Éliminer l'hameçonnage par e-mail à grande échelle

Comment Twilio SendGrid garantit que 99,97 % des 50 milliards d'e-mails mensuels sont exempts de hameçonnage

Twilio SendGrid traite plus de 50 milliards d'e-mails chaque mois, ce qui signifie que nous touchons plus de la moitié des utilisateurs de messagerie uniques dans le monde sur une base continue de 90 jours. Avec une telle échelle et une telle portée, il est impératif que nous protégions les informations et les informations d'identification protégées des destinataires contre le phishing dangereux.

La sécurité d'une plateforme et la bataille continue contre les mauvais acteurs ne deviennent un problème que lorsque les défenses échouent. Mais les plates-formes ouvertes comme Twilio SendGrid et d'autres fournisseurs de cloud public sont attaquées tous les jours de l'année.

En fait, 83 % des professionnels de l'InfoSec ont déclaré avoir subi une attaque de phishing en 2018, contre 76 % en 2017. Et avec le coût moyen d'une attaque de phishing pour une entreprise de taille moyenne dans le quartier de 1,6 million de dollars, cela peut rapporter ou briser une entreprise qui n'a pas mis en place les protocoles de sécurité nécessaires.

Le taux de protection de la boîte de réception de Twilio SendGrid mesure le succès de ses efforts de conformité pour empêcher les e-mails malveillants d'atteindre les quelque 2 milliards de destinataires d'e-mails de SendGrid.

Au 31 mars 2019, SendGrid atteignait un taux de courrier électronique légitime de 99,97 % sur l'ensemble de son flux de courrier sortant.

En mesurant le succès de nos efforts de conformité, nous gardons une trace non seulement de notre succès en termes de délivrabilité, mais plus important encore, des risques potentiels auxquels nous sommes confrontés et de l'impact qu'il a sur l'ensemble de l'écosystème de messagerie numérique au cours de l'opération.

Comprendre à la fois le bien et le mal et mesurer notre efficacité offre un niveau de transparence à nos clients, et plus important encore à leurs clients.

L'anatomie d'un e-mail de phishing

Il est important de comprendre la différence entre hameçonnage et spam. Le spam décrit un courrier indésirable. Il peut s'agir de quelque chose auquel vous vous êtes inscrit ou d'une campagne mal ciblée. Dans certains cas, le spam pouvait être un e-mail légitime, mais les pratiques d'acceptation faisaient défaut. Dans la plupart des cas, le spam n'est pas envoyé dans l'intention de frauder le destinataire ou de compromettre ses informations personnelles identifiables (PII).

Phish, d'autre part, n'a qu'un seul but et c'est d'accéder à des informations sensibles telles que des mots de passe ou des numéros de sécurité sociale, de livrer des logiciels malveillants, de rediriger des victimes sans méfiance vers des sites de rançongiciels et toute autre forme de compromis. L'idée est de jouer sur la peur et la curiosité de l'individu et de le pousser à divulguer involontairement des informations dans le seul but de l'exploitation.

Les attaques de phishing prennent de nombreuses formes : des e-mails mal construits avec des pièces jointes aux messages très sophistiqués qui exploitent des liens et des images à partir de contenus légitimes hébergés par la société usurpée en ligne, avec un seul appel à l'action qui pourrait être le lien compromis.

Les hameçonneurs exploitent les sociétés d'hébergement dans le cadre d'un jeu complexe d'ombres - enregistrant des domaines cousins ​​tels que @yah00.com, @payypal.com, @applle ou @go0gle.com pour donner l'apparence de la légitimité. Cela complique davantage les efforts du personnel de sécurité pour arrêter ces attaques coûteuses.

Les fautes d'orthographe, une mauvaise utilisation de l'anglais semblant être écrit par un locuteur non natif et des «adresses d'origine» étranges sont tous des signes que l'e-mail peut ne pas provenir de celui qu'il prétend être, mais il peut falloir un œil exercé pour différencier le deux. Notre travail consiste à protéger notre plate-forme contre les abus et, ce faisant, nous contribuons à préserver la confiance et l'authenticité de l'ensemble de l'écosystème des boîtes aux lettres.

Comment Twilio SendGrid utilise l'apprentissage automatique pour identifier et arrêter les comportements de phishy

L'élimination du phishing et l'amélioration de la qualité des e-mails vont bien au-delà d'un processus manuel pour un fournisseur de messagerie de notre envergure. Le maintien d'un flux de messagerie sans hameçonnage nécessite à la fois une compréhension technique de la manière d'architecturer correctement les systèmes de livraison à l'échelle d'Internet et les vecteurs d'attaque utilisés par les acteurs malveillants qui tentent d'exploiter notre échelle.

