Sådan bruger phishing-svindel Office 365 til at målrette mod forsikringsselskaber

E-mail er ofte det første valg til en cyberkriminel, når de lanceres, fordi det er så let at udnytte. I modsætning til brute-force angreb, som er tunge på processorkraft, eller mere sofistikerede metoder, der kræver et højt niveau af dygtighed, kan domæne spoofing være lige så let som at skrive en e-mail foregiver at være en anden. I mange tilfælde er det 'en anden' en stor softwaretjenesteplatform, som folk er afhængige af for at udføre deres job.

Hvilket er, hvad der skete mellem den 15. og 30. april 2020, da vores sikkerhedsanalytikere hos PowerDMARC opdagede en ny bølge af phishing-e-mails rettet mod førende forsikringsselskaber i Mellemøsten. Dette angreb har været blot én blandt mange andre i den seneste stigning i phishing og spoofing tilfælde under Covid-19 krisen. Så tidligt som i februar 2020 gik en anden stor phishing-svindel så langt som til at efterligne Verdenssundhedsorganisationen og sende e-mails til tusinder af mennesker, der beder om donationer til coronavirus-lindring.

I denne seneste serie af hændelser modtog brugere af Microsofts Office 365-tjeneste, hvad der syntes at være rutinemæssige opdateringsmails om status for deres brugerkonti. Disse e-mails kom fra deres organisationers egne domæner og anmodede brugerne om at nulstille deres adgangskoder eller klikke på links for at se afventende meddelelser.

Vi har samlet en liste over nogle af de e-mail-titler, vi observerede, blev brugt:

*Kontooplysninger ændret for brugernes beskyttelse af personlige oplysninger

Du kan også få vist et eksempel på et brevhoved, der bruges i en forfalsket e-mail, der er sendt til et forsikringsselskab:

Modtaget: fra [malicious_ip] (helo= malicious_domain)

id 1jK7RC-000uju-6x

til [email protected] Tor, 02 Apr 2020 23:31:46 +0200

DKIM-Underskrift: v=1; a=rsa-sha256; q=dns/txt; c=afslappet/afslappet;

Modtaget: fra [xxxx] (port=58502 helo=xxxxx)

af malicious_domain med esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Fra: "Microsoft-kontoteam" 

Til: [email protected]

Om: Microsoft Office-besked til [email protected] den 4.1.2020 23:46

Dato: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-version: 1.0

Indholdstype: tekst/html;

charset="utf-8"

Content-Transfer-Kodning: kan udskrives i anseelse

X-AntiAbuse: Denne header blev tilføjet for at spore misbrug, skal du medtage det med enhver misbrug rapport

X-AntiAbuse: Primært værtsnavn – malicious_domain

X-AntiAbuse: Oprindeligt domæne – domain.com

X-AntiAbuse: Ophavsmand/opkalder UID/GID – [47 12] / [47 12]

X-AntiAbuse: Afsenderadressedomæne – domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Godkendt afsender: malicious_domain: [email protected]_domain

X-kilde: 

X-Kilde-Args: 

X-Kilde-Dir: 

Modtaget-SPF: mislykkes ( domænet for domain.com angiver ikke malicious_ip_address som tilladt afsender) klient-ip= malicious_ip_address ; konvolut-fra=[email protected]; helo=malicious_domain;

X-SPF-resultat: domænet for domain.com angiver ikke malicious_ip_address som tilladt afsender

X-Sender-Advarsel: Omvendt DNS-opslag mislykkedes for malicious_ip_address (mislykkedes)

X-DKIM-Status: ingen / / domain.com / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / standard

 

Vores Security Operation Center sporede maillinkene til phishing-webadresser, der var målrettet Mod Microsoft Office 365-brugere. Webadresserne omdirigeret til kompromitterede steder på forskellige steder rundt om i verden.

Ved blot at se på disse e-mail-titler ville det være umuligt at fortælle, at de blev sendt af nogen, der spoofing din organisations domæne. Vi er vant til en stadig strøm af arbejde eller kontorelaterede e-mails, der beder os om at logge ind på forskellige onlinetjenester ligesom Office 365. Domæne spoofing drager fordel af det, hvilket gør deres falske, ondsindede e-mails umulige at skelne fra ægte. Der er næsten ingen måde at vide, uden en grundig analyse af e-mailen, om det kommer fra en pålidelig kilde. Og med snesevis af e-mails, der kommer i hverdagen, har ingen tid til omhyggeligt at undersøge hver enkelt. Den eneste løsning ville være at anvende en godkendelsesmekanisme, der ville kontrollere alle e-mails, der sendes fra dit domæne, og kun blokere dem, der blev sendt af en person, der sendte den uden tilladelse.

