E-mail er ofte det første valg til en cyberkriminel, når de lanceres, fordi det er så let at udnytte. I modsætning til brute-force angreb, som er tunge på processorkraft, eller mere sofistikerede metoder, der kræver et højt niveau af dygtighed, kan domæne spoofing være lige så let som at skrive en e-mail foregiver at være en anden. I mange tilfælde er det 'en anden' en stor softwaretjenesteplatform, som folk er afhængige af for at udføre deres job.

Det var, hvad der skete mellem den 15. og 30. april 2020, da vores sikkerhedsanalytikere hos PowerDMARC opdagede en ny bølge af phishing-mails rettet mod førende forsikringsselskaber i Mellemøsten. Dette angreb har blot været ét blandt mange andre i den seneste stigning af phishing- og spoofing-sager under Covid-19-krisen. Allerede i februar 2020 gik en anden stor phishing-svindel så vidt som til at udgive sig for at være Verdenssundhedsorganisationen og sende e-mails til tusindvis af mennesker, der bad om donationer til hjælp mod coronavirus.

forsikringsselskaber

I denne seneste serie af hændelser modtog brugere af Microsofts Office 365-tjeneste, hvad der syntes at være rutinemæssige opdateringsmails om status for deres brugerkonti. Disse e-mails kom fra deres organisationers egne domæner og anmodede brugerne om at nulstille deres adgangskoder eller klikke på links for at se afventende meddelelser.

Vi har samlet en liste over nogle af de e-mail-titler, vi observerede, blev brugt:

Usædvanlig logonaktivitet for Microsoft-konto
Du har (3) meddelelser, der afventer levering på din e-mail [email protected]* portal!
user@domain Du har ventende MICROSOFT OFFICE UNSYNC-meddelelser
Oversigtsmeddelelse om genaktivering for [email protected]

*Kontooplysninger ændret for brugernes beskyttelse af personlige oplysninger

Du kan også få vist et eksempel på et brevhoved, der bruges i en forfalsket e-mail, der er sendt til et forsikringsselskab:

Modtaget: fra [malicious_ip] (helo= malicious_domain)

id 1jK7RC-000uju-6x

til [email protected] Tor, 02 Apr 2020 23:31:46 +0200

DKIM-Underskrift: v=1; a=rsa-sha256; q=dns/txt; c=afslappet/afslappet;

Modtaget: fra [xxxx] (port=58502 helo=xxxxx)

af malicious_domain med esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Fra: "Microsoft-kontoteam"

Til: [email protected]

Om: Microsoft Office-besked til [email protected] den 4.1.2020 23:46

Dato: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-version: 1.0

Indholdstype: tekst/html;

charset="utf-8"

Content-Transfer-Kodning: kan udskrives i anseelse

X-AntiAbuse: Denne header blev tilføjet for at spore misbrug, skal du medtage det med enhver misbrug rapport

X-AntiAbuse: Primært værtsnavn – malicious_domain

X-AntiAbuse: Oprindeligt domæne – domain.com

X-AntiAbuse: Ophavsmand/opkalder UID/GID – [47 12] / [47 12]

X-AntiAbuse: Afsenderadressedomæne – domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Godkendt afsender: malicious_domain: admin@malicious_domain

X-kilde:

X-Kilde-Args:

X-Kilde-Dir:

Modtaget-SPF: mislykkes ( domænet for domain.com angiver ikke malicious_ip_address som tilladt afsender) klient-ip= malicious_ip_address ; konvolut-fra=[email protected]; helo=malicious_domain;

X-SPF-resultat: domænet for domain.com angiver ikke malicious_ip_address som tilladt afsender

X-Sender-Advarsel: Omvendt DNS-opslag mislykkedes for malicious_ip_address (mislykkedes)

X-DKIM-Status: ingen / / domain.com / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / standard

Vores Security Operation Center sporede maillinkene til phishing-webadresser, der var målrettet Mod Microsoft Office 365-brugere. Webadresserne omdirigeret til kompromitterede steder på forskellige steder rundt om i verden.

Ved blot at se på disse e-mail-titler ville det være umuligt at fortælle, at de blev sendt af nogen, der spoofing din organisations domæne. Vi er vant til en stadig strøm af arbejde eller kontorelaterede e-mails, der beder os om at logge ind på forskellige onlinetjenester ligesom Office 365. Domæne spoofing drager fordel af det, hvilket gør deres falske, ondsindede e-mails umulige at skelne fra ægte. Der er næsten ingen måde at vide, uden en grundig analyse af e-mailen, om det kommer fra en pålidelig kilde. Og med snesevis af e-mails, der kommer i hverdagen, har ingen tid til omhyggeligt at undersøge hver enkelt. Den eneste løsning ville være at anvende en godkendelsesmekanisme, der ville kontrollere alle e-mails, der sendes fra dit domæne, og kun blokere dem, der blev sendt af en person, der sendte den uden tilladelse.

Denne godkendelsesmekanisme kaldes DMARC. Og som en af de førende udbydere af e-mail-sikkerhedsløsninger i verden har vi hos PowerDMARC gjort det til vores mission at få dig til at forstå vigtigheden af at beskytte din organisations domæne. Ikke kun for dig selv, men for alle, der stoler på og er afhængige af, at du leverer sikre, pålidelige e-mails i deres indbakke, hver eneste gang.

Du kan læse om risikoen ved spoofing her: https://powerdmarc.com/stop-email-spoofing/

Find ud af, hvordan du kan beskytte dit domæne mod spoofing og booste dit brand her: https://powerdmarc.com/what-is-dmarc/

Om
Seneste indlæg

Ahona Rudra

Manager for digital markedsføring og indholdsskribent hos PowerDMARC

Ahona arbejder som Digital Marketing and Content Writer Manager hos PowerDMARC. Hun er en passioneret forfatter, blogger og marketingspecialist inden for cybersikkerhed og informationsteknologi.

Nyeste indlæg af Ahona Rudra (se alle)