Tag Archive for: Spoofing

Phishing vs Spoofing

Phishing vs Spoofing har alltid vært et urovekkende tema. Phishing og spoofing er to forskjellige typer nettkriminalitet som kan ligne veldig på det utrente øyet. Det er imidlertid forskjeller mellom dem og hvordan du bør håndtere dem som forbruker.

Når noen prøver å bruke identiteten til en gyldig bruker, kalles det spoofing. Phishing, derimot, er en situasjon der en kriminell bruker villedende sosiale ingeniørteknikker for å stjele en brukers private og sensitive data.

Har du noen gang vært forvirret om begge deler? Du vil kanskje vite hva forskjellene er mellom phishing og forfalskning. La oss ta en titt på begge!

Spoofing vs Phishing: En oversikt

Cyberinngrep blir nå ofte brukt til å begå hvitsnippforbrytelser som identitetstyveri, datalekkasje og kredittkortsvindel, takket være teknologiske fremskritt og utbredt internettilgang. De mest populære teknikkene for kriminelle eller svindlere på nettet for å skade, manipulere eller ødelegge et datasystem eller nettverk og påføre økonomisk tap, er phishing og forfalskning av e-poster. 

Både spoofing og phishing gjelder elektronisk produserte eller falske papirer. Derfor er de noe utskiftbare termer. Selv om spoofing-metoder ofte brukes i phishing, blir spoofing ikke alltid sett på som phishing.

Hva er phishing?

Phishing er et forsøk fra en uautorisert part for å lure deg til å avsløre personlig informasjon. Det skjer vanligvis når du mottar en e-post som virker legitim, men som inneholder lenker eller vedlegg som leder deg til et uredelig nettsted designet for å stjele din personlige informasjon, for eksempel passord og kredittkortnumre. 

Rundt 25 % av alle datainnbrudd involverer phishing, og 85 % av datainnbruddene har en menneskelig komponent , ifølge Verizons 2021 DBIR .

Phishing-e-poster kan se ut som offisielle meldinger fra banker, nettbutikker eller andre pålitelige selskaper som ber deg om å oppdatere personlig informasjon - for eksempel brukernavn, passord eller sikkerhetsspørsmål. Det er derfor viktig å dobbeltsjekke alle lenker i slike e-poster før du klikker på dem.

Hva er spoofing?

Spoofing er en metode som brukes av nettkriminelle for å utgi seg for å være anerkjente eller velkjente kilder. Angriperne bruker falske e-postdomener som legitime kilder. Spoofing kan ta mange former, inkludert falske e-poster, samtaler, DNS-spoofing, GPS-spoofing, nettsteder og e-poster.

Ved å gjøre dette kan motstanderen samhandle med målet og få tilgang til deres systemer eller enheter med det ultimate formålet å stjele data, kreve penger eller infisere enheten med skadelig programvare eller annen skadelig programvare.

Forfalskningsangrepet tar sikte på å få tilgang til sensitiv informasjon, som brukernavn og passord, kredittkortnummer eller bankkontodetaljer. Spoofing er også ofte brukt i phishing-angrep. Og nesten 90 % av cyberaktivitetene involverer spoofing.

Phishing vs forfalskning: nøkkelforskjeller

Teknikker

Spoofing og phishing er to typer angrep som kan brukes til å trekke ut sensitiv informasjon fra brukere. Begge bruker falske e-postmeldinger for å lure brukere til å røpe personlig informasjon eller laste ned skadelig programvare, men de er forskjellige i hvordan de fungerer.

  • Spoofing , også kjent som identitetstyveri, innebærer å sende ut falske e-poster som ser ut til å komme fra en legitim kilde. Målet er å få mottakeren til å avsløre personlig informasjon som passord eller kredittkortnumre. Phishing er en form for forfalskning; det innebærer å sende ut falske e-poster som ber mottakerne om å klikke på lenker eller laste ned vedlegg for å gi mer informasjon om seg selv.
  • Phishing innebærer vanligvis å bruke sosiale ingeniørteknikker og fokusere på å skape en følelsesmessig respons fra offeret ved å skape hastverk eller medlidenhet. Forfalskning er mer teknisk og innebærer ofte å lage en innboks som ser identisk ut for offeret, slik at det er umulig for dem å si hvilken e-post som er ekte og hvilken som ikke er det.