Denne godkendelsesmekanisme kaldes DMARC. Og som en af de førende udbydere af e-mail-sikkerhedsløsninger i verden har vi hos PowerDMARC gjort det til vores mission at få dig til at forstå vigtigheden af at beskytte din organisations domæne. Ikke kun for dig selv, men for alle, der har tillid til og er afhængige af dig til at levere sikre, pålidelige e-mails i deres indbakke, hver eneste gang.

Du kan læse om risikoen ved spoofing her: https://powerdmarc.com/stop-email-spoofing/

Find ud af, hvordan du kan beskytte dit domæne mod spoofing og booste dit brand her: https://powerdmarc.com/what-is-dmarc/

/af

Hvordan angribere bruger Coronavirus til at snyde dig

Som organisationer oprettet velgørenhed midler rundt om i verden for at bekæmpe Covid-19, en anden form for kamp bliver ført i den elektroniske ledninger af internettet. Tusindvis af mennesker over hele verden er blevet ofre for e-mail-spoofing og covid-19 e-mail-svindel under coronaviruspandemien. Det er blevet mere og mere almindeligt at se cyberkriminelle bruge rigtige domænenavne på disse organisationer i deres e-mails for at fremstå legitime.

I den seneste højt profilerede coronavirus-fidus blev der sendt en e-mail angiveligt fra Verdenssundhedsorganisationen (WHO) rundt om i verden med anmodning om donationer til Solidaritetsresponsfonden. Afsenderens adresse var '[email protected]', hvor 'who.int' er det rigtige domænenavn for WHO. E-mailen blev bekræftet at være en phishing-svindel, men ved første øjekast pegede alle tegn på, at afsenderen var ægte. Domænet tilhørte trods alt den rigtige WHO.

donere responsfond

Dette har dog kun været en i en voksende serie af phishing-svindel, der bruger e-mails relateret til coronavirus til at stjæle penge og følsomme oplysninger fra mennesker. Men hvis afsenderen bruger et rigtigt domænenavn, hvordan kan vi skelne en legitim e-mail fra en falsk? Hvorfor er cyberkriminelle så let i stand til at anvende e-mail-domænespoofing på en så stor organisation?

Og hvordan finder enheder som WHO ud af, hvornår nogen bruger deres domæne til at starte et phishing-angreb?

E-mail er det mest anvendte forretningskommunikationsværktøj i verden, men det er en helt åben protokol. I sig selv er der meget lidt at overvåge, hvem der sender hvilke e-mails og fra hvilken e-mail-adresse. Dette bliver et stort problem, når angribere forklæder sig som et betroet mærke eller offentlig figur og beder folk om at give dem deres penge og personlige oplysninger. Faktisk har over 90% af alle virksomheds dataovertrædelser i de senere år involveret e-mail phishing i en eller anden form. Og e-mail domæne spoofing er en af de førende årsager til det.

I et forsøg på at sikre e-mail blev der udviklet protokoller som Sender Policy Framework (SPF) og Domain Keys Identified Mail (DKIM). SPF krydstjekker afsenderens IP-adresse med en godkendt liste over IP-adresser, og DKIM bruger en krypteret digital signatur til at beskytte e-mails. Mens disse begge er individuelt effektive, har de deres eget sæt fejl. DMARC, som blev udviklet i 2012, er en protokol, der bruger både SPF- og DKIM-godkendelse til at sikre e-mail, og har en mekanisme, der sender domæneejeren en rapport, når en e-mail mislykkes DMARC-validering.

Det betyder, at domæneejeren får besked, når en e-mail sendes af en uautoriseret tredjepart. Og det afgørende er, at de kan fortælle e-mail-modtageren, hvordan man håndterer ikke-godkendt mail: Lad den gå til indbakken, sætte den i karantæne eller afvise den direkte. I teorien bør dette stoppe dårlig e-mail fra at oversvømme folks indbakker og reducere antallet af phishing-angreb, vi står over for. Så hvorfor gør det ikke?

Kan DMARC forhindre domæne spoofing og Covid-19 e-mail-svindel?

E-mail-godkendelse kræver, at afsenderdomæner udgiver deres SPF-, DKIM- og DMARC-poster til DNS. Ifølge en undersøgelse havde kun 44,9% af Alexa top 1 million domæner en gyldig SPF-rekord offentliggjort i 2018, og så lidt som 5,1% havde en gyldig DMARC-rekord. Og det er på trods af, at domæner uden DMARC-godkendelse lider af spoofing næsten fire gange så meget som domæner, der er sikret. Der er mangel på seriøs DMARC-implementering på tværs af forretningslandskabet, og det er ikke blevet meget bedre gennem årene. Selv organisationer som UNICEF har endnu til at gennemføre DMARC med deres domæner, og Det Hvide Hus og us Department of Defense begge har en DMARC politik p = ingen, hvilket betyder, at de ikke bliver håndhævet.

