E-mail er ofte det første valg til en cyberkriminel, når de lanceres, fordi det er så let at udnytte. I modsætning til brute-force angreb, som er tunge på processorkraft, eller mere sofistikerede metoder, der kræver et højt niveau af dygtighed, kan domæne spoofing være lige så let som at skrive en e-mail foregiver at være en anden. I mange tilfælde er det 'en anden' en stor softwaretjenesteplatform, som folk er afhængige af for at udføre deres job.

Hvilket er, hvad der skete mellem den 15. og 30. april 2020, da vores sikkerhedsanalytikere hos PowerDMARC opdagede en ny bølge af phishing-e-mails rettet mod førende forsikringsselskaber i Mellemøsten. Dette angreb har været blot én blandt mange andre i den seneste stigning i phishing og spoofing tilfælde under Covid-19 krisen. Så tidligt som i februar 2020 gik en anden stor phishing-svindel så langt som til at efterligne Verdenssundhedsorganisationen og sende e-mails til tusinder af mennesker, der beder om donationer til coronavirus-lindring.

I denne seneste serie af hændelser modtog brugere af Microsofts Office 365-tjeneste, hvad der syntes at være rutinemæssige opdateringsmails om status for deres brugerkonti. Disse e-mails kom fra deres organisationers egne domæner og anmodede brugerne om at nulstille deres adgangskoder eller klikke på links for at se afventende meddelelser.

Vi har samlet en liste over nogle af de e-mail-titler, vi observerede, blev brugt:

Usædvanlig logonaktivitet for Microsoft-konto
Du har (3) meddelelser, der afventer levering på din e-mail [email protected]* portal!
[email protected] Du har ventende MICROSOFT OFFICE UNSYNC-meddelelser
Oversigtsmeddelelse om genaktivering for [email protected]

*Kontooplysninger ændret for brugernes beskyttelse af personlige oplysninger

Du kan også få vist et eksempel på et brevhoved, der bruges i en forfalsket e-mail, der er sendt til et forsikringsselskab:

Modtaget: fra [malicious_ip] (helo= malicious_domain)

id 1jK7RC-000uju-6x

til [email protected] Tor, 02 Apr 2020 23:31:46 +0200

DKIM-Underskrift: v=1; a=rsa-sha256; q=dns/txt; c=afslappet/afslappet;

Modtaget: fra [xxxx] (port=58502 helo=xxxxx)

af malicious_domain med esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Fra: "Microsoft-kontoteam"

Til: [email protected]

Om: Microsoft Office-besked til [email protected] den 4.1.2020 23:46

Dato: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-version: 1.0

Indholdstype: tekst/html;

charset="utf-8"

Content-Transfer-Kodning: kan udskrives i anseelse

X-AntiAbuse: Denne header blev tilføjet for at spore misbrug, skal du medtage det med enhver misbrug rapport

X-AntiAbuse: Primært værtsnavn – malicious_domain

X-AntiAbuse: Oprindeligt domæne – domain.com

X-AntiAbuse: Ophavsmand/opkalder UID/GID – [47 12] / [47 12]

X-AntiAbuse: Afsenderadressedomæne – domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Godkendt afsender: malicious_domain: [email protected]_domain

X-kilde:

X-Kilde-Args:

X-Kilde-Dir:

Modtaget-SPF: mislykkes ( domænet for domain.com angiver ikke malicious_ip_address som tilladt afsender) klient-ip= malicious_ip_address ; konvolut-fra=[email protected]; helo=malicious_domain;

X-SPF-resultat: domænet for domain.com angiver ikke malicious_ip_address som tilladt afsender

X-Sender-Advarsel: Omvendt DNS-opslag mislykkedes for malicious_ip_address (mislykkedes)

X-DKIM-Status: ingen / / domain.com / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / standard

Vores Security Operation Center sporede maillinkene til phishing-webadresser, der var målrettet Mod Microsoft Office 365-brugere. Webadresserne omdirigeret til kompromitterede steder på forskellige steder rundt om i verden.

Ved blot at se på disse e-mail-titler ville det være umuligt at fortælle, at de blev sendt af nogen, der spoofing din organisations domæne. Vi er vant til en stadig strøm af arbejde eller kontorelaterede e-mails, der beder os om at logge ind på forskellige onlinetjenester ligesom Office 365. Domæne spoofing drager fordel af det, hvilket gør deres falske, ondsindede e-mails umulige at skelne fra ægte. Der er næsten ingen måde at vide, uden en grundig analyse af e-mailen, om det kommer fra en pålidelig kilde. Og med snesevis af e-mails, der kommer i hverdagen, har ingen tid til omhyggeligt at undersøge hver enkelt. Den eneste løsning ville være at anvende en godkendelsesmekanisme, der ville kontrollere alle e-mails, der sendes fra dit domæne, og kun blokere dem, der blev sendt af en person, der sendte den uden tilladelse.

Denne godkendelsesmekanisme kaldes DMARC. Og som en af de førende udbydere af e-mail-sikkerhedsløsninger i verden har vi hos PowerDMARC gjort det til vores mission at få dig til at forstå vigtigheden af at beskytte din organisations domæne. Ikke kun for dig selv, men for alle, der har tillid til og er afhængige af dig til at levere sikre, pålidelige e-mails i deres indbakke, hver eneste gang.

Du kan læse om risikoen ved spoofing her: https://powerdmarc.com/stop-email-spoofing/

Find ud af, hvordan du kan beskytte dit domæne mod spoofing og booste dit brand her: https://powerdmarc.com/what-is-dmarc/