Terwijl organisaties over de hele wereld liefdadigheidsfondsen opzetten om Covid-19 te bestrijden, wordt een ander soort strijd gevoerd in de elektronische kanalen van het internet. Duizenden mensen over de hele wereld zijn ten prooi gevallen aan email spoofing en covid-19 email scams tijdens de coronavirus pandemie. Het komt steeds vaker voor dat cybercriminelen echte domeinnamen van deze organisaties in hun e-mails gebruiken om legitiem over te komen.
Bij de meest recente oplichtingspraktijken met betrekking tot het coronavirus werd een e-mail, zogenaamd van de Wereldgezondheidsorganisatie (WHO), de wereld rondgestuurd met het verzoek om donaties voor het Solidariteitsfonds. Het adres van de afzender was "[email protected]", waarbij "who.int" de echte domeinnaam van de WHO is. De e-mail bleek een phishing-zwendel te zijn, maar op het eerste gezicht wees alles erop dat de afzender echt was. Het domein behoorde immers toe aan de echte WHO.
Dit is er echter slechts één in een groeiende reeks van phishing-zwendel waarbij e-mails in verband met het coronavirus worden gebruikt om geld en gevoelige informatie van mensen te stelen. Maar als de afzender een echte domeinnaam gebruikt, hoe kunnen we dan een legitieme e-mail onderscheiden van een nepmail? Waarom zijn cybercriminelen zo gemakkelijk in staat om spoofing van e-maildomeinen op zo'n grote organisatie toe te passen?
En hoe komen instanties als de WHO te weten wanneer iemand hun domein gebruikt om een phishing-aanval uit te voeren?
E-mail is het meest gebruikte zakelijke communicatiemiddel ter wereld, maar het is een volledig open protocol. Op zichzelf is er weinig controle op wie welke e-mails verstuurt en van welk e-mailadres. Dit wordt een groot probleem wanneer aanvallers zich vermommen als een vertrouwd merk of een publiek figuur en mensen vragen om hun geld en persoonlijke gegevens te geven. Bij meer dan 90% van alle inbreuken op bedrijfsgegevens in de afgelopen jaren was er op de een of andere manier sprake van e-mail phishing. En e-mail domain spoofing is een van de belangrijkste oorzaken daarvan.
In een poging e-mail te beveiligen zijn protocollen als Sender Policy Framework (SPF) en Domain Keys Identified Mail (DKIM) ontwikkeld. SPF controleert het IP-adres van de afzender aan de hand van een lijst met goedgekeurde IP-adressen, en DKIM gebruikt een versleutelde digitale handtekening om e-mails te beveiligen. Hoewel beide systemen op zich doeltreffend zijn, hebben zij hun eigen tekortkomingen. DMARC, dat in 2012 is ontwikkeld, is een protocol dat zowel SPF- als DKIM-authenticatie gebruikt om e-mail te beveiligen, en een mechanisme heeft dat de domeineigenaar een rapport stuurt wanneer een e-mail de DMARC-validatie niet doorstaat.
Dit betekent dat de domeineigenaar op de hoogte wordt gebracht wanneer een onbevoegde derde een e-mail verstuurt. En van cruciaal belang is dat hij de e-mailontvanger kan vertellen hoe deze ongeauthenticeerde mail moet behandelen: in de inbox laten gaan, in quarantaine plaatsen of direct weigeren. In theorie zou dit moeten voorkomen dat slechte e-mail de inboxen van mensen overspoelt en het aantal phishing-aanvallen verminderen. Waarom doet het dat dan niet?
Kan DMARC Domain Spoofing en Covid-19 Email Scams voorkomen?
E-mailauthenticatie vereist dat afzenderdomeinen hun SPF-, DKIM- en DMARC-records publiceren bij DNS. Volgens een studie had slechts 44,9% van de Alexa top 1 miljoen domeinen een geldig SPF record gepubliceerd in 2018, en maar liefst 5,1% had een geldig DMARC record. En dat terwijl domeinen zonder DMARC-authenticatie bijna vier keer zo veel last hebben van spoofing als domeinen die wel beveiligd zijn. Er is een gebrek aan serieuze DMARC implementatie in het bedrijfslandschap, en het is er niet veel beter op geworden in de loop der jaren. Zelfs organisaties als UNICEF hebben DMARC nog niet geïmplementeerd in hun domeinen, en het Witte Huis en het Amerikaanse Ministerie van Defensie hebben beide een DMARC beleid van p = none, wat betekent dat het niet wordt afgedwongen.
