Som organisationer oprettet velgørenhed midler rundt om i verden for at bekæmpe Covid-19, en anden form for kamp bliver ført i den elektroniske ledninger af internettet. Tusindvis af mennesker over hele verden er blevet ofre for e-mail-spoofing og covid-19 e-mail-svindel under coronaviruspandemien. Det er blevet mere og mere almindeligt at se cyberkriminelle bruge rigtige domænenavne på disse organisationer i deres e-mails for at fremstå legitime.
I den seneste højt profilerede svindel med coronavirus blev der sendt en e-mail rundt om i verden, som angiveligt kom fra Verdenssundhedsorganisationen (WHO), med en anmodning om donationer til Solidarity Response Fund. Afsenderens adresse var "[email protected]", hvor "who.int" er det rigtige domænenavn for WHO. Det blev bekræftet, at e-mailen var et phishing-svindelnummer, men ved første øjekast tydede alt på, at afsenderen var ægte. Domænet tilhørte trods alt den rigtige WHO.
Dette har dog kun været en i en voksende serie af phishing-svindel, der bruger e-mails relateret til coronavirus til at stjæle penge og følsomme oplysninger fra mennesker. Men hvis afsenderen bruger et rigtigt domænenavn, hvordan kan vi skelne en legitim e-mail fra en falsk? Hvorfor er cyberkriminelle så let i stand til at anvende e-mail-domænespoofing på en så stor organisation?
Og hvordan finder enheder som WHO ud af, hvornår nogen bruger deres domæne til at starte et phishing-angreb?
E-mail er det mest anvendte forretningskommunikationsværktøj i verden, men det er en helt åben protokol. I sig selv er der meget lidt at overvåge, hvem der sender hvilke e-mails og fra hvilken e-mail-adresse. Dette bliver et stort problem, når angribere forklæder sig som et betroet mærke eller offentlig figur og beder folk om at give dem deres penge og personlige oplysninger. Faktisk har over 90% af alle virksomheds dataovertrædelser i de senere år involveret e-mail phishing i en eller anden form. Og e-mail domæne spoofing er en af de førende årsager til det.
I et forsøg på at sikre e-mail blev der udviklet protokoller som Sender Policy Framework (SPF) og Domain Keys Identified Mail (DKIM). SPF krydstjekker afsenderens IP-adresse med en godkendt liste over IP-adresser, og DKIM bruger en krypteret digital signatur til at beskytte e-mails. Mens disse begge er individuelt effektive, har de deres eget sæt fejl. DMARC, som blev udviklet i 2012, er en protokol, der bruger både SPF- og DKIM-godkendelse til at sikre e-mail, og har en mekanisme, der sender domæneejeren en rapport, når en e-mail mislykkes DMARC-validering.
Det betyder, at domæneejeren får besked, når en e-mail sendes af en uautoriseret tredjepart. Og det afgørende er, at de kan fortælle e-mail-modtageren, hvordan man håndterer ikke-godkendt mail: Lad den gå til indbakken, sætte den i karantæne eller afvise den direkte. I teorien bør dette stoppe dårlig e-mail fra at oversvømme folks indbakker og reducere antallet af phishing-angreb, vi står over for. Så hvorfor gør det ikke?
Kan DMARC forhindre domæne spoofing og Covid-19 e-mail-svindel?
E-mail-godkendelse kræver, at afsenderdomæner offentliggør deres SPF-, DKIM- og DMARC-poster til DNS. Ifølge en undersøgelse havde kun 44,9% af Alexa top 1 million domæner en gyldig SPF-record offentliggjort i 2018, og så lidt som 5,1% havde en gyldig DMARC-record. Og det er på trods af, at domæner uden DMARC-godkendelse lider af spoofing næsten fire gange så meget som domæner, der er sikrede. Der er en mangel på seriøs DMARC-implementering på tværs af forretningslandskabet, og det er ikke blevet meget bedre med årene. Selv organisationer som UNICEF har endnu ikke implementeret DMARC med deres domæner, og Det Hvide Hus og det amerikanske forsvarsministerium har begge en DMARC-politik på p = ingen, hvilket betyder, at de ikke bliver håndhævet.
