以電子郵件作為媒介的攻擊近幾年已經(jīng)愈演愈烈,這種不斷發(fā)展的網(wǎng)絡(luò)犯罪形式目前已經(jīng)有了一個(gè)專門的稱呼——商務(wù)電子郵件(Business Email Compromise,簡稱BEC)。
BEC針對(duì)商業(yè)、政府和非營利組織,可能導(dǎo)致大量數(shù)據(jù)丟失、安全漏洞和金融資產(chǎn)受損。BEC攻擊愈演愈烈,一年增長130%
一個(gè)普遍的誤解是,攻擊者通常把他們的重點(diǎn)放在跨國公司和企業(yè)級(jí)別的組織。如今,中小企業(yè)和大型行業(yè)參與者一樣,都是電子郵件欺詐的目標(biāo)。最易受攻擊的是中小型企業(yè),因?yàn)樗鼈冊(cè)诒Wo(hù)自己的計(jì)算系統(tǒng)和信息方面的投入通常比大型企業(yè)少得多,這使得攻擊者能很輕易的入侵他們的系統(tǒng)。
BEC如何發(fā)起對(duì)組織的攻擊?
BEC的攻擊包括復(fù)雜的社會(huì)工程攻擊,例如網(wǎng)絡(luò)釣魚、CEO欺詐、偽造發(fā)票和電子郵件欺騙等,這種攻擊也可以被稱為冒名頂替攻擊,其攻擊者旨在通過偽造某個(gè)職位上的負(fù)責(zé)人來欺騙公司,比如冒充CFO或CEO、業(yè)務(wù)合作伙伴或任何你會(huì)盲目信任或服從的人,這是推動(dòng)BEC攻擊成功的關(guān)鍵因素。
2021年6月,Agari的安全研究人員發(fā)現(xiàn)了有史以來第一個(gè)浮出水面的俄羅斯BEC網(wǎng)絡(luò)犯罪網(wǎng)絡(luò),該犯罪網(wǎng)絡(luò)也是Nigerian Scammer的幕后黑手。這個(gè)俄羅斯BEC團(tuán)伙被代號(hào)Cosmic Lynx,自2019年7月以來,已經(jīng)針對(duì)46個(gè)國家/地區(qū)的200多個(gè)高級(jí)管理人員發(fā)動(dòng)BEC郵件詐騙攻擊。與其他常規(guī)的BEC騙局不同,Cosmic Lynx的電子郵件內(nèi)容非常逼真,以沒有部署DMARC郵件安全策略的受害者為目標(biāo),并利用偽造的“合并并購”方案來竊取更大額資金。據(jù)Agari的研究人員說,這是向全球電子郵件攻擊趨勢的歷史性轉(zhuǎn)變,預(yù)示著全球CISO必須立即應(yīng)對(duì)的新型復(fù)雜的社交網(wǎng)絡(luò)釣魚攻擊。研究人員說,大多數(shù)BEC詐騙團(tuán)伙團(tuán)體都沒有特定的攻擊目標(biāo),但Cosmic Lynx則具有明確的針對(duì)性,它專門尋找具有重要全球影響力的大型跨國組織,其中包括許多財(cái)富500強(qiáng)或全球,000強(qiáng)公司。Agari表示,Cosmic Lynx的目標(biāo)員工通常是高級(jí)管理人員,其中75%擔(dān)任副總裁、總經(jīng)理或常務(wù)董事的頭銜。調(diào)查發(fā)現(xiàn),幾乎所有攻擊事件的理由都是受害者的公司正準(zhǔn)備與一家亞洲公司達(dá)成收購協(xié)議。Cosmic Lynx聲稱自己是這家亞洲公司的首席執(zhí)行官,并要求目標(biāo)員工與“外部法律顧問”合作,以協(xié)調(diào)完成收購所需的付款。由于其敏感的性質(zhì),要求目標(biāo)員工對(duì)交易的細(xì)節(jié)保密,直到交易完成為止,這使欺詐行為更容易被發(fā)現(xiàn)而不被發(fā)現(xiàn)。根據(jù)分析,Cosmic Lynx電子郵件的內(nèi)容非常“規(guī)范和專業(yè)”,與通常使用錯(cuò)誤百出的其他BEC攻擊迥然不同,它們使人們無法區(qū)分真實(shí)郵件和虛假郵件。。
隨著新冠疫情的加劇,視頻會(huì)議應(yīng)用程序已成為遠(yuǎn)程攻擊所必須的工具。網(wǎng)絡(luò)攻擊者正利用這種情況發(fā)送欺騙性的電子郵件,假冒來自視頻會(huì)議平臺(tái)Zoom的通知,這旨在竊取登錄憑據(jù)以進(jìn)行大規(guī)模的公司數(shù)據(jù)盜取。
顯而易見,近年來BEC的攻擊趨勢愈演愈烈,并且不斷增加,攻擊者更是創(chuàng)造出了更復(fù)雜和創(chuàng)新的方法來逃避安全監(jiān)測。目前BEC影響了全球70%以上的組織,并導(dǎo)致每年數(shù)十億美元的損失。
這就是行業(yè)專家提出諸如DMARC之類的電子郵件身份驗(yàn)證協(xié)議的原因,以提供高級(jí)別的假冒攻擊保護(hù)。
什么是電子郵件驗(yàn)證?