Een enquête, uitgevoerd door deskundigen van Virginia Tech, heeft enkele van de ernstigste punten van zorg aan het licht gebracht van grote bedrijven en ondernemingen die DMARC-authenticatie nog moeten gebruiken:
- Moeilijkheden bij de inzet: De strikte handhaving van beveiligingsprotocollen betekent vaak een hoge mate van coördinatie bij grote instellingen, waar ze vaak de middelen niet voor hebben. Daarnaast hebben veel organisaties niet veel controle over hun DNS, waardoor het publiceren van DMARC records nog uitdagender wordt.
- De voordelen wegen niet op tegen de kosten: DMARC-authenticatie heeft meestal directe voordelen voor de ontvanger van de e-mail in plaats van de domeineigenaar. Het gebrek aan serieuze motivatie om het nieuwe protocol toe te passen heeft veel bedrijven ervan weerhouden DMARC in hun systemen op te nemen.
- Risico van het doorbreken van het bestaande systeem: De relatieve nieuwheid van DMARC maakt het vatbaarder voor onjuiste implementatie, wat het zeer reële risico met zich meebrengt dat legitieme emails niet doorkomen. Bedrijven die afhankelijk zijn van e-mailverkeer kunnen zich dat niet veroorloven, en nemen daarom niet de moeite DMARC in te voeren.
Erkennen waarom we DMARC nodig hebben
Hoewel de bezorgdheid die bedrijven in de enquête uitten duidelijk gegrond is, maakt dit de implementatie van DMARC niet minder noodzakelijk voor e-mailbeveiliging. Hoe langer bedrijven blijven werken zonder een DMARC-geauthenticeerd domein, hoe meer we ons allemaal blootstellen aan het zeer reële gevaar van e-mail phishing aanvallen. Zoals het coronavirus ons heeft geleerd, is niemand veilig om als doelwit te dienen of zich voor te doen als een ander. Zie DMARC als een vaccin - naarmate het aantal mensen dat het gebruikt toeneemt, neemt de kans op een infectie drastisch af.
Er zijn echte, haalbare oplossingen voor dit probleem die de bezorgdheid van de mensen over de DMARC adoptie kunnen wegnemen. Hier zijn er een paar die de implementatie met een grote marge zouden kunnen stimuleren:
- Vermindering van frictie bij implementatie: De grootste hindernis voor een bedrijf om DMARC te implementeren zijn de implementatiekosten die ermee gepaard gaan. De economie zit in het slop en middelen zijn schaars. Daarom kondigt PowerDMARC samen met onze industriële partners Global Cyber Alliance (GCA) met trots een tijdelijke aanbieding aan tijdens de Covid-19 pandemie - 3 maanden van onze volledige suite van apps, DMARC implementatie en anti-spoofing diensten, volledig gratis. Zet uw DMARC-oplossing in enkele minuten op en begin nu met het monitoren van uw e-mails met PowerDMARC.
- Verbetering van de waargenomen bruikbaarheid: Wil DMARC een grote impact hebben op de beveiliging van e-mail, dan heeft het een kritische massa van gebruikers nodig om hun SPF, DKIM en DMARC records te publiceren. Door DMARC-geauthenticeerde domeinen te belonen met een 'Trusted' of 'Verified' icoontje (zoals bij de promotie van HTTPS bij websites), kunnen domeineigenaren gestimuleerd worden om een positieve reputatie voor hun domein te krijgen. Zodra dit een bepaalde drempel bereikt, zullen domeinen beschermd door DMARC gunstiger worden bekeken dan domeinen die dat niet zijn.
- Gestroomlijnde implementatie: Door het eenvoudiger te maken om anti-spoofing protocollen in te zetten en te configureren, zullen meer domeinen instemmen met DMARC authenticatie. Dit kan onder andere worden gedaan door het protocol in een 'monitoring mode' te laten draaien, zodat e-mailbeheerders de impact ervan op hun systemen kunnen beoordelen voordat ze tot volledige implementatie overgaan.
Elke nieuwe uitvinding brengt nieuwe uitdagingen met zich mee. Elke nieuwe uitdaging dwingt ons een nieuwe manier te vinden om ze te overwinnen. DMARC bestaat al enkele jaren, maar phishing bestaat al veel langer. In de afgelopen weken heeft de Covid-19 pandemie het alleen een nieuw gezicht gegeven. Bij PowerDMARC zijn we er om u te helpen deze nieuwe uitdaging aan te gaan. Meld u hier aan voor uw gratis DMARC analyzer, zodat terwijl u veilig thuis blijft voor het coronavirus, uw domein veilig is voor email spoofing.
