Terwijl organisaties over de hele wereld liefdadigheidsfondsen opzetten om Covid-19 te bestrijden, wordt een ander soort strijd gevoerd in de elektronische kanalen van het internet. Duizenden mensen over de hele wereld zijn ten prooi gevallen aan email spoofing en covid-19 email scams tijdens de coronavirus pandemie. Het komt steeds vaker voor dat cybercriminelen echte domeinnamen van deze organisaties in hun e-mails gebruiken om legitiem over te komen.
Bij de meest recente ophefmakende zwendel met het coronavirus werd een e-mail rondgestuurd die zogenaamd afkomstig was van de Wereldgezondheidsorganisatie (WHO) en waarin om donaties aan het Solidarity Response Fund werd gevraagd. Het adres van de afzender was 'donate@who.int', waarbij 'who.int' de echte domeinnaam van de WHO is. De e-mail bleek een phishing-zwendel te zijn, maar op het eerste gezicht wezen alle tekenen erop dat de afzender echt was. Het domein was immers van de echte WHO.
Dit is er echter slechts één in een groeiende reeks van phishing-zwendel waarbij e-mails in verband met het coronavirus worden gebruikt om geld en gevoelige informatie van mensen te stelen. Maar als de afzender een echte domeinnaam gebruikt, hoe kunnen we dan een legitieme e-mail onderscheiden van een nepmail? Waarom zijn cybercriminelen zo gemakkelijk in staat om spoofing van e-maildomeinen op zo'n grote organisatie toe te passen?
En hoe komen instanties als de WHO te weten wanneer iemand hun domein gebruikt om een phishing-aanval uit te voeren?
E-mail is het meest gebruikte zakelijke communicatiemiddel ter wereld, maar het is een volledig open protocol. Op zichzelf is er weinig controle op wie welke e-mails verstuurt en van welk e-mailadres. Dit wordt een groot probleem wanneer aanvallers zich vermommen als een vertrouwd merk of een publiek figuur en mensen vragen om hun geld en persoonlijke gegevens te geven. Bij meer dan 90% van alle inbreuken op bedrijfsgegevens in de afgelopen jaren was er op de een of andere manier sprake van e-mail phishing. En e-mail domain spoofing is een van de belangrijkste oorzaken daarvan.
In een poging e-mail te beveiligen zijn protocollen als Sender Policy Framework (SPF) en Domain Keys Identified Mail (DKIM) ontwikkeld. SPF controleert het IP-adres van de afzender aan de hand van een lijst met goedgekeurde IP-adressen, en DKIM gebruikt een versleutelde digitale handtekening om e-mails te beveiligen. Hoewel beide systemen op zich doeltreffend zijn, hebben zij hun eigen tekortkomingen. DMARC, dat in 2012 is ontwikkeld, is een protocol dat zowel SPF- als DKIM-authenticatie gebruikt om e-mail te beveiligen, en een mechanisme heeft dat de domeineigenaar een rapport stuurt wanneer een e-mail de DMARC-validatie niet doorstaat.
Dit betekent dat de domeineigenaar op de hoogte wordt gebracht wanneer een onbevoegde derde een e-mail verstuurt. En van cruciaal belang is dat hij de e-mailontvanger kan vertellen hoe deze ongeauthenticeerde mail moet behandelen: in de inbox laten gaan, in quarantine plaatsen of direct weigeren. In theorie zou dit moeten voorkomen dat slechte e-mail de inboxen van mensen overspoelt en het aantal phishing-aanvallen verminderen. Waarom doet het dat dan niet?
Kan DMARC Domain Spoofing en Covid-19 Email Scams voorkomen?
E-mailverificatie vereist dat afzenderdomeinen hun SPF-, DKIM- en DMARC-records publiceren bij DNS. Volgens een onderzoek had slechts 44,9% van de Alexa top 1 miljoen domeinen een geldig SPF record gepubliceerd in 2018, en slechts 5,1% had een geldig DMARC record. En dat terwijl domeinen zonder DMARC-verificatie bijna vier keer zoveel last hebben van spoofing als domeinen die wel beveiligd zijn. Er is een gebrek aan serieuze DMARC-implementatie in het hele bedrijfslandschap en dat is in de loop der jaren niet veel beter geworden. Zelfs organisaties als UNICEF moeten DMARC nog implementeren met hun domeinen en het Witte Huis en het Amerikaanse Ministerie van Defensie hebben beide een DMARC-beleid van p = geen, wat betekent dat ze niet worden gehandhaafd.
