Facebook heeft onderzoek naar het detecteren van spearphishingaanvallen met 100.000 dollar beloond. Elk jaar beloont de sociale netwerksite via de Internet Defense Prize onderzoekers die bijdragen aan de veiligheid op internet. In dit geval ging het om onderzoek van de University of California en het Lawrence Berkeley National Laboratory (pdf).

De onderzoekers ontwikkelden een nieuwe aanpak om spearphishingaanvallen in bedrijfsomgevingen te detecteren. Bij spearphishing worden op maat gemaakte e-mails verstuurd en zijn daardoor vaak veel succesvoller dan doorsnee phishingaanvallen. De e-mails proberen het doelwit een kwaadaardige bijlage of link te laten openen of wijzen naar een phishingpagina. De afgelopen jaren hebben er verschillende grote datalekken plaatsgevonden die door spearphishingaanvallen zijn veroorzaakt, zoals bij de Democratische Partij in de Verenigde Staten.

Het gaat dan met name om spearphishingaanvallen waarbij het slachtoffer wordt verleid om een link te openen die naar een phishingpagina wijst en daar zijn inloggegevens invult. In de dataset die de onderzoekers gebruikten waren geen gevallen bekend van succesvolle spearphishingaanvallen waarbij een kwaadaardige bijlage was gebruikt. Spearphishing is volgens de onderzoekers laagdrempelig en vereist weinig middelen om uit te voeren, in tegenstelling tot het gebruik van zeroday-exploits.

De dataset waarover de onderzoekers beschikten bestond uit 370 miljoen e-mails. Minder dan tien waren er echter spearphishingmails. Door dit kleine aantal zou een standaardaanpak met machine learning waarschijnlijk geen succes hebben, zo laten de onderzoekers in het rapport weten. Ze keken daarom naar de eigenschappen van een spearphishingaanval en ontwikkelden een nieuwe detectietechniek die naar de reputatie van domeinen en afzenders kijkt.

Zo wordt bijvoorbeeld het domein beoordeeld waar in een e-mail naar toe wordt gelinkt. In het geval het om een onbekende url gaat die niet eerder door medewerkers van het bedrijf is bezocht wordt het als risicovol beschouwd. Hetzelfde geldt voor de afzender en de inhoud van de e-mails, bijvoorbeeld als er over accounts en inloggen wordt gesproken. Aan de hand hiervan wordt vervolgens bepaald of het om een malafide mail gaat.

Tijdens het testen van de nieuwe detectiemethode ontdekten de onderzoekers in de dataset van 370 miljoen e-mails twee spearphishingaanvallen die eerder nog onopgemerkt waren gebleven. Volgens Facebook is het oplossen van het spearphishingprobleem erg belangrijk. "Elke keer dat de securitygemeenschap de detectie of preventie van een hack vanuit een technisch standpunt verbetert, richten aanvallers zich nog meer op de menselijke factor. Het beschermen van mensen tegen social engineering wordt zo nog belangrijker", aldus Nektarios Leontiadis van Facebook.