检测和减少多阶段电子邮件威胁

相关申请的交叉引用

本专利申请要求享有于2022年3月21日提交的美国专利申请No.17/699,579的优先权，该美国专利申请要求享有于2021年12月1日提交的美国临时专利申请No.63/284,879的优先权，其全部内容通过引用的方式并入本文。

技术领域

本公开内容总体上涉及用于电子邮件安全系统检测和减轻电子邮件诈骗攻击的技术。

背景技术

电子邮件或“电邮”仍然是在电子设备的用户之间交换消息的主要方法。已经出现了许多电子邮件服务提供商，其为用户提供各种电子邮件平台以促进经由电子邮件服务器的电子邮件通信，所述电子邮件服务器为用户接受、转发、递送和存储消息。电子邮件仍然是电子设备的用户之间的重要且基本的通信方法，因为电子邮件为用户提供了廉价、快速、可访问、高效且有效的方式来传输各种电子数据。电子邮件被很好地建立为用于商业通信、营销通信、社交通信、教育通信和许多其他类型的通信的日常私人通信的手段。

由于电子邮件的广泛使用和必要性，诈骗者和其他恶意实体使用电子邮件作为攻击用户的主要渠道，例如通过商业电子邮件泄密(BEC)攻击、恶意软件攻击和无恶意软件攻击。这些恶意实体继续采用更频繁和复杂的社交工程技术进行欺骗和假冒(例如，网络钓鱼、欺骗等)。随着用户在识别电子邮件通信上的恶意攻击方面不断变得精通，恶意实体类似地继续演进和改进攻击方法。

因此，电子邮件安全平台由电子邮件服务提供商(和/或第三方安全服务提供商)提供，其尝试识别和消除对电子邮件通信信道的攻击。例如，云电子邮件服务提供安全电子邮件网关(SEG)，其监视电子邮件并通过在基于电子邮件的威胁到达邮件服务器之前阻止基于电子邮件的威胁来实现递送前保护。这些SEG可以扫描传入、传出和内部通信以寻找恶意或有害内容的迹象、社交工程攻击(诸如网络钓鱼或商业电子邮件泄密)的迹象、用于合规和数据管理的数据丢失的迹象以及其他潜在有害的数据通信。然而，随着攻击的频率和复杂性的快速增加，电子邮件服务提供商难以以与电子邮件通信上的恶意攻击的快速变化格局相同的速率来维持其安全机制。

附图说明

下面参考附图阐述具体实施方式。在附图中，附图标记的最左边的(一个或多个)数字标识该附图标记首次出现的附图。在不同附图中使用相同的附图标记表示相似或相同的项目。附图中所示的系统未按比例绘制，并且附图内的部件可以彼此未按比例绘制。

图1示出了示例电子邮件安全系统的系统架构图，该示例电子邮件安全系统检测电子邮件并将其分类为诈骗电子邮件，与发送诈骗电子邮件的攻击者进行接触，并获得关于攻击者的附加信息。

图2示出了示例电子邮件安全系统的部件图，该电子邮件安全系统检测和分类诈骗电子邮件并与攻击者进行接触以获得附加信息。

图3示出了用于电子邮件安全系统检测诈骗电子邮件并与发送诈骗电子邮件的攻击者进行接触以获得关于攻击者的附加信息的示例方法的流程图。

图4示出了由电子邮件安全系统使用以检测诈骗电子邮件的示例基于规则的启发法。

图5示出了由电子邮件安全系统检测到的诈骗电子邮件的示例。

图6示出了由电子邮件安全系统检测到的诈骗电子邮件的另一示例。

图7示出了由电子邮件安全系统用于检测诈骗电子邮件的另一示例基于规则的启发法。

图8示出了用于电子邮件安全系统检测诈骗电子邮件并与发送诈骗电子邮件的攻击者进行接触以获得关于攻击者的附加信息的示例方法的流程图。

图9是示出用于实现计算设备的说明性计算机硬件架构的计算机架构图，该计算设备可以用于实现本文呈现的各种技术的各方面。

具体实施方式

概览

本发明的各方面在独立权利要求中阐述，并且优选特征在从属权利要求中阐述。一个方面的特征可以单独地或与其他方面组合地应用于每个方面。

本公开内容描述了用于电子邮件安全系统检测和减轻多阶段电子邮件诈骗攻击并与攻击者进行接触以获得附加信息的技术。用于执行本文描述的技术的方法包括在电子邮件安全系统处获得从发送电子邮件地址向目标电子邮件地址发送的第一电子邮件。该方法还可以包括确定第一电子邮件是诈骗电子邮件，该诈骗电子邮件是针对与目标电子邮件地址相关联的目标用户的诈骗，以及将诈骗电子邮件分类到一组诈骗电子邮件类别中的特定诈骗电子邮件类别中。此外，该方法可以包括至少部分地基于特定诈骗电子邮件类别来确定向与发送电子邮件地址相关联的发送用户提示与诈骗相关联的附加信息的响应。更进一步地，该方法可以包括向发送电子邮件地址发送第二电子邮件，该第二电子邮件包括向发送用户提示与诈骗相关联的附加信息的响应，以及从发送电子邮件地址接收第三电子邮件，该第三电子邮件包括与诈骗相关联的附加信息。在一些情况下，第三电子邮件可以是对话中的第三电子邮件，而在其他情况下，可以在对话中稍后接收第三电子邮件。即，第三电子邮件不一定是对话序列中的第三电子邮件。该方法还可以包括从第三电子邮件中提取附加信息。

另外，本文中所描述的技术可由具有存储计算机可执行指令的非暂态计算机可读介质的系统和/或设备执行，所述计算机可执行指令在由一个或多个处理器执行时执行上文所描述的方法。

