Come le truffe di phishing stanno usando Office 365 per colpire le compagnie di assicurazione

L'e-mail è spesso la prima scelta per un criminale informatico quando si lancia perché è così facile da sfruttare. A differenza degli attacchi brute-force che sono pesanti sulla potenza di elaborazione, o metodi più sofisticati che richiedono un alto livello di abilità, lo spoofing del dominio può essere facile come scrivere un'email fingendo di essere qualcun altro. In molti casi, quel "qualcun altro" è una grande piattaforma di servizi software su cui la gente fa affidamento per svolgere il proprio lavoro.

È quello che è successo tra il 15 e il 30 aprile 2020, quando i nostri analisti di sicurezza di PowerDMARC hanno scoperto una nuova ondata di e-mail di phishing rivolte alle principali compagnie assicurative del Medio Oriente. Questo attacco è stato solo uno tra i tanti nel recente aumento dei casi di phishing e spoofing durante la crisi del Covid-19. Già a febbraio 2020, un'altra importante truffa di phishing si è spinta fino a impersonare l'Organizzazione Mondiale della Sanità, inviando e-mail a migliaia di persone che chiedevano donazioni per i soccorsi contro il coronavirus.

imprese di assicurazione

In questa recente serie di incidenti, gli utenti del servizio Office 365 di Microsoft hanno ricevuto ciò che sembrava essere e-mail di aggiornamento di routine per quanto riguarda lo stato dei loro account utente. Queste e-mail provenivano dai domini delle loro organizzazioni, richiedendo agli utenti di reimpostare le loro password o fare clic sui link per visualizzare le notifiche in sospeso.

Abbiamo compilato una lista di alcuni dei titoli di e-mail che abbiamo osservato essere utilizzati:

  • Attività di accesso inusuale dell'account Microsoft
  • Hai (3) messaggi in attesa di consegna sul tuo portale e-Mail [email protected]* !
  • utente@dominio Hai messaggi in sospeso di Microsoft Office UNSYNC
  • Notifica sommaria di riattivazione per [email protected]

*dati dell'account cambiati per la privacy degli utenti

Potete anche vedere un esempio di un'intestazione di posta usata in un'e-mail spoofata inviata a una società di assicurazioni:

Ricevuto: da [maligno_ip] (helo= dominio_cattivo)

id 1jK7RC-000uju-6x

per [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Ricevuto: da [xxxx] (porta=58502 helo=xxxxx)

da dominio_cattivo con esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Da: "Team di account Microsoft" 

A: [email protected]

Oggetto: Notifica di Microsoft Office per [email protected] il 4/1/2020 23:46

Data: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Questa intestazione è stata aggiunta per tenere traccia degli abusi, per favore includila in ogni segnalazione di abuso

X-AntiAbuse: Hostname primario - dominio_malizioso

X-AntiAbuse: Dominio originale - dominio.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Indirizzo del mittente Dominio - domain.com

X-Get-Message-Sender-Via: dominio_malizioso: authenticated_id: admin@dominio_malizioso

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( il dominio di domain.com non designa indirizzo IP malevolo come mittente consentito) client-ip= indirizzo_ip maligno ; envelope-from=[email protected]; helo=dominio_malizioso;

X-SPF-Resultato: il dominio di dominio.com non designa indirizzo IP malevolo come mittente consentito

X-Sender-Warning: Ricerca DNS inversa fallita per indirizzo IP malevolo (fallito)

X-DKIM-Status: nessuno / / dominio.com / / /

X-DKIM-Status: pass / / dominio_malizioso / dominio_malizioso / / predefinito

 

Il nostro Security Operation Center ha rintracciato i link delle e-mail a URL di phishing che prendevano di mira gli utenti di Microsoft Office 365. Gli URL reindirizzavano a siti compromessi in diverse località del mondo.

Guardando semplicemente i titoli delle e-mail, sarebbe impossibile dire che sono state inviate da qualcuno che ha spoofato il dominio della tua organizzazione. Siamo abituati a un flusso costante di email legate al lavoro o all'account che ci spingono ad accedere a vari servizi online come Office 365. Lo spoofing del dominio approfitta di questo, rendendo le loro email false e dannose indistinguibili da quelle genuine. Non c'è praticamente modo di sapere, senza un'analisi approfondita dell'email, se proviene da una fonte affidabile. E con dozzine di email che arrivano ogni giorno, nessuno ha il tempo di esaminare attentamente ognuna di esse. L'unica soluzione sarebbe quella di impiegare un meccanismo di autenticazione che controlli tutte le email inviate dal tuo dominio, e blocchi solo quelle che sono state inviate da qualcuno che le ha inviate senza autorizzazione.

imprese di assicurazione

Questo meccanismo di autenticazione si chiama DMARC. In qualità di uno dei principali fornitori di soluzioni per la sicurezza della posta elettronica al mondo, noi di PowerDMARC ci siamo prefissi di farvi comprendere l'importanza di proteggere il dominio della vostra organizzazione. Non solo per voi stessi, ma per tutti coloro che si fidano e dipendono da voi per ricevere e-mail sicure e affidabili nella loro casella di posta, ogni volta.

Potete leggere sui rischi dello spoofing qui: https://powerdmarc.com/stop-email-spoofing/

Scopri come puoi proteggere il tuo dominio dallo spoofing e aumentare il tuo marchio qui: https://powerdmarc.com/what-is-dmarc/

imprese di assicurazione

/da

Come gli attaccanti stanno usando il Coronavirus per truffarti

Mentre le organizzazioni istituiscono fondi di beneficenza in tutto il mondo per combattere il Covid-19, un diverso tipo di battaglia viene condotta nei condotti elettronici di internet. Migliaia di persone in tutto il mondo sono cadute preda di email spoofing e truffe via email covid-19 durante la pandemia del coronavirus. È diventato sempre più comune vedere i criminali informatici utilizzare i nomi di dominio reali di queste organizzazioni nelle loro e-mail per apparire legittimi.

Nella più recente truffa di alto profilo relativa al coronavirus, è stata inviata in tutto il mondo un'e-mail che si supponeva provenisse dall'Organizzazione Mondiale della Sanità (OMS), con la richiesta di donazioni al Fondo di risposta alla solidarietà. L'indirizzo del mittente era "[email protected]", dove "who.int" è il vero nome di dominio dell'OMS. L'e-mail è stata confermata essere una truffa di phishing, ma a prima vista tutti i segnali indicavano che il mittente era autentico. Dopo tutto, il dominio apparteneva alla vera OMS.

donare fondo di risposta

Tuttavia, questo è stato solo uno di una crescente serie di truffe di phishing che utilizzano e-mail relative al coronavirus per rubare denaro e informazioni sensibili dalle persone. Ma se il mittente sta usando un vero nome di dominio, come possiamo distinguere un'email legittima da una falsa? Perché i criminali informatici sono così facilmente in grado di impiegare lo spoofing del dominio e-mail su un'organizzazione così grande?

E come fanno entità come l'OMS a scoprire quando qualcuno sta usando il suo dominio per lanciare un attacco di phishing?

La posta elettronica è lo strumento di comunicazione aziendale più utilizzato al mondo, eppure è un protocollo completamente aperto. Da solo, c'è molto poco per monitorare chi invia quali e-mail e da quale indirizzo e-mail. Questo diventa un problema enorme quando gli aggressori si travestono da un marchio affidabile o da un personaggio pubblico, chiedendo alle persone di dare loro i loro soldi e le informazioni personali. Infatti, oltre il 90% di tutte le violazioni dei dati aziendali negli ultimi anni hanno coinvolto l'email phishing in una forma o nell'altra. E lo spoofing del dominio e-mail è una delle cause principali.

Nel tentativo di proteggere le email, sono stati sviluppati protocolli come Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM). SPF fa un controllo incrociato dell'indirizzo IP del mittente con una lista approvata di indirizzi IP, e DKIM usa una firma digitale criptata per proteggere le email. Mentre questi sono entrambi efficaci individualmente, hanno la loro serie di difetti. DMARC, che è stato sviluppato nel 2012, è un protocollo che utilizza sia l'autenticazione SPF che DKIM per proteggere le e-mail, e ha un meccanismo che invia al proprietario del dominio un rapporto ogni volta che una e-mail fallisce la convalida DMARC.

Questo significa che il proprietario del dominio viene avvisato ogni volta che una mail viene inviata da una terza parte non autorizzata. E soprattutto, possono dire al destinatario dell'email come gestire la posta non autenticata: lasciarla andare nella posta in arrivo, metterla in quarantena o rifiutarla del tutto. In teoria, questo dovrebbe impedire alle email cattive di inondare le caselle di posta della gente e ridurre il numero di attacchi di phishing che affrontiamo. Allora perché non lo fa?

DMARC può prevenire lo spoofing del dominio e le truffe via e-mail Covid-19?

L'autenticazione delle e-mail richiede che i domini mittenti pubblichino i loro record SPF, DKIM e DMARC nel DNS. Secondo uno studio, solo il 44,9% di Alexa top 1 milione di domini aveva un record SPF valido pubblicato nel 2018 e appena il 5,1% aveva un record DMARC valido. E questo nonostante il fatto che i domini senza autenticazione DMARC soffrano di spoofing quasi quattro volte di più rispetto ai domini protetti. Manca una seria implementazione del DMARC in tutto il panorama aziendale e la situazione non è migliorata di molto nel corso degli anni. Persino organizzazioni come l'UNICEF non hanno ancora implementato il DMARC nei loro domini e la Casa Bianca e il Dipartimento della Difesa degli Stati Uniti hanno entrambi una politica DMARC di p = nessuno, il che significa che non viene applicata.