Hensikt

  • Spoofing gjøres for å få en ny identitet : Tanken bak det er å lure offeret til å tro at de kommuniserer med noen de kjenner og stoler på. Dette kan gjøres via e-post, direktemeldinger eller sosiale medier, som Facebook.
  • Phishing gjøres for å få konfidensiell informasjon : Målet er å lure deg til å gi opp din personlige informasjon. Det kan være passord og kredittkortdetaljer som får deg til å tro at meldingen du mottok er fra banken din eller en annen pålitelig institusjon eller tjenesteleverandør.

Måter å forhindre spoofing

Det er flere måter å forhindre at falske angrep skjer i organisasjonen din, inkludert:

Sender Policy Framework (SPF)

SPF er en metode for å bekjempe e-postforfalskning . Den brukes til å bekrefte om en e-postavsender er autorisert til å sende meldinger på vegne av et domene. Hvis den ikke er det, kan mottakerserveren avvise meldingen umiddelbart.

SPF-posten inneholder en liste over IP-adresser som er autorisert til å sende e-post for et domene. Posten plasseres i DNS-sonefilen for hvert domene. Du kan bruke det gratis SPF-kontrollverktøyet fra PowerDMARC.

DomainKeys Identified Mail (DKIM)

DKIM bekrefter at en e-post er legitim og ikke har blitt tuklet med under overføringen. Den gjør dette ved å bruke digitale signaturer lagt til meldingen under overføring, som mottakerserverens DNS-poster kan bekrefte.

Domenebasert meldingsautentisering, rapportering og samsvar (DMARC)

DMARC lar deg angi retningslinjer for hvordan organisasjonen din håndterer falske e-poster som hevder å være fra bedriften din, men som ikke kommer fra organisasjonens servere. Disse retningslinjene inkluderer ting som å sette opp klagebehandlingsprosedyrer og instruksjoner for hvordan du vil at Internett-leverandører skal håndtere mistenkte falske e-poster fra domenet ditt.

Måter å forhindre phishing på

Phishing-angrep kan være veldig overbevisende. De kommer ofte fra offisielle e-postadresser, inneholder kjente logoer og bilder, og høres til og med ut som ekte vare. For å unngå å falle for disse taktikkene:

  • Ikke åpne vedlegg eller klikk på lenker i e-poster hvis du ikke vet hvem som har sendt dem.
  • Se etter stave-, grammatikk- og formateringsfeil i e-poster som hevder å være fra anerkjente selskaper.
  • Sjekk kredittkortutskriftene dine regelmessig for å sikre at ingenting ser malplassert ut. Hvis du ser noe mistenkelig, kontakt banken umiddelbart.
  • Ikke bruk offentlig Wi-Fi på kafeer eller hoteller fordi hackere kan få tilgang til dataene dine mens de sitter ved siden av deg på samme nettverk.

Siste ord

Kort sagt, og phishing er der du prøver å samle sensitiv informasjon fra et mål ved å etterligne en pålitelig agent. Spoofing er når du med vilje prøver å lure mottakeren av meldingen til å tro at den kom fra noen eller et annet sted. Som du kan se, er det en tydelig forskjell mellom vilkårene, men begge kan forårsake alvorlig skade på din personlige informasjon og troverdighet.

Den beste måten å forebygge deg selv på er å snakke med eksperter hos PowerDMARC og bruke deres løsninger for å sikre at du er på den sikre siden.

phishing vs. spoofing

/av

Hvordan forbedre forsvaret ditt mot phishing og spoofing?

