Different Victims, Same Layout: Email Visual Similarity Detection for Enhanced Email Protection

要約

効果的なスパム検知システムの追求において、多くの場合、ルールベースの検知システムやキーワードに依存する機械学習（ML）ソリューションによって、既知のスパムパターンを特定することに焦点が当てられてきた。しかし、どちらのシステムも低コストで実現できる回避テクニックやゼロデイ攻撃の影響を受けやすい。そのため、一度防御システムを回避したメールは、ルールが更新されても、MLモデルが再学習されても、次の日に再び回避される可能性がある。以前に検出されなかったスパムとレイアウトが類似しているメールを検出できないことが繰り返し発生することは、顧客にとって懸念すべきことであり、企業に対する信頼を損ないかねません。我々の観察によると、脅威者はメールキットを広範囲に再利用しており、例えばメールの内容に変更を加えることで、わずかな労力で検知を回避することができる。この研究では、電子メール脅威防御システムの検知能力を向上させるために、Piscoと名付けた電子メール視覚的類似性検知アプローチを提案する。我々の概念実証を、様々なソースから受信した実世界のサンプルに適用した。その結果、電子メールキットは広範囲に再利用されており、視覚的に類似した電子メールが様々な時間間隔で顧客に送信されていることがわかった。したがって、この方法は、テキスト特徴やキーワードに依存する検出機能がバイパスされるような状況で非常に役立つ可能性があります。

要約(オリジナル)

In the pursuit of an effective spam detection system, the focus has often been on identifying known spam patterns either through rule-based detection systems or machine learning (ML) solutions that rely on keywords. However, both systems are susceptible to evasion techniques and zero-day attacks that can be achieved at low cost. Therefore, an email that bypassed the defense system once can do it again in the following days, even though rules are updated or the ML models are retrained. The recurrence of failures to detect emails that exhibit layout similarities to previously undetected spam is concerning for customers and can erode their trust in a company. Our observations show that threat actors reuse email kits extensively and can bypass detection with little effort, for example, by making changes to the content of emails. In this work, we propose an email visual similarity detection approach, named Pisco, to improve the detection capabilities of an email threat defense system. We apply our proof of concept to some real-world samples received from different sources. Our results show that email kits are being reused extensively and visually similar emails are sent to our customers at various time intervals. Therefore, this method could be very helpful in situations where detection features that rely on textual features and keywords are bypassed, an occurrence our observations show happens frequently.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL