Hvordan phishing -svindel bruker Office 365 til å målrette mot forsikringsselskaper

E -post er ofte førstevalget for en nettkriminell når de lanseres fordi det er så enkelt å utnytte. I motsetning til brute-force-angrep som er tunge på prosessorkraft, eller mer sofistikerte metoder som krever et høyt ferdighetsnivå, kan domenespoofing være like enkelt som å skrive en e-post som later til å være noen andre. I mange tilfeller er 'noen andre' en viktig programvaretjenesteplattform som folk stoler på for å gjøre jobben sin.

Det er det som skjedde mellom 15. og 30. april 2020, da våre sikkerhetsanalytikere ved PowerDMARC oppdaget en ny bølge av phishing -e -poster rettet mot ledende forsikringsselskaper i Midtøsten. Dette angrepet har bare vært ett blant mange andre i den siste økningen av tilfeller av phishing og spoofing under Covid-19- krisen. Så tidlig som i februar 2020 gikk en annen stor phishing -svindel så langt som å etterligne Verdens helseorganisasjon, og sendte e -post til tusenvis av mennesker som ba om donasjoner for lindring av koronavirus.

I denne siste hendelsesserien mottok brukere av Microsofts Office 365 -tjeneste det som så ut til å være rutinemessige oppdaterings -e -poster om statusen til brukerkontoene. Disse e -postene kom fra organisasjonenes egne domener, og ba brukere om å tilbakestille passordene sine eller klikke på lenker for å se ventende varsler.

Vi har samlet en liste over noen av e -posttitlene vi observerte ble brukt:

*kontodetaljer endret for brukernes personvern

Du kan også se et eksempel på en e -postoverskrift som brukes i en forfalsket e -post sendt til et forsikringsselskap:

Mottatt: fra [ malicious_ip ] (helo = malicious_domain )

id 1jK7RC-000uju-6x

for [email protected]; Tor 2. april 2020 23:31:46 +0200

DKIM-signatur: v = 1; a = rsa-sha256; q = dns/txt; c = avslappet/avslappet;

Mottatt: fra [xxxx] (port = 58502 helo = xxxxx)

av malicious_domain med esmtpsa (TLSv1.2: ECDHE-RSA-AES2 56-GCM-SHA384: 256)

Fra: "Microsoft -kontoteam" 

Til: [email protected]

Emne: Microsoft Office -varsel for [email protected] den 1.4.2020 23:46

Dato: 2. april 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-versjon: 1.0

Innholdstype: tekst/html;

tegnsett = ”utf-8”

Content-Transfer-Encoding: sitert-utskrivbar

X-AntiAbuse: Denne overskriften ble lagt til for å spore misbruk, vennligst inkluder den med en eventuell misbruksrapport

X-AntiAbuse: Primært vertsnavn- skadelig_domene

X-AntiAbuse: Original Domene - domain.com

X-AntiAbuse: Originator/Caller UID/GID-[47 12]/[47 12]

X-AntiAbuse: Avsenderadresse Domene - domain.com

X-Get-Message-Sender-Via: malicious_domain : authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-kilde: 

X-Source-Args: 

X-Source-Dir: 

Mottatt-SPF: fail (domene på domain.com angir ikke malicious_ip_address som tillatt avsender) client-ip = malicious_ip_address ; konvolutt-fra = [email protected] ; helo = ondsinnet_domene ;

X-SPF-Resultat: domene på domain.com angir ikke malicious_ip_address som tillatt avsender

X-Sender-Advarsel: Omvendt DNS-oppslag mislyktes for malicious_ip_address (mislyktes)

X-DKIM-Status: none / / domain.com / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / default

 

Vårt sikkerhetsoperasjonssenter sporet e -postkoblingene til phishing -URLer som var rettet mot Microsoft Office 365 -brukere. Nettadressene omdirigeres til kompromitterte nettsteder på forskjellige steder rundt om i verden.

Bare ved å se på disse e -posttittlene, ville det være umulig å fortelle at de ble sendt av noen som forfalsket organisasjonens domene. Vi er vant til en jevn arbeidsstrøm eller kontorrelaterte e-poster som får oss til å logge på forskjellige onlinetjenester akkurat som Office 365. Domenespoofing utnytter det, noe som gjør at de falske, ondsinnede e-postene deres ikke kan skilles fra ekte. Det er praktisk talt ingen måte å vite, uten en grundig analyse av e -posten, om den kommer fra en pålitelig kilde. Og med dusinvis av e -postmeldinger som kommer hver dag, har ingen tid til å undersøke hver enkelt nøye. Den eneste løsningen ville være å bruke en autentiseringsmekanisme som kontrollerer all e -post som er sendt fra domenet ditt, og blokkerer bare de som ble sendt av noen som sendte den uten autorisasjon.