示例实施例

本公开内容描述了用于电子邮件安全系统检测和减轻多阶段电子邮件诈骗攻击并与攻击者进行接触以获得附加信息的技术。电子邮件安全系统可以通过使用基于规则的分析、启发式分析、概率式分析、机器学习(ML)模型等分析电子邮件的元数据来分析用户的电子邮件并识别诈骗电子邮件。然后，电子邮件安全系统可以将诈骗电子邮件分类到一组诈骗电子邮件类别中的特定类别中，诸如礼品卡诈骗类别、电汇诈骗类别、发票诈骗类别、电话诈骗类别、W-2诈骗类别、老化报告诈骗类别、合并和收购诈骗类别、执行伪造诈骗类别、律师诈骗类别、税务客户诈骗、初始诱惑或和谐诈骗类别等。将诈骗电子邮件隔离，并且电子邮件安全系统然后可以与发送诈骗电子邮件的攻击者进行接触。在一些情况下，诈骗电子邮件可以是多阶段攻击，并且电子邮件安全系统可以自动与攻击者进行接触以进入诈骗攻击的下一阶段。例如，电子邮件安全系统可以发送响应于特定诈骗类别的诱饵电子邮件，以提示或引起攻击者发送更敏感的信息，诸如电话号码、银行帐户、电汇指令等。然后，电子邮件安全系统可以收集攻击者的该更敏感的信息，并且可以将该信息用于各种补救动作。补救动作可以包括针对附加检测规则收集攻击者信息、阻止诈骗电子邮件、向当局报告攻击者信息等。

虽然本文描述的系统和技术通常适用于任何类型的恶意电子邮件，但是诈骗电子邮件(通常是BEC攻击)是可以根据本文描述的技术检测和减轻的突出威胁。BEC诈骗电子邮件包括各种类型或类别，诸如电汇诈骗、礼品卡诈骗、工资单诈骗、发票诈骗、收购诈骗、老化报告诈骗、电话诈骗、W-2诈骗类别、老化报告诈骗类别、合并和收购诈骗类别、执行伪造诈骗类别、律师诈骗类别、税务客户诈骗、初始诱惑或和谐诈骗类别等。在一些情况下，诈骗攻击导致受到攻击的组织或人损失金钱或其他财政资源。另外或可替换地，受到攻击的组织或人可能丢失有价值的信息，诸如商业秘密或其他信息。这些类型的诈骗通常是多阶段攻击。通常，在第一阶段中，攻击者向通常是组织中的管理者或雇员的受害者发送假电子邮件。该假电子邮件可以模仿也是组织的合法雇员的真人，以构建消息的和谐关系和正式语调。一旦受害者屈服于诈骗并对初始诈骗电子邮件做出响应，攻击者就随后发送后续电子邮件，该后续电子邮件通常具有关于如何例如以转移到银行账户或将礼品卡凭证发送到电子邮件地址的形式向攻击者转移资金的指示。

此处描述的技术不是像许多安全系统那样简单地识别和阻止初始电子邮件，而是包括用于欺骗攻击者泄露第一阶段和第二阶段攻击信息(如电子邮件、电话号码和银行账户细节)的技术。该附加信息可以用于各种目的，诸如创建可以用于减轻对订阅该服务的任何组织的任何当前或未来威胁的威胁信息。通常，威胁行动者改变电子邮件地址相当容易，但是改变银行账户会增加其操作的开销。此外，该技术可以包括识别威胁行动者的地理位置。例如，如果威胁行动者正在使用Brank State Branch(BSB)代码，则他的地理位置可能在澳大利亚。澳大利亚银行系统使用BSB代码，并且诸如欺诈或受损账号的信息可以与执法机构、银行共享以破坏BEC欺诈。

因此，电子邮件安全系统可以监视在电子邮件平台或服务的用户之间传送的电子邮件，以检测诈骗电子邮件、网络钓鱼电子邮件和/或其他恶意电子邮件。电子邮件安全系统可以从电子邮件中提取有意义的元数据，以确定电子邮件是诈骗电子邮件还是恶意电子邮件。有意义的元数据可以包括例如电子邮件的“发送至”地址、电子邮件的“发送自”地址、电子邮件的“主题”、电子邮件被传送的日期/时间、电子邮件的附件和/或附件的散列、电子邮件正文中的URL等的指示。在一些情况下，元数据可以另外或替代地包括电子邮件正文中包括的内容、电子邮件的实际附件和/或电子邮件的可以是私有或机密的其他数据。此外，从电子邮件提取的元数据通常可以是用于电子邮件安全平台确定电子邮件是否是潜在恶意电子邮件的任何证明信息。

在一些情况下，可以开发基于规则的启发法以基于电子邮件中包括的不同词语、模式和/或其他信息来识别恶意电子邮件。作为另一示例，可以使用电子邮件来训练(一个或多个)ML模型，其中恶意电子邮件被标记为恶意的，并且良性或正常电子邮件被标记为良性的。(一个或多个)ML模型和/或基于规则的启发法可以输出电子邮件是恶意的概率，或者可以简单地输出关于电子邮件是否是恶意的肯定或否定结果。

电子邮件安全系统可以被配置为识别诈骗电子邮件，诈骗电子邮件通常是多阶段攻击，其中从攻击者发送多个电子邮件以促进诈骗。例如，可以从攻击者发送初始电子邮件，其包括对目标用户执行基于诈骗类型的动作的请求。例如，初始电子邮件可以请求礼品卡代码，可以请求电汇，可以请求将工资存入不同的银行账户、未支付发票列表、(一个或多个)雇员的W-2细节、客户的敏感信息等。因此，可以将多阶段诈骗电子邮件分组到不同的类别中。

