Different Victims, Same Layout: Email Visual Similarity Detection for Enhanced Email Protection

要約

効果的なスパム検出システムを追求する中で、多くの場合、ルールベースの検出システムまたはキーワードに依存する機械学習 (ML) ソリューションを通じて既知のスパム パターンを識別することに重点が置かれてきました。
ただし、どちらのシステムも、低コストで実現できる回避手法やゼロデイ攻撃の影響を受けやすくなっています。
したがって、ルールが更新されたり、ML モデルが再トレーニングされたりしたとしても、一度防御システムをバイパスした電子メールは、数日以内に再びバイパスする可能性があります。
以前は検出されなかったスパムとレイアウトの類似性を示す電子メールの検出失敗が再発することは、顧客にとって憂慮すべきことであり、企業に対する信頼を損なう可能性があります。
私たちの観察によると、攻撃者は電子メール キットを広範囲に再利用しており、電子メールの内容を変更するなど、ほとんど労力をかけずに検出を回避できることがわかっています。
この研究では、電子メール脅威防御システムの検出機能を向上させるために、Pisco という名前の電子メールの視覚的類似性検出アプローチを提案します。
私たちは、さまざまな情報源から受け取ったいくつかの実世界のサンプルに概念実証を適用します。
私たちの結果は、電子メール キットが広範囲に再利用されており、視覚的に類似した電子メールがさまざまな時間間隔で顧客に送信されていることを示しています。
したがって、この方法は、テキストの特徴やキーワードに依存する検出エンジンがバイパスされる状況で非常に役立つ可能性があり、これは私たちの観察によって頻繁に発生することが示されています。

要約(オリジナル)

In the pursuit of an effective spam detection system, the focus has often been on identifying known spam patterns either through rule-based detection systems or machine learning (ML) solutions that rely on keywords. However, both systems are susceptible to evasion techniques and zero-day attacks that can be achieved at low cost. Therefore, an email that bypassed the defense system once can do it again in the following days, even though rules are updated or the ML models are retrained. The recurrence of failures to detect emails that exhibit layout similarities to previously undetected spam is concerning for customers and can erode their trust in a company. Our observations show that threat actors reuse email kits extensively and can bypass detection with little effort, for example, by making changes to the content of emails. In this work, we propose an email visual similarity detection approach, named Pisco, to improve the detection capabilities of an email threat defense system. We apply our proof of concept to some real-world samples received from different sources. Our results show that email kits are being reused extensively and visually similar emails are sent to our customers at various time intervals. Therefore, this method could be very helpful in situations where detection engines that rely on textual features and keywords are bypassed, an occurrence our observations show happens frequently.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google