En undersøgelse foretaget af eksperter på Virginia Tech har bragt frem i lyset nogle af de mest alvorlige bekymringer citeret af store virksomheder og virksomheder, der endnu ikke har brugt DMARC-godkendelse:
- Implementeringsvanskeligheder: Den strenge håndhævelse af sikkerhedsprotokoller betyder ofte et højt koordineringsniveau i store institutioner, som de ofte ikke har ressourcer til. Derudover har mange organisationer ikke meget kontrol over deres DNS, så udgivelse af DMARC-poster bliver endnu mere udfordrende.
- Fordele, der ikke opvejer omkostningerne: DMARC-godkendelse har typisk direkte fordele for modtageren af e-mailen snarere end domæneejeren. Manglen på seriøs motivation til at vedtage den nye protokol har afholdt mange virksomheder fra at indarbejde DMARC i deres systemer.
- Risiko for at bryde det eksisterende system: DMARC's relative nyhed gør det mere tilbøjeligt til ukorrekt implementering, hvilket bringer den meget reelle risiko for legitime e-mails, der ikke går igennem. Virksomheder, der er afhængige af e-mail-cirkulation, har ikke råd til at få det til at ske, og så gider ikke at vedtage DMARC overhovedet.
Anerkendelse af, hvorfor vi har brug for DMARC
Mens de bekymringer, som virksomhederne udtrykker i undersøgelsen, har åbenlyse fordele, gør det ikke DMARC-implementering mindre afgørende for e-mail-sikkerhed. Jo længere virksomheder fortsætter med at fungere uden et DMARC-autentificeret domæne, jo mere udsætter vi os alle for den meget reelle fare for phishing-angreb via e-mail. Som coronavirus-e-mail-spoofing-svindel har lært os, er ingen i sikkerhed for at blive målrettet eller efterlignet. Tænk på DMARC som en vaccine - efterhånden som antallet af mennesker, der bruger det, vokser, falder chancerne for at få en infektion dramatisk.
Der er reelle, levedygtige løsninger på dette problem, der kan overvinde folks bekymringer over DMARC vedtagelse. Her er blot nogle få, der kan øge implementeringen med en stor margin:
- Reducering af friktion i implementeringen: Den største forhindring, der står i vejen for, at en virksomhed kan indføre DMARC, er de implementeringsomkostninger, der er forbundet med det. Økonomien er i bund, og ressourcerne er knappe. Derfor er PowerDMARC sammen med vores industrielle partnere Global Cyber Alliance (GCA) stolte af at kunne annoncere et tidsbegrænset tilbud under Covid-19-pandemien - 3 måneder med vores fulde pakke af apps, DMARC-implementering og anti-spoofing-tjenester, helt gratis. Få din DMARC-løsning sat op på få minutter, og begynd at overvåge dine e-mails ved hjælp af PowerDMARC nu.
- Forbedring af opfattet anvendelighed: For at DMARC skal have stor indflydelse på e-mail-sikkerhed, har det brug for en kritisk masse af brugere til at offentliggøre deres SPF-, DKIM- og DMARC-poster. Ved at belønne DMARC-godkendte domæner med et 'Trusted' eller 'Verified' ikon (som med fremme af HTTPS blandt websteder) kan domæneejere tilskyndes til at få et positivt ry for deres domæne. Når dette når en vis tærskel, vil domæner, der er beskyttet af DMARC, blive set mere positivt end dem, der ikke er.
- Strømlinet installation: Ved at gøre det nemmere at installere og konfigurere protokoller til bekæmpelse af efterligning af identitet (spoofing) kan flere domæner acceptere DMARC-godkendelse. En måde, dette kunne gøres på, er ved at lade protokollen køre i en 'overvågningstilstand', så e-mail-administratorer kan vurdere den indvirkning, den har på deres systemer, før de går til en fuld implementering.
Hver ny opfindelse medfører nye udfordringer. Enhver ny udfordring tvinger os til at finde en ny måde at overvinde den på. DMARC har eksisteret i nogle år nu, men phishing har eksisteret i langt længere tid. I de seneste uger har Covid-19-pandemien kun givet den et nyt ansigt. Hos PowerDMARC er vi her for at hjælpe dig med at møde denne nye udfordring direkte. Tilmeld dig her for din gratis DMARC-analysator, så mens du bliver hjemme sikkert fra coronavirus, er dit domæne sikkert mod e-mail-spoofing.