在检测到诈骗电子邮件之后，电子邮件安全系统可以将诈骗电子邮件分类到一组诈骗电子邮件类别中的不同类别中。例如，诈骗电子邮件可以被分类到礼品卡诈骗类别、电汇诈骗类别、工资单账户诈骗类别、发票诈骗类别、账户获取诈骗类别、电话诈骗类别、W-2诈骗类别、老化报告诈骗类别、合并和收购诈骗类别、执行伪造诈骗类别、律师诈骗类别、税务客户诈骗、初始诱惑或和谐诈骗类别等中的一个或多个中。电子邮件安全系统可以利用使用电子邮件策略的辅助分类扫描。可以针对诸如自然语言处理(NLP)模型(一个或多个)之类的模型来测试诈骗电子邮件，以对诈骗电子邮件进行分类。(一个或多个)NLP模型预测诈骗电子邮件的正确类别并将类别分配给诈骗电子邮件。

一旦检测到诈骗电子邮件并将其分类到其相应的类别中，它将被隔离并且不被发送到目标用户的收件箱。然后，电子邮件安全系统可以通过利用ML算法和/或概率式算法来确定对初始诈骗电子邮件的回复，以便引诱攻击者泄露关于攻击的最后部分的附加信息，从而与攻击者进行接触。附加信息可以是电子邮件地址、电话号码、银行账号、加密钱包等的形式。可以使用各种模型(诸如人工智能(AI)模型)来构建响应，或者电子邮件安全系统可以从响应空间中选择最佳响应。然后，电子邮件安全系统可以在不知道目标用户的情况下自动发送响应电子邮件。

攻击者可以接收从电子邮件安全系统发送的响应，并且可以发送回作为多阶段诈骗攻击的下一/最后阶段的响应电子邮件。例如，响应电子邮件可以包括目标用户将钱电汇到特定账户、将具有礼品卡代码的文本消息发送到特定电话号码等的请求。电子邮件安全系统可以阻止诈骗电子邮件，并且还可以出于各种原因收集附加信息。例如，电子邮件安全系统可以创建附加的阻止规则和/或训练ML模型以阻止具有附加攻击者电子邮件的后续电子邮件。以这种方式，可以在多阶段诈骗攻击的任何阶段中阻止来自攻击者的后续电子邮件。另外或可替换地，电子邮件安全系统可以收集信息并提供给各种实体以防止攻击者执行进一步的攻击(例如，执法机构、银行雇员等)。此外，阻止和丢弃诈骗电子邮件，使得目标用户不会接收到诈骗电子邮件。

本申请的技术通过自动与攻击者进行接触并收集附加信息以便生成用于检测恶意电子邮件的更准确和更鲁棒的检测系统来提高电子邮件安全系统的有效性。通常，电子邮件安全系统只是阻止恶意电子邮件。然而，本文描述的电子邮件安全系统引诱攻击者在多阶段攻击的后续攻击电子邮件中提供附加信息。以这种方式，电子邮件安全系统还检测到电子邮件攻击的后期阶段，并且改进了电子邮件安全系统的检测/阻止部件。

本文描述的一些技术是参考诈骗电子邮件。然而，这些技术通常适用于任何类型的恶意电子邮件。如本文所述，术语“恶意的”可以应用于数据、动作、攻击者、实体、电子邮件等，并且术语“恶意的”通常可以对应于垃圾邮件、网络钓鱼、欺骗、恶意软件、病毒和/或可以被认为或被视为对与电子邮件通信相关联的接收者和/或目的地电子邮件地址不想要的、负面的、有害的等的任何其他类型的数据、实体或动作。

现在将在下面参考附图更全面地描述本公开内容的某些实施方式和实施例，在附图中示出了各个方面。然而，各个方面可以以许多不同的形式来实现，并且不应当被解释为限于本文阐述的实现方式。本公开内容涵盖如本文所述的实施例的变型。相同的附图标记始终表示相同的元件。

图1示出了示例电子邮件安全系统102的系统架构图100，该示例电子邮件安全系统102检测电子邮件并将其分类为诈骗电子邮件，与发送诈骗电子邮件的攻击者进行接触，并获得关于攻击者的附加信息。

在一些情况下，电子邮件安全系统102可以是可扩展服务，其包括容纳在或位于一个或多个数据中心中的设备和/或在其上运行，所述一个或多个数据中心可以位于不同的物理位置。在一些示例中，电子邮件安全系统102可以被包括在电子邮件平台中和/或与安全电子邮件网关平台相关联。电子邮件安全系统102和电子邮件平台可以由公共云计算平台、私有/企业计算平台和/或其任何组合中的设备网络支持。一个或多个数据中心可以是位于地理区域上的物理设施或建筑物，其被指定为存储作为电子邮件安全系统102的一部分和/或支持电子邮件安全系统102的联网设备。数据中心可以包括各种联网设备，以及用于电源、数据通信连接、环境控制和各种安全设备的冗余或备份部件和基础设施。在一些示例中，数据中心可以包括一个或多个虚拟数据中心，其是专门为企业需求和/或基于云的服务提供商需求设计的云基础设施资源的池或集合。通常，数据中心(物理和/或虚拟)可以提供基本资源，诸如处理器(CPU)、存储器(RAM)、存储(磁盘)和网络(带宽)。

电子邮件安全系统102可以与电子邮件服务平台相关联，电子邮件服务平台通常可以包括由任何提供商提供的任何类型的电子邮件服务，包括公共电子邮件服务提供商(例如，Google Gmail、Microsoft Outlook、Yahoo！Mail、AIL等)，以及由私人实体或企业维护和/或操作的私人电子邮件服务平台。此外，电子邮件服务平台可以包括托管电子邮件服务的基于云的电子邮件服务平台(例如，Google G Suite、Microsoft Office 365等)。然而，电子邮件服务平台通常可以包括用于管理客户或用户之间的电子邮件通信的通信的任何类型的平台。电子邮件服务平台通常可以包括电子邮件通信后面的递送引擎，并且包括用于在用户之间递送电子邮件通信的必要软件和硬件。例如，实体可以操作和维护电子邮件服务平台的软件和/或硬件，以允许用户发送和接收电子邮件、存储和查看收件箱中的电子邮件、管理和分割联系人列表、构建电子邮件模板、管理和修改收件箱和文件夹、调度和/或使用电子邮件服务平台执行的任何其他操作。

