近年来,以电子邮件为媒介的攻击愈演愈烈,这种不断发展的网络犯罪形式现在有了一个特殊的名称——商业电子邮件妥协(BEC)。BEC针对商业、政府和非营利组织,可能导致大量数据丢失、安全漏洞和金融资产受损。BEC攻击呈上升趋势,每年增长130%一个常见的误解是,攻击者通常将攻击重点放在跨国公司和企业级组织上。如今,SMB与大型行业参与者一样成为电子邮件欺诈的目标。最容易受到攻击的是中小型企业,因为与大型企业相比,他们在保护计算系统和信息方面的投入通常要少得多,这使得攻击者很容易闯入他们的系统。BEC如何对组织发起攻击?BEC攻击包括复杂的社会工程攻击,例如网络钓鱼、CEO欺诈、伪造发票和电子邮件欺骗,也可以称为冒充攻击,攻击者旨在通过冒充某个职位的负责人来诈骗公司,例如因为冒充CFO或CEO、业务合作伙伴或任何您会盲目信任或服从的人,是推动BEC攻击成功的关键因素。2021年6月,Agari的安全研究人员发现了有史以来第一个浮出水面的俄罗斯BEC网络犯罪网络,该网络也是尼日利亚骗子的幕后黑手。代号为CosmicLynx的俄罗斯BEC团伙自2019年7月以来,对46个国家的200多名高管发起了BEC邮件诈骗攻击。与其他常规BEC诈骗不同,CosmicLynx的邮件内容非常真实,针对的是没有部署DMARC邮件的受害者安全政策,并使用虚假的“并购”计划窃取更多资金。据Agari的研究人员称,这是全球电子邮件攻击趋势的历史性转变,预示着全球CISO必须立即应对的新型复杂社交网络钓鱼攻击。研究人员表示,虽然大多数BEC诈骗团伙没有具体目标,但CosmicLynx专门寻找具有重要全球影响力的大型跨国组织,包括许多财富500强或全球000强。强大的公司。CosmicLynx的目标员工通常是高级管理人员,其中75%的人担任副总裁、总经理或董事总经理的职务,Agari说。调查发现,几乎所有攻击的原因都是受害者所在的公司正准备与一家亚洲公司进行收购交易。CosmicLynx自称是这家亚洲公司的首席执行官,并要求目标员工与“外部法律顾问”合作,协调完成收购所需的付款。由于其敏感性,目标员工必须对交易细节保密直到交易完成,这使得欺诈更容易被忽视。分析认为,CosmicLynx的邮件内容非常“正规、专业”,与其他BEC攻击方式大不相同,经常使用错误,让人无法区分真假邮件。.随着COVID-19大流行的加剧,视频会议应用程序已成为远程攻击的必备工具。网络攻击者正在利用这种情况从视频会议平台Zoom发送欺骗性电子邮件欺骗通知,旨在窃取登录凭据以窃取大量企业数据。显然,近年来BEC攻击的趋势愈演愈烈,攻击者创造了更加复杂和创新的方法来规避安全监控。BEC目前影响着全球70%以上的组织,每年造成数十亿美元的损失。这就是行业专家提出电子邮件身份验证协议(如DMARC)以提供针对假冒攻击的高级别保护的原因。什么是电子邮件验证?电子邮件身份验证是一组技术,旨在通过验证参与传输并可能修改邮件的任何邮件传输代理(MTA)的域所有权来提供有关电子邮件来源的可验证信息。网络电子邮件的原始基础简单邮件传输协议(SMTP)不具备此功能,因此在电子邮件中伪造发件人地址(一种称为电子邮件欺骗的做法)已被广泛用于网络钓鱼、垃圾邮件和各种类型的欺诈。为了解决这个问题,已经开发出许多相互竞争的电子邮件身份验证方案,但直到最近三种方案才被广泛采用——SPF、DKIM和DMARC。此类验证的结果可用于自动电子邮件过滤,或可帮助收件人选择适当的操作。这凸显了对高效电子邮件身份验证协议(如DMARC)的真正需求。使用DMARC防止BEC的步骤第1步:实施BEC预防的第一步实际上是为您的域配置DMARC。基于域的邮件身份验证、报告和一致性(DMARC)使用SPF和DKIM身份验证标准来验证从您的域发送的电子邮件发送的邮件。它向接收服务器指定如何响应未通过这两个身份验证检查的电子邮件,从而允许域所有者控制收件人的响应。因此,为了实施DMARC,您需要执行以下操作:1.确保所有有效的电子邮件来源都已授权给您的信任域;2.在您的DNS中发布SPF记录,为您的域配置SPF;3.在您的PublishDKIMrecordsinDNS中为您的域配置DKIM;4.在您??的DNS中发布DMARC记录,为您的域配置DMARC;为避免复杂性,您可以使用PowerDMARC的免费工具(免费SPF记录生成器、免费DKIM记录生成器、免费DMARC记录生成器)立即生成具有正确语法的记录并将其发布在您域的DNS中。