En undersøgelse foretaget af eksperter på Virginia Tech har bragt frem i lyset nogle af de mest alvorlige bekymringer citeret af store virksomheder og virksomheder, der endnu ikke har brugt DMARC-godkendelse:

  1. Implementeringsvanskeligheder: Den strenge håndhævelse af sikkerhedsprotokoller betyder ofte et højt koordineringsniveau i store institutioner, som de ofte ikke har ressourcer til. Derudover har mange organisationer ikke meget kontrol over deres DNS, så udgivelse af DMARC-poster bliver endnu mere udfordrende.
  2. Fordele, der ikke opvejer omkostningerne: DMARC-godkendelse har typisk direkte fordele for modtageren af e-mailen snarere end domæneejeren. Manglen på seriøs motivation til at vedtage den nye protokol har afholdt mange virksomheder fra at indarbejde DMARC i deres systemer.
  3. Risiko for at bryde det eksisterende system: DMARC's relative nyhed gør det mere tilbøjeligt til ukorrekt implementering, hvilket bringer den meget reelle risiko for legitime e-mails, der ikke går igennem. Virksomheder, der er afhængige af e-mail-cirkulation, har ikke råd til at få det til at ske, og så gider ikke at vedtage DMARC overhovedet.

Anerkendelse af, hvorfor vi har brug for DMARC

Mens de bekymringer, som virksomheder i undersøgelsen har åbenlyse fordele, gør det ikke DMARC-implementering mindre afgørende for e-mail-sikkerhed. Jo længere virksomheder fortsætter med at fungere uden et DMARC-godkendt domæne, jo mere udsætter vi os alle for den meget reelle fare for e-mail phishing-angreb. Som coronavirus-e-mail-spoofing-svindel har lært os, er ingen sikker på at blive målrettet eller efterlignet. Tænk på DMARC som en vaccine - som antallet af mennesker, der bruger det vokser, chancerne for at fange en infektion gå ned dramatisk.

Der er reelle, levedygtige løsninger på dette problem, der kan overvinde folks bekymringer over DMARC vedtagelse. Her er blot nogle få, der kan øge implementeringen med en stor margin:

  1. Reduktion af gnidninger i implementering: Den største forhindring, der står i vejen for, at en virksomhed vedtager DMARC, er de implementeringsomkostninger, der er forbundet med det. Økonomien er i dødvande, og ressourcerne er knappe. Derfor er PowerDMARC sammen med vores industrielle partnere Global Cyber Alliance (GCA) stolte af at kunne annoncere et tidsbegrænset tilbud under Covid-19-pandemien – 3 måneder af vores komplette pakke af apps, DMARC-implementering og anti-spoofing-tjenester, helt gratis. Få din DMARC-løsning konfigureret på få minutter, og begynd at overvåge dine e-mails ved hjælp af PowerDMARC nu.
  2. Forbedring af opfattet anvendelighed: For at DMARC skal have stor indflydelse på e-mail-sikkerhed, har det brug for en kritisk masse af brugere til at offentliggøre deres SPF-, DKIM- og DMARC-poster. Ved at belønne DMARC-godkendte domæner med et 'Trusted' eller 'Verified' ikon (som med fremme af HTTPS blandt websteder) kan domæneejere tilskyndes til at få et positivt ry for deres domæne. Når dette når en vis tærskel, vil domæner, der er beskyttet af DMARC, blive set mere positivt end dem, der ikke er.
  3. Strømlinet installation: Ved at gøre det nemmere at installere og konfigurere protokoller til bekæmpelse af efterligning af identitet (spoofing) kan flere domæner acceptere DMARC-godkendelse. En måde, dette kunne gøres på, er ved at lade protokollen køre i en 'overvågningstilstand', så e-mail-administratorer kan vurdere den indvirkning, den har på deres systemer, før de går til en fuld implementering.

Hver ny opfindelse medfører nye udfordringer. Enhver ny udfordring tvinger os til at finde en ny måde at overvinde den på. DMARC har eksisteret i nogle år nu, men phishing har eksisteret i langt længere tid. I de seneste uger har Covid-19-pandemien kun givet den et nyt ansigt. Hos PowerDMARC er vi her for at hjælpe dig med at møde denne nye udfordring direkte. Tilmeld dig her for din gratis DMARC-analysator, så mens du bliver hjemme sikkert fra coronavirus, er dit domæne sikkert mod e-mail-spoofing.

/af