电子邮件安全系统102可以被包括在电子邮件服务平台中或与电子邮件服务平台相关联。例如，电子邮件安全系统102可以提供对由电子邮件服务平台(例如，作为安全电子邮件网关)传送的电子邮件的安全分析。如上所述，第二计算基础设施104可以包括用于托管电子邮件安全平台112的不同域和/或资源池。

电子邮件服务平台可以向用户设备的用户提供一个或多个电子邮件服务，以使得用户设备能够通过一个或多个网络108(诸如互联网)传送电子邮件。然而，(一个或多个)网络108通常可以包括由任何可行的通信技术(诸如有线和/或无线模态和/或技术)实现的一个或多个网络。(一个或多个)网络108可以包括以下各项的任何组合：个域网(PAN)、局域网(LAN)、校域网(CAN)、城域网(MAN)、外联网、内联网、互联网、短程无线通信网络(例如，ZigBee、蓝牙等)、广域网(WAN)，集中式和/或分布式两者，和/或其任何组合、排列和/或聚合。(一个或多个)网络108可包括将分组从一个设备中继到另一设备的设备、虚拟资源、或其他节点。

如图所示，用户设备可以包括发送电子邮件的发送设备104和接收电子邮件的接收设备106。发送设备104和接收设备106可以包括能够使用电子邮件通信进行通信的任何类型的电子设备。例如，设备104/106可以包括一个或多个不同的个人用户设备，诸如台式计算机、膝上型计算机、电话、平板电脑、可穿戴设备、娱乐设备(诸如电视)和/或任何其他类型的计算设备。因此，用户设备104/106可以根据本领域已知的技术利用电子邮件服务平台来使用基于电子邮件地址域名系统的电子邮件进行通信。

电子邮件服务平台可以接收去往接收设备106的电子邮件，该电子邮件可以访问与由电子邮件服务平台管理或提供的目的地电子邮件地址相关联的收件箱。即，电子邮件通过(一个或多个)网络108传送到电子邮件服务平台的一个或多个接收者服务器，并且电子邮件服务平台基于诸如“发送到”、“抄送”、“密件抄送”等的电子邮件信息来确定电子邮件旨在用于哪个注册用户。在接收设备106的用户已经注册使用电子邮件安全系统102、管理用户设备104/106的组织已经注册使用电子邮件安全系统102和/或电子邮件服务平台本身已经注册使用电子邮件安全系统102的情况下，电子邮件服务平台可以向前端114提供适当的电子邮件以用于安全分析过程的预处理。

通常，电子邮件安全系统102可以至少对电子邮件执行元数据提取技术，并且在一些情况下还可以对电子邮件执行内容预分类技术。可以由电子邮件安全系统102扫描和提取的元数据的类型包括“发送到”电子邮件地址、“发送自”电子邮件地址、电子邮件120的“主题”、与电子邮件的通信相关联的日期/时间的指示、电子邮件中的统一资源定位符(URL)或其他链接的指示、附件文件、附件的散列、从电子邮件的消息正文提取的模糊散列、来自电子邮件正文的内容等。通常，电子邮件服务平台和/或电子邮件安全平台的用户可以定义允许从电子邮件扫描和/或提取什么信息，以及什么信息过于隐私或机密并且不允许从电子邮件扫描和/或提取。

在从电子邮件中提取要用于安全分析的元数据(或“特征”)时，电子邮件安全系统102可以使用针对电子邮件安全平台定义的安全策略以及其他技术来对电子邮件元数据执行安全分析。安全策略可以由电子邮件安全系统102定义或创建以检测潜在恶意电子邮件，和/或由电子邮件安全系统102的管理员或其他用户定义和/或创建。电子邮件安全平台112可以参考安全策略来分析电子邮件元数据，以确定电子邮件元数据是否违反指示相应电子邮件是有可能恶意的一个或多个安全策略。在一些情况下，可以开发基于规则的启发法以基于电子邮件中包括的不同词语、模式和/或其他信息来识别恶意电子邮件。作为另一示例，可以使用电子邮件来训练(一个或多个)ML模型，其中恶意电子邮件被标记为恶意的，并且良性或正常电子邮件被标记为良性的。(一个或多个)ML模型和/或基于规则的启发法可以输出电子邮件是恶意的概率，或者可以简单地输出关于电子邮件是否是恶意的肯定或否定结果。

电子邮件安全系统102可以分析和检测非恶意电子邮件或允许的电子邮件110，并且允许在用户设备104/106之间传送允许的电子邮件110。然而，在一些情况下，电子邮件安全系统102分析电子邮件并检测到电子邮件实际上是恶意电子邮件，诸如诈骗电子邮件。

如图所示，电子邮件安全系统102可以在“1”处检测从发送设备104(例如，攻击者)发送到接收设备106(例如，目标、受害者等)的初始诈骗电子邮件112。在检测到初始诈骗电子邮件112之后，电子邮件安全系统102可以在“2”处将初始诈骗电子邮件112分类到一组预定义的诈骗电子邮件类别中的特定类别中。例如，诈骗电子邮件可以被分类到礼品卡诈骗类别、电汇诈骗类别、工资单账户诈骗类别、发票诈骗类别、账户获取诈骗类别、电话诈骗类别等中的一个或多个中。电子邮件安全系统可以利用使用电子邮件策略的辅助分类扫描。可以在“3”处针对模型(例如，自然语言处理(NLP)模型(一个或多个))来测试初始诈骗电子邮件112，以将初始诈骗电子邮件112分类到特定类别中。(一个或多个)NLP模型预测诈骗电子邮件的正确类别并将类别分配给诈骗电子邮件。