Step2:EnforceYourDMARCpolicy可以设置为:p=none(仅监控DMARC,未通过身份验证的消息仍将被传递);p=quarantine(强制执行DMARC时,身份验证失败的邮件将被隔离);p=reject(DMARC处于最大执行状态,身份验证失败的消息根本不会被传递);研究人员建议,当您开始使用DMARC时,设置一个仅监控策略,以便您可以查看电子邮件流和发送问题。但是,这样的政策不会对BEC提供任何保护。这就是您最终需要DMARC强制执行的原因。PowerDMARC可以通过p=reject策略帮助您立即从监控过渡到强制执行,这将有助于接收由使用您的域的恶意来源发送的电子邮件。不会发送到收件人的收件箱。第3步:监控和报告现在您已经将DMARC策略设置为强制执行并成功地最小化了BEC,这是否足够安全?当然不是。您仍然需要一个广泛而有效的报告机制来监控电子邮件流并响应出现的任何问题。PowerDMARC的多租户SaaS平台可帮助您:1.保持对域的控制;2.直观监控为您注册的每个电子邮件、用户和域的身份验证结果;滥用IP地址;DMARC报告在PowerDMARC仪表板上以两种主要格式提供:1.DMARC摘要报告(提供7种不同的视图);2.DMARC分析报告(加密以增强隐私);DMARC的实施、执行和报告将大大减少您被BEC欺骗和冒充的机会。使用反垃圾邮件过滤器后,您还需要DMARC吗?当然,微软开发的一个安全特性就是DMAR,可以防止用户受到钓鱼邮件的攻击,保护用户的个人信息。DMARC可以帮助您检查发送的邮件是否合法,是否存在风险,并帮助您拦截垃圾邮件和钓鱼邮件。DMARC的工作方式与普通的反垃圾邮件过滤器和电子邮件安全网关截然不同,虽然这些解决方案通常与基于云的电子邮件交换服务集成,但它们仅提供针对入站网络钓鱼企图的保护。保护。从您的域发送的邮件仍然存在被冒充的风险,这就是DMARC发挥安全作用的地方。增强电子邮件安全性的其他提示始终保持在10个DNS解析限制以下超过SPF10查找限制可能会使您的SPF记录完全无效,甚至导致合法电子邮件无法通过身份验证。在这种情况下,如果您将DMARC设置为拒绝,则不会发送真正的电子邮件。PowerSPF是您的自动和动态SPF记录平滑器,它通过帮助您保持在SPF硬限制内来减少SPF错误。它会自动更新网络块并不断扫描您的电子邮件服务提供商对其IP地址所做的更改,而无需您进行任何干预。确保对传输中的电子邮件进行TLS加密虽然DMARC可以保护您免受社会工程攻击和BEC,但您仍然需要为中间人(MITM)等常见的监视攻击做好准备。这可以通过确保每次将电子邮件发送到您的域时在SMTP服务器之间协商通过TLS保护的连接来完成。PowerDMARC的托管MTA-STS在SMTP中强制执行TLS加密,并附带一个简单的实施过程。获取有关电子邮件接收问题的报告为您的域配置MTA-STS后,您还可以启用SMTPTLS报告以获取有关电子邮件接收问题的诊断报告。TLS-RPT可帮助您了解电子邮件生态系统,并在协商安全连接时更好地响应发送失败。您可以在PowerDMARC仪表板上的两个视图中查看TLS报告(每个结果和每个发送源的摘要报告)。使用邮件品牌标识(BIMI)邮件品牌标识(BIMI)是一种电子邮件标准,它将改变人们通过电子邮件与他们喜爱的品牌互动的方式。邮件品牌标识(BIMI)提供了一个框架,组织可以通过该框架提供授权徽标,以在收件人的收件箱中显示组织的身份验证电子邮件。据预测,用于邮件标识的品牌标识(BIMI)将越来越受欢迎,尤其是在严重依赖客户信任和参与的大型企业和知名供应商中。事实上,谷歌将在2020年推出邮件标识品牌标识(BIMI)试点,这应该有助于刺激采用。VerizonMedia的研究表明,用于邮件标识的品牌标识(BIMI)可提高打开率并提高客户参与度。BIMI的工作原理是将您独特的品牌徽标附加到您从您的域发送的每封电子邮件中。用户只需3个简单的步骤,PowerDMARC就可以轻松实现BIMI。PowerDMARC是一站式安全防护平台,适用于DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPT等一系列邮件认证协议。本文翻译自:https://thehackernews.com/2021/02/how-to-fight-business-email-compromise.html如有转载请注明出处。