電子郵件身份驗(yàn)證是一組旨在通過驗(yàn)證參與傳輸和可能修改消息的任何消息傳輸代理(MTA)的域所有權(quán)技術(shù),來提供有關(guān)電子郵件消息來源的可驗(yàn)證信息。
網(wǎng)絡(luò)電子郵件的原始基礎(chǔ)簡單郵件傳輸協(xié)議(SMTP)沒有這種功能,因此電子郵件中的偽造發(fā)件人地址(一種稱為電子郵件欺騙的做法)已廣泛用于網(wǎng)絡(luò)釣魚,電子郵件垃圾郵件和各種類型的欺詐。為了解決這個(gè)問題,許多競爭電子郵件身份驗(yàn)證方案已經(jīng)制定,但是只有到了最近有三種被廣泛采用——SPF,DKIM和DMARC。此類驗(yàn)證的結(jié)果可以用于自動(dòng)電子郵件過濾中,或者可以在選擇適當(dāng)?shù)牟僮鲿r(shí)幫助收件人。
這就突顯了對(duì)有效的電子郵件身份驗(yàn)證協(xié)議(如DMARC)的實(shí)際需求。
使用DMARC防止BEC的步驟
步驟1:實(shí)施
防止BEC的第一步實(shí)際上是為你的域配置DMARC,基于域的郵件身份驗(yàn)證、報(bào)告和一致性(DMARC)使用SPF和DKIM身份驗(yàn)證標(biāo)準(zhǔn)來驗(yàn)證從你的域發(fā)送的電子郵件。
它向接收服務(wù)器指定如何響應(yīng)未通過這兩項(xiàng)身份驗(yàn)證檢查的電子郵件,從而使域所有者可以控制接收者的響應(yīng)。因此,為了實(shí)現(xiàn)DMARC,你需要進(jìn)行以下操作:
1.確定所有有效的電子郵件來源授權(quán)為你信任的域;
2.在你的DNS中發(fā)布SPF記錄以為你的域配置SPF;
3.在你的DNS中發(fā)布DKIM記錄以為你的域配置DKIM;
4.在你的DNS中發(fā)布DMARC記錄以為你的域配置DMARC;
為避免復(fù)雜性,你可以使用PowerDMARC的免費(fèi)工具(免費(fèi)的SPF記錄生成器、免費(fèi)的DKIM記錄生成器、免費(fèi)的DMARC記錄生成器)立即生成具有正確語法的記錄,并將其發(fā)布在你的域名的DNS中。
步驟2:執(zhí)行
你的DMARC政策可以設(shè)置為:
p=none(僅監(jiān)測DMARC,身份驗(yàn)證失敗的消息仍然會(huì)被傳遞);
p=quarantine(執(zhí)行時(shí)的DMARC,身份驗(yàn)證失敗的郵件將被隔離);
p=reject(DMARC處于最大強(qiáng)制執(zhí)行階段,驗(yàn)證失敗的消息將根本不會(huì)傳遞);
研究人員建議你在開始使用DMARC時(shí),設(shè)置一個(gè)只允許監(jiān)控的策略,這樣你就可以查看電子郵件流程和發(fā)送的問題。然而,這樣的政策不會(huì)提供任何針對(duì)BEC的保護(hù)。
這就是你最終需要使用DMARC執(zhí)行的原因,PowerDMARC通過p=reject的策略可以幫助你立即從監(jiān)視立馬過渡到強(qiáng)制執(zhí)行,這將幫助接收服務(wù)器指定使用你的域的惡意源發(fā)送的電子郵件,其根本不會(huì)發(fā)送到收件人的收件箱。
步驟3:監(jiān)控與報(bào)告
現(xiàn)在你已將DMARC策略設(shè)置為強(qiáng)制執(zhí)行,并且已成功將BEC最小化,但這就足夠安全了嗎?當(dāng)然不是了。你仍然需要一個(gè)廣泛而有效的報(bào)告機(jī)制來監(jiān)控電子郵件流并響應(yīng)任何傳遞過來的問題。PowerDMARC的多租戶SaaS平臺(tái)可幫助你:
1.保持對(duì)你的域的控制;
2.直觀地監(jiān)控為你注冊(cè)的每封電子郵件、用戶和域的身份驗(yàn)證結(jié)果;
3.刪除試圖假冒你身份的濫用IP地址;
DMARC報(bào)告在PowerDMARC儀表板上有兩種主要格式:
1.DMARC匯總報(bào)告(提供7種不同視圖);
2.DMARC分析報(bào)告(具有加密功能,可增強(qiáng)隱私性);
DMARC的實(shí)施、執(zhí)行和報(bào)告將大大降低你被BEC誘騙和假冒的機(jī)會(huì)。
使用反垃圾郵件過濾器后,還需要DMARC嗎?