在所示出的示例中，初始诈骗电子邮件112是对目标用户发送金额为25,000美元的电汇的请求。攻击者可能已经确定了被允许请求这种类型的电汇的公司雇员(例如，主管、所有者等)的姓名，并且假装是该人，在这种情况下是“Tom”。然而，如图所示，初始诈骗电子邮件112不包括关于目标用户(“Jim”)将把钱电汇到哪个帐户的任何信息。

在将初始诈骗电子邮件112分类为电汇诈骗之后，电子邮件安全系统102可以在“4”处隔离初始诈骗电子邮件112，以确保电子邮件112不被发送到Jim正在其上读取电子邮件的接收设备106。在“5”处，电子邮件安全系统102可以通过确定、生成和发送诱饵电子邮件116来与攻击者进行接触。在一些情况下，电子邮件安全系统102可以通过利用ML算法和/或概率式算法来确定对初始诈骗电子邮件112的回复，以便引诱攻击者泄露关于攻击的最后部分的附加信息，从而与攻击者进行接触。附加信息可以是电子邮件地址、电话号码、银行账号等的形式。可以使用各种模型(例如人工智能(AI)模型)来构建诱饵电子邮件116，或者电子邮件安全系统102可以从响应空间中选择最佳响应。例如，电子邮件安全系统102可以利用词袋模型来识别诱饵电子邮件116的最佳响应。然后，电子邮件安全系统102可以在不知道目标用户的情况下自动发送响应电子邮件。如图所示，该示例中的诱饵电子邮件116可以是Tom实际上将进行电汇的确认，并且诱饵电子邮件116还包括对电汇要发送到的电汇指令和账号的请求。

攻击者可以接收并读取诱饵电子邮件116，并且在“7”处发送包括电汇信息的响应电子邮件118。如图所示，响应电子邮件118包括将电汇钱的账户的指示。在“8”处，电子邮件安全系统102可以基于响应电子邮件118的内容来确定要采取的一个或多个动作。例如，电子邮件安全系统102可以收集附加信息(例如，账号、电话号码、地址、加密钱包、发送者的地址、地理位置信息等)并将该信息用于各种补救动作。补救动作可以包括收集攻击者信息以用于附加检测规则、训练(一个或多个)ML模型以将信息识别为诈骗、阻止诈骗电子邮件、向当局报告攻击者信息等。此外，电子邮件安全系统102将阻止响应电子邮件118(例如，丢弃)，使得不将电子邮件118发送到目标接收设备106。

图2示出了示例电子邮件安全系统102的部件图200，该电子邮件安全系统102检测和分类诈骗电子邮件并与攻击者进行接触以获得附加信息。如图所示，电子邮件安全系统102可以包括被配置为执行一个或多个存储的指令的一个或多个硬件处理器202(处理器)、一个或多个设备。(一个或多个)处理器202可以包括单核或多核。此外，电子邮件安全系统102可以包括一个或多个网络接口204，其被配置为在电子邮件安全系统102与其他设备(例如，(一个或多个)发送设备104、接收设备106和/或与提供电子邮件通信的电子邮件服务相关联的其他系统或设备)之间提供通信。网络接口204可以包括被配置为耦合到个域网(PAN)、有线和无线局域网(LAN)、有线和无线广域网(WAN)等的设备。例如，网络接口204可以包括与以太网、Wi-Fi

电子邮件安全系统102还可以包括存储各种可执行部件(例如，基于软件的部件、基于固件的部件等)的计算机可读介质206。计算机可读介质206可以存储用于实现本文描述的功能的部件。虽然未示出，但是计算机可读介质206可以存储用于控制包括电子邮件安全系统102的一个或多个设备的操作的一个或多个操作系统。根据一个实施例，操作系统包括Linux操作系统。根据另一个实施例，(一个或多个)操作系统包括来自华盛顿州雷德蒙德的微软公司的

另外，服务提供商网络102可包括存储装置218，所述存储装置可包括一个或多个存储库或其他存储位置，用于持久地存储和管理诸如数据库、简单文件、二进制文件和/或任何其他数据的数据集合。存储装置218可以包括可以由一个或多个存储/数据库管理系统管理的一个或多个存储位置。

计算机可读介质206可以包括配置电子邮件安全系统102以执行本文描述的各种操作的部分或部件。例如，检测部件208可以被配置为当由(一个或多个)处理器202执行时，执行用于分析电子邮件以检测恶意电子邮件的各种技术。检测部件208可以使用各种基于规则的启发法220和/或(一个或多个)ML模型222来检测恶意电子邮件，诸如诈骗电子邮件。检测部件208可以利用策略或规则来分析电子邮件元数据以确定对应的电子邮件是否是恶意的。检测部件208可以执行各种类型的安全分析技术，诸如确定以下中的一个或多个：

·“发送自”、“发送到”、“抄送”和/或“密件抄送”电子邮件地址与恶意电子邮件地址或电子邮件域相关联；

·电子邮件元数据的“主题”行内容与恶意词语、符号、短语、语言等相关联；

·一个或一组电子邮件(例如，大量垃圾邮件)指示恶意电子邮件的日期和/或时间；

·与电子邮件(一个或多个)的发送者相关联的IP地址是已知的恶意IP地址或与恶意域相关联；

·URL与恶意站点、域和/或其他网络可评估的目的地相关联；和/或

·电子邮件的内容或内容散列与已知为恶意的内容的恶意散列相关联。

然而，上述列表仅仅是示例性的，可以使用其他类型的安全策略来分析电子邮件元数据。然后，检测部件208可以使用存储在存储装置218中的策略来生成指示电子邮件元数据的安全分析的结果的结果数据。

