiera eller identifiera sig, inom IT-säkerhet kallas detta spoofing. (av eng spoof, parodi som intill förväxling liknar förebild) åsyftar användning av förfalskad eller lånad identitet på Internet, ofta i bedrägligt syfte.

DNS attack – ändring av IP adress

DNS och DHCP – Skapades utan provisionering för säkerhet. Det innebär att när jag kommer åt en DNS server så kan jag öppna tabellen och byta ut IP-adressen för en e-postadress.

Byta ut e-postadress till ett mottagare namn

När man sänder epost så skickas adressinformation i två delar. Avsändare och mottagare, båda två har två fält, ”namn” och ”epostadress”. Epostadressen visas inte och det görs ingen kontroll av att namnet och epostadressen är länkade.

Du kan ha namnet Sven Svensson och epostadressen 123pkj @ micros0ft.se.  Det görs heller ingen koll på att avsändaren och retur adressen till avsändaren är samma epostadress.

Avsändare: sven.svensson @ microsoft.se Retur: sven.svensson @ micros0ft.se

När du kan kod kan du nu utan identifiering gå in och ändra i ”sven”, ”svensson”, sven.svensson @ microsoft.se.
Från ”sven”, ”svensson”, sven.svensson @ microsoft.se.
Till ”sven”, ”svensson”, sven.svensson @ micros0ft.se.

Hur skyddar ATP?

ATP, (Advanced Threat Protection) de flesta ATP produkter tittar på den mekaniska epostleveransprocessen och säkerställer att den sker korrekt. Den identifierar att du är den du säger att du är och att du har rätt till domänen som du använder och att du har ett bra rykte på internet. När den tittar på innehållet i eposten så verifierar den länk adresser och bilagor.

För att kontinuerligt bli bättre över tid använder de flesta produkter idag någon form av artificiell intelligens (AI). AI är ett samlingsnamn för olika analysprocesser. Många ATP-skydd idag använder machine learning (ML) som bas, vilket är effektivt för att optimera existerande analyser. Men så fort det kommer in något nytt, så uppfattas det inte av analysen och e-posten släpps igenom.

Skillnaden mellan maskininlärning och mer renodlad AI ka enkelt beskrivas att AI identifierar vad ny information betyder utan att behöva lära sig först och maskininlärning optimerar informationen som redan finns.

Med maskininlärning importerar du information in i systemet, och programmet optimerar efter hur effektivt den kan analyserar informationen.

Test med maskininlärning: när programmet stöter på ett nytt mönster så utvärderar den baserat på tidigare mönster som den har tränat på. I det här fallet stoppas e-posten.

Vad händer när programmet stöter på ny information, i det här exemplet en banan?

Test med maskininlärning: har programmet inte tränats på banan och programmet vet då inte vad banan betyder. I det här fallet så släpps e-posten igenom.

Test med AI: programmet kommer att ställa en hypotes, ”vad betyder det här” och bildar en slutsats att detta är något nytt och passar inte in. I det här fallet så stoppas e-posten.

Varför får vi då fortfarande spam?

 

Med dessa avancerade skydd visar vår erfarenhet att det fortfarande slinker igenom 10%. För ett företag med 50 anställda som får 50 000 epost i veckan, slinker därmed 5 000 potentiella säkerhetshot igenom. Svaret ligger i hur sociala attacker är designade. Det är bygga så att de kommer förbi skyddat av den mekaniska epostleverans process. Det finns mer information i eposten som kan sortera ut spam.

Vad kan man göra ytterligare för att minska spam?

  1. Titta på retur adressen -> är returadressen är den samma som användaren.
  2. Analysera texten in eposten -> Använder den här personen och rollen normalt dessa ord?
  3. Analysera sammanhang – ett exempel är när en person behöver en wiretransfer nu! – Kolla på avsändardomänen är den rättstavad, har texten en brådskande karaktär, är det ovanligt att den här personen ber om att betala en faktura eller att skicka pengar.
  4. Automatisera skapandet av nya hypoteser och nya sammanhang; med AI istället för Machine learning (ML), med en AI motor som beter sig som mänsklig intelligens skulle göra. där AI-motorn också ställer nya frågor som inte är ställda tidigare för att kunna hantera nya hot när du skapas. När du utvärderar nästa epostskydd kolla att den analyserar texten i eposten också, samt uppdateras av en aktiv AI-motor.

Over 95% of Office 365 mailboxes harbor malicious emails that got past their email gateway. Discover email threats before your users do.
8,000+ organizations have used the scanner to discover 3M+ threats hiding in their mailboxes. Get your free scan now. It’s fast, safe and has no impact on your email performance.

Upptäck säkerhetshoten i din mejlbox.

Skanna den kostnadsfritt!

Share This