Denne godkjenningsmekanismen kalles DMARC. Og som en av de ledende leverandørene av sikkerhetsløsninger for e -post i verden, har vi i PowerDMARC gjort det til vårt oppdrag å få deg til å forstå viktigheten av å beskytte organisasjonens domene. Ikke bare for deg selv, men for alle som stoler på og er avhengig av at du leverer trygge, pålitelige e -poster i innboksen hver eneste gang.

Du kan lese om risikoen for spoofing her: https://powerdmarc.com/stop-email-spoofing/

Finn ut hvordan du kan beskytte domenet ditt mot forfalskning og øke merkevaren din her: https://powerdmarc.com/what-is-dmarc/

/av

Hvordan angripere bruker koronaviruset for å lure deg

Etter hvert som organisasjoner etablerer veldedighetsfond rundt om i verden for å bekjempe Covid-19, pågår en annen slags kamp i elektroniske ledninger på internett. Tusenvis av mennesker rundt om i verden har blitt offer for e-postforfalskning og covid-19 e-postsvindel under koronaviruspandemien. Det blir stadig mer vanlig å se at nettkriminelle bruker ekte domenenavn på disse organisasjonene i e -postene sine for å virke legitime.

I den siste høyt profilerte koronavirus-svindelen ble en e-post tilsynelatende sendt fra Verdens helseorganisasjon (WHO) rundt om i verden, hvor det ble bedt om donasjoner til Solidarity Response Fund. Avsenderens adresse var '[email protected]', hvor 'who.int' er det virkelige domenenavnet for WHO. E -posten ble bekreftet som en svindel for svindel, men ved første øyekast pekte alle tegn på at avsenderen var ekte. Tross alt tilhørte domenet den virkelige WHO.

donere svarfond

Dette har imidlertid bare vært én i en voksende serie med phishing -svindel som bruker e -post relatert til koronavirus for å stjele penger og sensitiv informasjon fra mennesker. Men hvis avsenderen bruker et ekte domenenavn, hvordan kan vi skille en legitim e -post fra en falsk? Hvorfor er cyberkriminelle så lett i stand til å bruke e -postdomene forfalskning på en så stor organisasjon?

Og hvordan finner enheter som WHO ut når noen bruker domenet sitt til å starte et phishing -angrep?

E -post er det mest brukte forretningskommunikasjonsverktøyet i verden, men det er en helt åpen protokoll. I seg selv er det veldig lite å overvåke hvem som sender hvilke e -poster og fra hvilken e -postadresse. Dette blir et stort problem når angriperne forkler seg som et pålitelig merke eller en offentlig person, og ber folk om å gi dem pengene sine og personlige opplysningene. Faktisk har over 90% av alle brudd på bedriftens data de siste årene involvert phishing via e -post i en eller annen form. Og forfalskning av e -postdomener er en av de viktigste årsakene til det.

I et forsøk på å sikre e -post ble protokoller som Sender Policy Framework (SPF) og Domain Keys Identified Mail (DKIM) utviklet. SPF kryssjekker avsenderens IP-adresse med en godkjent liste over IP-adresser, og DKIM bruker en kryptert digital signatur for å beskytte e-post. Selv om disse begge er individuelt effektive, har de sitt eget sett med feil. DMARC, som ble utviklet i 2012, er en protokoll som bruker både SPF- og DKIM -autentisering for å sikre e -post, og har en mekanisme som sender domeneeieren en rapport når en e -post mislykkes med DMARC -validering.

Dette betyr at domeneeieren blir varslet hver gang en e -post sendes av en uautorisert tredjepart. Og avgjørende kan de fortelle e -postmottakeren hvordan de skal håndtere uautentisert e -post: la den gå til innboksen, sette den i karantene eller avvis den direkte. I teorien bør dette stoppe dårlig e -post fra å oversvømme folks innbokser og redusere antall phishing -angrep vi står overfor. Så hvorfor ikke det?

Kan DMARC forhindre svindel av domener og svindel mot e-post fra Covid-19?

E -postautentisering krever at avsenderdomener publiserer SPF-, DKIM- og DMARC -postene til DNS. Ifølge en studie hadde bare 44,9% av Alexa topp 1 million domener en gyldig SPF -post publisert i 2018, og så lite som 5,1% hadde en gyldig DMARC -post. Og dette til tross for at domener uten DMARC -autentisering lider av forfalskning nesten fire ganger så mye som domener som er sikret. Det mangler en seriøs DMARC -implementering på tvers av forretningslandskapet, og det har ikke blitt mye bedre med årene. Selv organisasjoner som UNICEF har ennå ikke implementert DMARC med sine domener, og Det hvite hus og amerikanske forsvarsdepartementet har begge en DMARC -policy på p = none, noe som betyr at de ikke blir håndhevet.