分类部件210可以将诈骗电子邮件分类到不同的预定义诈骗电子邮件类别中的一个或多个中。接触部件214可以被配置为执行本文描述的用于通过确定对不同类别的诈骗电子邮件的适当响应并发送诱饵电子邮件使得攻击者将用附加信息进行响应以便与攻击者进行接触的技术。动作部件216可以根据本文描述的技术来确定关于诈骗电子邮件要采取的各种动作。

图3示出了用于电子邮件安全系统102检测诈骗电子邮件并与发送诈骗电子邮件的攻击者进行接触以获得关于攻击者的附加信息的示例方法300的流程图。电子邮件安全系统102可以监视在电子邮件平台或服务的用户之间传送的电子邮件，以检测诈骗电子邮件、网络钓鱼电子邮件和/或其他恶意电子邮件。

在302处，检测部件208可以检测从攻击者发送到潜在受害者的诈骗电子邮件。检测部件208可以使用基于规则的启发法来基于电子邮件中包括的不同词语、模式和/或其他信息来识别诈骗电子邮件。作为另一示例，检测部件208可以使用(一个或多个)ML模型来确定电子邮件是诈骗。

在检测到诈骗电子邮件之后，分类部件210可以将诈骗电子邮件分类到一组诈骗电子邮件类别中的类别中。例如，分类部件210可以将诈骗电子邮件分类到礼品卡诈骗类别、电汇诈骗类别、工资单账户诈骗类别、发票诈骗类别、账户获取诈骗类别、电话诈骗类别等中的一个或多个中。在304处，分类部件210可以利用使用电子邮件策略的辅助分类扫描。可以由分类部件210针对诸如自然语言处理(NLP)模型(一个或多个)之类的模型来测试诈骗电子邮件，以对诈骗电子邮件进行分类。(一个或多个)NLP模型预测诈骗电子邮件的正确类别并将类别分配给诈骗电子邮件。一旦已经检测到诈骗电子邮件并将其分类到其相应的类别中，分类部件210就可以在306处隔离诈骗电子邮件并且不将其发送到目标用户的收件箱。

在308处，接触部件214然后可以通过利用ML算法和/或概率式算法来确定对初始诈骗电子邮件的回复以引诱攻击者泄露关于攻击的最后部分的附加信息来与攻击者进行接触。接触部件214可以向攻击者发送诱饵电子邮件以请求附加信息。

在310处，攻击者可以接收从电子邮件安全系统102发送的响应，并且可以发送回作为多阶段诈骗攻击的下一/最后阶段的响应电子邮件。例如，响应电子邮件可以包括目标用户将钱电汇到特定账户、将具有礼品卡代码的文本消息发送到特定电话号码等的请求。

在312处，接触部件214可以读取响应电子邮件并解析附加攻击者信息。即，接触部件214可以出于各种原因收集附加信息。在314处，动作部件216可以采取一个或多个动作，诸如创建附加阻止规则和/或训练ML模型以阻止具有附加攻击者电子邮件的后续电子邮件。以这种方式，可以在多阶段诈骗攻击的任何阶段中阻止来自攻击者的后续电子邮件。另外或可替换地，动作部件216可以收集信息并将其提供给各种实体以防止攻击者执行进一步的攻击(例如，执法机构、银行雇员等)。此外，阻止和丢弃诈骗电子邮件，使得目标用户不会接收到诈骗电子邮件。

图4示出了由电子邮件安全系统102使用以检测诈骗电子邮件的示例基于规则的启发法220。更具体地，电子邮件安全系统102可以使用所示的基于规则的启发法220来检测礼品卡诈骗电子邮件。基于规则的启发法220可以包括应用于电子邮件的规则，并且在与规则匹配(和/或高于阈值的匹配)时，电子邮件安全系统102可以确定电子邮件是礼品卡诈骗电子邮件。如图所示，启发法220可以包括寻找在礼品卡诈骗中经常发现的特定词语(诸如名词、动词等)的规则，诸如“尽快”、“紧急”、“卡”等。

图5示出了由电子邮件安全系统102检测到的诈骗电子邮件502的示例500。如图所示，所示的初始诈骗电子邮件502是礼品卡诈骗电子邮件，其中攻击者假装是受害者/目标知道的某人。电子邮件502包括对礼品卡的请求。在该示例中，电子邮件安全系统102将使用图4中所示的启发法220来检测电子邮件并将其分类为礼品卡诈骗类别的诈骗电子邮件。例如，启发法220可以检测和/或分类诸如“礼品卡”、“我尽快”、“生日”、“需要”等词。

图6示出了由电子邮件安全系统检测102到的诈骗电子邮件的另一示例。在该示例中，电子邮件安全系统102可以使用基于规则的启发法220和/或ML模型222来检测和/或分类初始诈骗电子邮件602。电子邮件安全系统102可以检测诸如“银行”、“直接存款”、“账户信息”、“支票”等词语，以确定电子邮件是初始诈骗电子邮件602并且类别是直接存款类别。

图7示出了由电子邮件安全系统用于检测诈骗电子邮件的另一示例基于规则的启发法。更具体地，电子邮件安全系统102可以使用所示出的基于规则的启发法220来检测和阻止一个或多个威胁行为者(例如，攻击者)的欺诈性银行账号和电子邮件地址。

图8示出了示例方法800的流程图，该示例方法800示出了至少部分地由如图1-7中所描述的计算基础设施中的设备执行的功能的各方面。本文关于图8描述的逻辑操作可以被实现为(1)在计算系统上运行的计算机实现的动作或程序模块的序列和/或(2)计算系统内的互连机器逻辑电路或电路模块。