Un sondaggio condotto dagli esperti del Virginia Tech ha portato alla luce alcune delle preoccupazioni più gravi citate dalle grandi aziende e dalle imprese che non hanno ancora utilizzato l'autenticazione DMARC:

  1. Difficoltà di distribuzione: L'applicazione rigorosa dei protocolli di sicurezza spesso significa un alto livello di coordinamento nelle grandi istituzioni, che spesso non hanno le risorse per farlo. Inoltre, molte organizzazioni non hanno molto controllo sui loro DNS, quindi la pubblicazione dei record DMARC diventa ancora più difficile.
  2. I benefici non superano i costi: L'autenticazione DMARC ha tipicamente benefici diretti per il destinatario dell'email piuttosto che per il proprietario del dominio. La mancanza di motivazioni serie per adottare il nuovo protocollo ha impedito a molte aziende di incorporare DMARC nei loro sistemi.
  3. Rischio di rompere il sistema esistente: La relativa novità di DMARC lo rende più incline all'implementazione impropria, che porta il rischio molto reale di email legittime che non passano. Le aziende che si basano sulla circolazione delle email non possono permettersi che questo accada, e quindi non si preoccupano di adottare DMARC.

Riconoscere perché abbiamo bisogno di DMARC

Sebbene le preoccupazioni espresse dalle aziende nel sondaggio siano ovviamente fondate, ciò non rende l'implementazione del DMARC meno imperativa per la sicurezza delle e-mail. Più le aziende continueranno a funzionare senza un dominio autenticato DMARC, più tutti noi ci esporremo al pericolo reale di attacchi di phishing via e-mail. Come ci hanno insegnato le truffe di spoofing via e-mail del coronavirus, nessuno è al sicuro dall'essere preso di mira o impersonato. Considerate il DMARC come un vaccino: con l'aumento del numero di persone che lo utilizzano, le possibilità di contrarre un'infezione diminuiscono drasticamente.

Ci sono soluzioni reali e fattibili a questo problema che potrebbero superare le preoccupazioni della gente sull'adozione di DMARC. Qui ce ne sono solo alcune che potrebbero aumentare l'implementazione con un ampio margine:

  1. Riduzione dell'attrito nell'implementazione: Il più grande ostacolo che si frappone all'adozione del DMARC da parte di un'azienda è rappresentato dai costi di implementazione associati. L'economia è in crisi e le risorse sono scarse. Ecco perché PowerDMARC e i nostri partner industriali Global Cyber Alliance (GCA) sono orgogliosi di annunciare un'offerta limitata nel tempo durante la pandemia di Covid-19: 3 mesi della nostra suite completa di applicazioni, implementazione DMARC e servizi anti-spoofing, completamente gratuiti. Configurate la vostra soluzione DMARC in pochi minuti e iniziate subito a monitorare le vostre e-mail con PowerDMARC.
  2. Migliorare l'utilità percepita: Perché DMARC abbia un grande impatto sulla sicurezza delle email, ha bisogno di una massa critica di utenti che pubblichino i loro record SPF, DKIM e DMARC. Premiando i domini autenticati da DMARC con un'icona 'Trusted' o 'Verified' (come con la promozione di HTTPS tra i siti web), i proprietari dei domini possono essere incentivati a ottenere una reputazione positiva per il loro dominio. Una volta che questo raggiunge una certa soglia, i domini protetti da DMARC saranno visti più favorevolmente di quelli che non lo sono.
  3. Implementazione semplificata: Rendendo più facile l'implementazione e la configurazione dei protocolli anti-spoofing, più domini saranno d'accordo con l'autenticazione DMARC. Un modo in cui questo potrebbe essere fatto è permettere al protocollo di funzionare in una "modalità di monitoraggio", permettendo agli amministratori di posta elettronica di valutare l'impatto che ha sui loro sistemi prima di andare per un'implementazione completa.

Ogni nuova invenzione porta con sé nuove sfide. Ogni nuova sfida ci costringe a trovare un nuovo modo per superarla. DMARC esiste da alcuni anni, ma il phishing esiste da molto più tempo. Nelle ultime settimane, la pandemia Covid-19 gli ha solo dato un nuovo volto. Noi di PowerDMARC siamo qui per aiutarvi ad affrontare questa nuova sfida. Iscriviti qui per il tuo analizzatore DMARC gratuito, in modo che mentre tu stai a casa al sicuro dal coronavirus, il tuo dominio è al sicuro dallo spoofing delle email.

imprese di assicurazione

/da