當(dāng)然需要了,微軟開發(fā)的一個(gè)安全功能就是DMAR,可以防止用戶受到釣魚郵件的攻擊,保護(hù)用戶的個(gè)人信息。DMARC可以幫助你查看發(fā)過來的郵件是否是合法的,是否存在風(fēng)險(xiǎn),幫助您截住垃圾郵件和網(wǎng)絡(luò)釣魚郵件。
DMARC的工作方式與普通的反垃圾郵件過濾器和電子郵件安全網(wǎng)關(guān)完全不同,雖然這些解決方案通常與基于云的電子郵件交換器服務(wù)集成在一起,但它們只能提供針對(duì)入站網(wǎng)絡(luò)釣魚嘗試的保護(hù)。
從你的域發(fā)送的郵件仍然受到假冒的威脅,這就是DMARC發(fā)揮安全的地方。
增強(qiáng)電子郵件安全性的其他提示
始終保持在10個(gè)DNS解析限制之下
超過SPF 10查找限制可能會(huì)使你的SPF記錄完全無效,甚至導(dǎo)致合法電子郵件也無法通過身份驗(yàn)證。
在這種情況下,如果你將DMARC設(shè)置為拒絕,那么真實(shí)的電子郵件將無法發(fā)送。PowerSPF是你的自動(dòng)和動(dòng)態(tài)SPF記錄平滑器,它通過幫助你保持在SPF硬性限制范圍內(nèi)來緩解SPF的錯(cuò)誤。
它會(huì)自動(dòng)更新網(wǎng)絡(luò)數(shù)據(jù)塊,并不斷掃描你的電子郵件服務(wù)提供商對(duì)其IP地址所做的更改,而無需你的任何干預(yù)。
確保傳輸中的電子郵件的TLS加密
盡管DMARC可以保護(hù)你免受社會(huì)工程攻擊和BEC的侵害,但你仍然需要做好準(zhǔn)備應(yīng)對(duì)諸如中間人(MITM)之類的普遍監(jiān)視攻擊。
可以通過確保每次將電子郵件發(fā)送到你的域時(shí),在SMTP服務(wù)器之間協(xié)商通過TLS保護(hù)的連接來完成。
PowerDMARC的托管MTA-STS在SMTP中強(qiáng)制使用TLS加密,并附帶一個(gè)簡單的實(shí)現(xiàn)過程。
獲取有關(guān)電子郵件收到問題的報(bào)告
在為你的域配置MTA-STS之后,還可以啟用SMTP TLS報(bào)告以獲取有關(guān)電子郵件收到問題的診斷報(bào)告。TLS-RPT可幫助你了解電子郵件生態(tài)系統(tǒng)并更好地響應(yīng)協(xié)商安全連接導(dǎo)致發(fā)送失敗的問題。
你可以在PowerDMARC儀表板上的兩個(gè)視圖中查看TLS報(bào)告(每個(gè)結(jié)果和每個(gè)發(fā)送源的匯總報(bào)告)。
使用郵件識(shí)別品牌標(biāo)志(BIMI)
郵件識(shí)別品牌標(biāo)志(BIMI)是一種電子郵件標(biāo)準(zhǔn),它將改變?nèi)藗兺ㄟ^電子郵件與自己喜歡的品牌廠商進(jìn)行交互的方式。郵件識(shí)別品牌標(biāo)志(BIMI)提供了一個(gè)框架,組織可以通過該框架提供授權(quán)徽標(biāo),以在收件人的收件箱中顯示該組織的身份驗(yàn)證電子郵件。
預(yù)測郵件識(shí)別品牌標(biāo)志(BIMI)將會(huì)越來越受歡迎,尤其是在嚴(yán)重依賴客戶信任和參與的大型企業(yè)和知名廠商中。實(shí)際上,谷歌公司將在2020年啟動(dòng)郵件識(shí)別品牌標(biāo)志(BIMI)試點(diǎn),這將有助于刺激采用率。Verizon Media公司的研究表明,郵件識(shí)別品牌標(biāo)志(BIMI)可以提高開放率并提高客戶參與度。
BIMI通過將你獨(dú)特的品牌徽標(biāo)附加到你從域中發(fā)出的每封電子郵件中來工作。用戶僅需3個(gè)簡單步驟,PowerDMARC即可輕松實(shí)現(xiàn)BIMI。
PowerDMARC是一系列電子郵件身份驗(yàn)證協(xié)議的一站式安全保護(hù)平臺(tái),包括DMARC,SPF,DKIM,BIMI,MTA-STS和TLS-RPT。
本文翻譯自:https://thehackernews.com/2021/02/how-to-fight-business-email-compromise.html