Een enquête, uitgevoerd door deskundigen van Virginia Tech, heeft enkele van de ernstigste punten van zorg aan het licht gebracht van grote bedrijven en ondernemingen die DMARC-authenticatie nog moeten gebruiken:
- Moeilijkheden bij de inzet: De strikte handhaving van beveiligingsprotocollen betekent vaak een hoge mate van coördinatie bij grote instellingen, waar ze vaak de middelen niet voor hebben. Daarnaast hebben veel organisaties niet veel controle over hun DNS, waardoor het publiceren van DMARC records nog uitdagender wordt.
- De voordelen wegen niet op tegen de kosten: DMARC-authenticatie heeft meestal directe voordelen voor de ontvanger van de e-mail in plaats van de domeineigenaar. Het gebrek aan serieuze motivatie om het nieuwe protocol toe te passen heeft veel bedrijven ervan weerhouden DMARC in hun systemen op te nemen.
- Risico van het doorbreken van het bestaande systeem: De relatieve nieuwheid van DMARC maakt het vatbaarder voor onjuiste implementatie, wat het zeer reële risico met zich meebrengt dat legitieme emails niet doorkomen. Bedrijven die afhankelijk zijn van e-mailverkeer kunnen zich dat niet veroorloven, en nemen daarom niet de moeite DMARC in te voeren.
Erkennen waarom we DMARC nodig hebben
Hoewel de zorgen die bedrijven in het onderzoek hebben geuit duidelijk gegrond zijn, maakt het de implementatie van DMARC niet minder noodzakelijk voor e-mailbeveiliging. Hoe langer bedrijven blijven werken zonder een DMARC-geauthenticeerd domein, hoe meer we onszelf allemaal blootstellen aan het zeer reële gevaar van e-mail phishing-aanvallen. Zoals de zwendelpraktijken met het coronavirus ons hebben geleerd, is niemand veilig voor een doelwit of een imitatie. Zie DMARC als een vaccin - naarmate het aantal mensen dat DMARC gebruikt toeneemt, daalt de kans op besmetting dramatisch.
Er zijn echte, haalbare oplossingen voor dit probleem die de bezorgdheid van de mensen over de DMARC adoptie kunnen wegnemen. Hier zijn er een paar die de implementatie met een grote marge zouden kunnen stimuleren:
- Frictie bij implementatie verminderen: De grootste hindernis voor een bedrijf om DMARC te implementeren zijn de implementatiekosten die ermee gepaard gaan. De economie zit in het slop en middelen zijn schaars. Daarom kondigt PowerDMARC samen met onze industriële partners Global Cyber Alliance (GCA) met trots een beperkte aanbieding aan tijdens de Covid-19 pandemie - 3 maanden van onze volledige suite van apps, DMARC-implementatie en anti-spoofingdiensten, helemaal gratis. Stel uw DMARC-oplossing in enkele minuten in en begin nu met het bewaken van uw e-mails met PowerDMARC.
- Verbetering van de waargenomen bruikbaarheid: Wil DMARC een grote impact hebben op de beveiliging van e-mail, dan heeft het een kritische massa van gebruikers nodig om hun SPF, DKIM en DMARC records te publiceren. Door DMARC-geauthenticeerde domeinen te belonen met een 'Trusted' of 'Verified' icoontje (zoals bij de promotie van HTTPS bij websites), kunnen domeineigenaren gestimuleerd worden om een positieve reputatie voor hun domein te krijgen. Zodra dit een bepaalde drempel bereikt, zullen domeinen beschermd door DMARC gunstiger worden bekeken dan domeinen die dat niet zijn.
- Gestroomlijnde implementatie: Door het eenvoudiger te maken om anti-spoofing protocollen in te zetten en te configureren, zullen meer domeinen instemmen met DMARC authenticatie. Dit kan onder andere worden gedaan door het protocol in een 'monitoring mode' te laten draaien, zodat e-mailbeheerders de impact ervan op hun systemen kunnen beoordelen voordat ze tot volledige implementatie overgaan.
Elke nieuwe uitvinding brengt nieuwe uitdagingen met zich mee. Elke nieuwe uitdaging dwingt ons een nieuwe manier te vinden om ze te overwinnen. DMARC bestaat al enkele jaren, maar phishing bestaat al veel langer. In de afgelopen weken heeft de Covid-19 pandemie het alleen een nieuw gezicht gegeven. Bij PowerDMARC zijn we er om u te helpen deze nieuwe uitdaging aan te gaan. Meld u hier aan voor uw gratis DMARC analyzer, zodat terwijl u veilig thuis blijft voor het coronavirus, uw domein veilig is voor email spoofing.