Twilio SendGrid a développé un système d'apprentissage automatique appelé Phisherman qui a été conçu à partir de notre vaste connaissance du contenu abusif des e-mails pour attraper le phishing dans notre pipeline de messagerie. Phisherman utilise un réseau de neurones TensorFlow formé pour déterminer la probabilité qu'un e-mail donné soit un hameçonnage en utilisant des comparaisons génériques mot-vecteur pour identifier des modèles dans de grands ensembles de données qui sont ensuite comparés à un modèle soigneusement conçu pour isoler le hameçonnage du bon courrier. .

En envoyant plus de 50 milliards d'e-mails par mois, nous traitons suffisamment de bons et de mauvais e-mails pour disposer d'un ensemble de formation hautement intelligent adapté à l'apprentissage automatique. Cela peut être extrêmement difficile pour les petites entreprises qui ne disposent pas de suffisamment de données pour former leurs modèles. Avec des ensembles de formation plus importants, un apprentissage automatique plus sophistiqué devient possible et nous avons été en mesure de former (et de recycler à mesure que le phishing change au fil du temps) nos réseaux de neurones pour signaler et arrêter plus précisément les tentatives de phishing.

Mais les systèmes d'apprentissage automatique ne sont aussi bons que les humains qui les forment. Nos agents de conformité examinent tous les hameçonnages capturés afin d'identifier tout faux positif détecté par le système, affinant ainsi Phisherman avec une intelligence continue et prenant le plus grand soin de nos bons expéditeurs qui peuvent avoir été signalés par inadvertance.

Notre échelle nous donne la possibilité d'échantillonner une vaste gamme de courriers, mais cela signifie également que nos systèmes doivent être conçus de manière à ne pas s'enliser ou affecter négativement les e-mails légitimes qui transitent par notre système.

Accroître la confiance et la transparence dans la boîte de réception

Les entreprises ne veulent normalement pas discuter de leurs lacunes, ce n'est pas dans leur meilleur intérêt. Mais il est important que nous fournissions une plus grande transparence non seulement sur la manière dont les données sont utilisées, mais aussi sur la manière dont les systèmes sont construits pour protéger les destinataires. Nous espérons que d'autres expéditeurs partageront également leurs tarifs, de la même manière que les fournisseurs SaaS notent et partagent la disponibilité et la disponibilité en tant que mesure de la stabilité et de l'efficacité d'une plate-forme cloud.

Le SaaS a permis à des penseurs créatifs et intelligents de créer des technologies puissantes, mais sans contrôle, il a également permis aux criminels de tirer parti d'une échelle massive pour réaliser une fraude mondiale. En fixant des seuils pertinents sur le succès de ces systèmes, nous pouvons commencer à avoir des conversations plus honnêtes en tant qu'industrie sur des problèmes qui continuent de croître en sophistication et en ampleur plutôt que de tomber dans l'obscurité.

Nous devons nous unir en tant qu'industrie pour lutter contre les abus et cela commence par une plus grande transparence. C'est le travail de chaque entreprise de surveiller sa technologie.

Pour en savoir plus sur ce que fait Twilio pour renforcer les communications client fiables sur tous nos canaux, consultez le récent article de blog sur les appels automatisés du PDG de Twilio, Jeff Lawson.

Méthodologie du taux de protection de la boîte de réception

Le taux de protection de la boîte de réception est une mesure des e-mails qui transitent par les serveurs de Twilio SendGrid considérés comme des e-mails légitimes et non phishing envoyés par des entreprises légitimes. Le taux de protection de la boîte de réception n'est pas une mesure du spam ou de la manière dont cet e-mail est reçu, car le spam est subjectif. En plus d'analyser les messages sortants, Twilio SendGrid analyse les rebonds d'e-mails indiquant des problèmes de phishing et d'autres formes de problèmes de livraison.

Twilio SendGrid examine manuellement les comptes suspendus pour déterminer si un expéditeur a fait du phishing. Chaque compte contenant du contenu de phishing est fermé et marqué comme phishing. Twilio SendGrid compte alors la somme des messages délivrés via des comptes marqués comme hameçonnage, et intègre l'hameçonnage dans ses défenses automatisées pour améliorer leur efficacité, leur robustesse et leur taux de détection.