En undersøkelse utført av eksperter ved Virginia Tech har avslørt noen av de mest alvorlige bekymringene som er sitert av store selskaper og virksomheter som ennå ikke har brukt DMARC -autentisering:

  1. Distribusjonsvansker: Den strenge håndhevelsen av sikkerhetsprotokoller betyr ofte et høyt koordinasjonsnivå i store institusjoner, som de ofte ikke har ressurser til. Utover det har mange organisasjoner ikke mye kontroll over DNS, så publisering av DMARC -poster blir enda mer utfordrende.
  2. Fordeler som ikke oppveier kostnadene: DMARC -autentisering har vanligvis direkte fordeler for mottakeren av e -posten i stedet for domeneeieren. Mangelen på alvorlig motivasjon for å vedta den nye protokollen har avholdt mange selskaper fra å innlemme DMARC i systemene sine.
  3. Risiko for å bryte det eksisterende systemet: Den relative nyheten til DMARC gjør det mer utsatt for feil implementering, noe som gir den virkelige risikoen for at legitime e -poster ikke går igjennom. Bedrifter som er avhengige av e -postsirkulasjon, har ikke råd til at det skjer, og som ikke gidder å ta i bruk DMARC i det hele tatt.

Anse hvorfor vi trenger DMARC

Selv om bekymringene fra bedrifter i undersøkelsen har åpenbare fordeler, gjør det ikke DMARC -implementering mindre avgjørende for e -postsikkerhet. Jo lengre virksomheter fortsetter å fungere uten et DMARC-godkjent domene, jo mer utsetter vi alle oss for den veldig reelle faren for phishing-angrep via e-post. Som svindel for e -postforfalskning med coronavirus har lært oss, er ingen trygge mot å bli målrettet eller etterlignet. Tenk på DMARC som en vaksine - ettersom antallet mennesker som bruker den vokser, reduseres sjansene for å få en infeksjon dramatisk.

Det er virkelige, levedyktige løsninger på dette problemet som kan overvinne folks bekymringer for DMARC -adopsjon. Her er bare noen få som kan øke implementeringen med stor margin:

  1. Redusere friksjon i implementering: Den største hindringen som står i veien for et selskap som vedtar DMARC, er distribusjonskostnadene knyttet til det. Økonomien er i bulder og ressursene er knappe. Dette er grunnen til at PowerDMARC sammen med våre industrielle partnere Global Cyber Alliance (GCA) er stolte over å kunngjøre et tidsbegrenset tilbud under Covid-19-pandemien-3 måneder med vår komplette serie med apper, implementering av DMARC og anti-spoofing-tjenester, helt gratis . Få din DMARC -løsning satt opp på få minutter, og begynn å overvåke e -postene dine med PowerDMARC nå.
  2. Forbedret opplevd nytteverdi: For at DMARC skal ha stor innvirkning på e -postsikkerheten, trenger den en kritisk mengde brukere for å publisere SPF-, DKIM- og DMARC -postene sine. Ved å belønne DMARC-godkjente domener med et "Trusted" eller "Verified" -ikon (som ved markedsføring av HTTPS blant nettsteder), kan domeneeiere stimuleres til å få et positivt rykte for domenet sitt. Når dette når en viss terskel, vil domener som er beskyttet av DMARC, bli sett mer gunstig enn de som ikke er det.
  3. Strømlinjeformet distribusjon: Ved å gjøre det enklere å distribuere og konfigurere antispoofing-protokoller, vil flere domener godkjenne DMARC-godkjenning. En måte dette kan gjøres på er ved å la protokollen kjøre i en "Overvåkingsmodus", slik at e -postadministratorer kan vurdere virkningen den har på systemene sine før de går for en full distribusjon.

Hver ny oppfinnelse fører med seg nye utfordringer. Hver ny utfordring tvinger oss til å finne en ny måte å overvinne den på. DMARC har eksistert i noen år nå, men phishing har eksistert i lengre tid. De siste ukene har Covid-19-pandemien bare gitt den et nytt ansikt. På PowerDMARC er vi her for å hjelpe deg med å møte denne nye utfordringen. Registrer deg her for din gratis DMARC -analysator , slik at mens du holder deg trygg fra koronavirus, er domenet ditt beskyttet mot e -postforfalskning.

/av