本文描述的各种部件的实现是取决于计算系统的性能和其他要求的选择问题。因此，本文描述的逻辑操作被不同地称为操作、结构设备、动作或模块。这些操作、结构设备、动作和模块可以用软件、固件、专用数字逻辑及其任何组合来实现。还应当理解，可以执行比图8所示和本文所述更多或更少的操作。这些操作也可以并行执行，或者以与本文描述的顺序不同的顺序执行。这些操作中的一些或全部也可以由除了具体标识的那些部件之外的部件来执行。尽管本公开内容中所描述的技术参考了特定部件，但在其他情况下，所述技术可由更少部件、更多部件和/或不同部件实施。

图8示出了用于电子邮件安全系统检测诈骗电子邮件并与发送诈骗电子邮件的攻击者进行接触以获得关于攻击者的附加信息的示例方法的流程图。这些技术可以由包括一个或多个处理器以及存储计算机可执行指令的一个或多个非暂态计算机可读介质的系统应用，计算机可执行指令在由一个或多个处理器执行时使得一个或多个处理器执行方法800的操作。

在802处，电子邮件安全系统102可以获得从发送电子邮件地址向目标电子邮件地址发送的第一电子邮件。例如，电子邮件安全系统102可以监视由电子邮件服务平台传送的电子邮件并获得第一电子邮件。

在804处，电子邮件安全系统102可以确定第一电子邮件是诈骗电子邮件，该诈骗电子邮件是针对与目标电子邮件地址相关联的目标用户的诈骗。例如，检测部件208可以分析第一电子邮件的数据以确定第一电子邮件是针对目标用户的诈骗电子邮件。

在806处，电子邮件安全系统102可以将诈骗电子邮件分类到一组诈骗电子邮件类别中的特定诈骗电子邮件类别中。该组诈骗电子邮件类别包括礼品卡诈骗类别、电汇诈骗类别、工资单账户诈骗类别、发票诈骗类别、账户获取诈骗类别、W-2诈骗类别、老化报告诈骗类别、合并和收购诈骗类别、执行伪造诈骗类别、律师诈骗类别、税务客户诈骗、初始诱惑或和谐诈骗类别或电话诈骗类别中的至少两个。

在808处，电子邮件安全系统102可以至少部分地基于特定诈骗电子邮件类别来确定向与发送电子邮件地址相关联的发送用户提示与诈骗相关联的附加信息的响应。例如，接触部件214可以利用被训练为模拟与用户的对话的机器学习(ML)系统，以至少部分地基于第一电子邮件的正文中的内容来生成响应，或者至少部分地基于响应是对特定诈骗电子邮件类别进行响应的，从预定义响应的响应空间中选择响应。

在810处，电子邮件安全系统102可以向发送电子邮件地址发送第二电子邮件，该第二电子邮件包括向发送用户提示与诈骗相关联的附加信息的响应。例如，电子邮件安全系统102可以向发送用户(例如，攻击者)发送诱饵电子邮件116。

在812处，电子邮件安全系统102可以从发送电子邮件地址接收包括与诈骗相关联的附加信息的第三电子邮件。例如，电子邮件安全系统102可以接收响应电子邮件118。在一些情况下，包括附加信息的第三电子邮件可以是对话中的第三电子邮件，但是它也可以是对话中的稍后电子邮件。即，第三电子邮件可以是第四电子邮件、第五电子邮件或对话中的任何其他电子邮件。在一些情况下，多个电子邮件也可以包括附加信息。

在814处，电子邮件安全系统102可以从第三电子邮件提取附加信息。例如，电子邮件安全系统102可以收集附加信息，诸如与发送用户相关联的银行账户信息、与发送用户相关联的电话号码、与发送用户相关联的数字钱包、与发送用户相关联的替代电子邮件地址或指示与发送用户相关联的地理位置的地理位置信息中的至少一个。

图9示出了能够执行用于实现上述功能的程序部件的计算机900的示例计算机架构。图9所示的计算机架构示出了常规的服务器计算机、工作站、台式计算机、膝上型计算机、平板计算机、网络设备、电子阅读器、智能电话或其他计算设备，并且可以用于执行本文呈现的任何软件部件。在一些示例中，计算机900可以对应于包括在本文描述的电子邮件安全系统102中的物理服务器，并且可以包括联网设备，诸如服务器、交换机、路由器、集线器、桥接器、网关、调制解调器、中继器、接入点等。

计算机900包括基板902或“母板”，其是多个部件或设备可以通过系统总线或其他电通信路径连接到的印刷电路板。在一个说明性配置中，一个或多个中央处理单元(“CPU”)904结合芯片组906操作。CPU 904可以是执行计算机900的操作所需的算术和逻辑操作的标准可编程处理器。

CPU 904通过操纵区分和改变这些状态的开关元件通过从一个离散的物理状态转换到下一个状态来执行操作。开关元件通常包括维持两个二进制状态之一的电子电路(诸如触发器)，以及基于一个或多个其他开关元件的状态的逻辑组合来提供输出状态的电子电路(诸如逻辑门)。可以组合这些基本开关元件以创建更复杂的逻辑电路，包括寄存器、加法器-减法器、算术逻辑单元、浮点单元等。

芯片组906提供CPU 904与基板902上的其余部件和设备之间的接口。芯片组906可以提供到RAM 908的接口，RAM 908用作计算机900中的主存储器。芯片组906还可以提供到诸如只读存储器(“ROM”)910或非易失性RAM(“NVRAM”)的计算机可读存储介质的接口，用于存储有助于启动计算机900并在各种部件和设备之间传输信息的基本例程。ROM 910或NVRAM还可以存储根据本文描述的配置的计算机900的操作所需的其他软件部件。

计算机900可以使用通过网络(诸如网络608)到远程计算设备和计算机系统的逻辑连接在联网环境中进行操作。芯片组906可以包括用于通过NIC 912(诸如千兆以太网适配器)提供网络连接的功能。NIC 912能够通过网络608将计算机900连接到其他计算设备。应当理解，多个NIC 912可以存在于计算机900中，将计算机连接到其他类型的网络和远程计算机系统。

计算机900可以连接到为计算机提供非易失性存储的存储设备918。存储设备918可以存储操作系统920、程序922和数据，其已经在本文中更详细地描述。存储设备918可以通过连接到芯片组906的存储控制器914连接到计算机900。存储设备918可以由一个或多个物理存储单元组成。存储控制器914可以通过串行附接SCSI(“SAS”)接口、串行高级技术附接(“SATA”)接口、光纤通道(“FC”)接口或用于在计算机与物理存储单元之间物理连接和传输数据的其他类型的接口与物理存储单元接口连接。

计算机900可以通过变换物理存储单元的物理状态以反映正在存储的信息来将数据存储在存储设备918上。在本说明书的不同实施例中，物理状态的特定变换可以取决于各种因素。这样的因素的示例可以包括但不限于用于实现物理存储单元的技术、存储设备918被表征为主存储还是辅助存储等。

例如，计算机900可以通过经由存储控制器914发出指令以改变磁盘驱动单元内的特定位置的磁特性，光学存储单元中的特定位置的反射或折射特性，或者固态存储单元中的特定电容器、晶体管或其他分立部件的电特性来将信息存储到存储设备918。在不脱离本说明书的范围和精神的情况下，物理介质的其他变换是可能的，其中提供前述示例仅是为了促进本说明书。计算机900还可以通过检测物理存储单元内的一个或多个位置的物理状态或特性来从存储设备918读取信息。

除了上述大容量存储设备918之外，计算机900可以访问其他计算机可读存储介质以存储和检索信息，诸如程序模块、数据结构或其他数据。本领域技术人员应当理解，计算机可读存储介质是提供数据的非暂态存储并且可以由计算机900访问的任何可用介质。在一些示例中，由分布式应用架构102中的设备和/或其中包括的任何部件执行的操作可以由类似于计算机900的一个或多个设备支持。即，由电子邮件安全系统102和/或其中包括的任何部件执行的一些或所有操作可以由在任何系统或布置中操作的一个或多个计算机设备900执行。

作为示例而非限制，计算机可读存储介质可以包括以任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。计算机可读存储介质包括但不限于RAM、ROM、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、闪存或其他固态存储器技术、光盘ROM(“CD-ROM”)、数字通用盘(“DVD”)、高清DVD(“HD-DVD”)、蓝光或其他光学存储装置、磁带盒、磁带、磁盘存储装置或其他磁存储设备、或可以用于以非暂态方式存储期望信息的任何其他介质。

如上面简要提到的，存储设备918可以存储用于控制计算机900的操作的操作系统920。根据一个实施例，操作系统包括Linux操作系统。根据另一个实施例，操作系统包括来自华盛顿州雷德蒙德的微软公司的

在一个实施例中，存储设备918或其他计算机可读存储介质编码有计算机可执行指令，当被加载到计算机900中时，计算机可执行指令将计算机从通用计算系统转换为能够实现本文描述的实施例的专用计算机。如上所述，这些计算机可执行指令通过指定CPU 904如何在状态之间转换来变换计算机900。根据一个实施例，计算机900可以访问存储计算机可执行指令的计算机可读存储介质，所述计算机可执行指令在由计算机900执行时执行上面关于图1-8描述的各种过程。计算机900还可以包括计算机可读存储介质，其上存储有用于执行本文描述的任何其他计算机实现的操作的指令。

计算机900还可以包括一个或多个输入/输出控制器916，用于接收和处理来自多个输入设备(诸如键盘、鼠标、触摸板、触摸屏、电子触控笔或其他类型的输入设备)的输入。类似地，输入/输出控制器916可以向显示器(诸如计算机监视器、平板显示器、数字投影仪、打印机或其他类型的输出设备)提供输出。应当理解，计算机900可以不包括图9中所示的所有部件，可以包括图9中未明确示出的其他部件，或者可以利用与图9中所示的架构完全不同的架构。

总之，用于电子邮件安全系统的技术用于检测多阶段电子邮件诈骗攻击，并与攻击者进行接触以获得附加信息。系统可以分析用户的电子邮件并通过分析电子邮件的元数据来识别诈骗电子邮件。然后，系统可以将诈骗电子邮件分类到一组诈骗电子邮件类别中的特定类别中。然后，系统可以与发送诈骗电子邮件的攻击者进行接触。在一些情况下，诈骗电子邮件可以是多阶段攻击，并且系统可以自动与攻击者进行接触以进入诈骗攻击的下一阶段。例如，系统可以发送响应于特定诈骗类别的诱饵电子邮件，以提示或引起攻击者发送更敏感的信息，诸如电话号码、银行帐户等。然后，系统可以收集攻击者的该敏感信息，并将该信息用于各种补救动作。

虽然参考具体示例描述了本发明，但是应当理解，本发明的范围不限于这些具体示例。由于为适应特定操作要求和环境而变化的其他修改和改变对于本领域技术人员来说是显而易见的，因此本发明不被认为限于为了公开的目的而选择的示例，并且覆盖不构成脱离本发明的真实精神和范围的所有改变和修改。

尽管本申请描述了具有特定结构特征和/或方法动作的实施例，但是应当理解，权利要求不一定限于所描述的特定特征或动作。相反，具体特征和动作仅仅是落入本申请的权利要求的范围内的说明性的一些实施例。