Etterligningsangrep som phishing og spoofing kan dramatisk påvirke helsen til domenet ditt og føre til autentiseringsfeil, e-postkompromittering og mye mer! Dette er grunnen til at du må forbedre forsvaret ditt mot dem, fra og med i dag. Det finnes ulike metoder du kan bruke for å sikre at e-postene dine er tilstrekkelig beskyttet mot phishing og spoofingangrep. La oss diskutere hva de er!

E-postautentiseringsprotokoller for å forhindre etterligningsangrep

  1. Sender Policy Framework (SPF)
     En god måte å starte på er å implementere SPF. Sender Policy Framework, som er basert på DNS-en til domenenavnet ditt, kan bekrefte at IP-en som brukes til å sende en e-post har rett til å gjøre det. Det forhindrer uredelig bruk av domenenavnet ditt og forhindrer tredjeparter i å utgi seg for å være deg. SPF-protokollen er spesielt effektiv mot phishing og spoofing-angrep fordi de ofte utnytter slike feil. Hvis en e-postserver oppgir at den er sendt av en e-postserver hvis IP-adresse kan tilskrives domenet ditt, vil operativsystemene generelt sjekke to ganger før de leverer en e-post. På denne måten ignoreres e-postservere som ikke respekterer SPF. For å si det enkelt lar "SPF-protokollen" eieren av et domene (for eksempel b[email protected]) sende en autorisasjon til DNS-myndigheten.

  2. DomainKeys Identified Mail (DKIM)
     DomainKeys Identified Mail, eller DKIM, er et e-postautentiseringssystem som bruker digitale signaturer for å bekrefte kilden og innholdet i en melding. Det er et sett med kryptografiske teknikker for å verifisere kilden og innholdet til e-postmeldinger for å redusere spam, phishing og andre former for ondsinnet e-post. Spesielt bruker den delte private krypteringsnøkler for å autentisere avsenderen av en gitt melding (nøkkelaspektet her er at bare den tiltenkte mottakeren skal være i besittelse av denne private nøkkelen), og sikrer at e-post ikke kan "forfalskes" eller falskt representert av bedragere. Den lar også en autorisert mottaker oppdage eventuelle endringer som er gjort i en melding etter at den er sendt; hvis organisasjonen som er ansvarlig for å validere disse signaturene oppdager datakorrupsjon i en e-post, kan de ganske enkelt avvise den som falsk og varsle avsenderen som sådan.

  3. Domenebasert meldingsautentisering, rapportering og samsvar (DMARC)
     DMARC eksisterer av flere grunner. For det første gir DMARC deg en måte å fortelle e-postservere hvilke meldinger som er legitime, og hvilke som ikke er det. For det andre gir DMARC deg rapporter om hvor godt beskyttet domenet ditt er mot angrep. For det tredje hjelper DMARC med å beskytte merkevaren din mot å bli assosiert med meldinger som kan skade omdømmet ditt. DMARC gir mer beskyttelse mot phishing og spoofing ved å bekrefte at en e-postmelding virkelig stammer fra domenet den hevder å komme fra. DMARC gjør det også mulig for organisasjonen din å be om rapporter om meldingene du mottar. Disse rapportene kan hjelpe deg med å undersøke mulige sikkerhetsproblemer og identifisere mulige trusler, for eksempel skadelig programvare eller phishing-angrep rettet mot organisasjonen din.

Hvordan kan PowerDMARC hjelpe deg med å beskytte domenet ditt mot phishing og spoofing-angrep?

PowerDMARCs autentiseringspakke for e-postsikkerhet hjelper deg ikke bare med sømløs integrering av SPF-, DKIM- og DMARC-protokollene, men gir deg også mange andre fordeler:

  • SPF-utjevning for å sikre at SPF-posten din forblir gyldig og under SPF-hardgrensen på 10 oppslag
  • BIMI for visuell identifikasjon av bedriftens e-poster. BIMI sikrer at e-postene som når kundene dine inneholder merkevarelogoen din som kan oppdages av dem selv før de åpner meldingen
  • MTA-STS for å kryptere e-postene dine under overføring

For å nyte gratis DMARC trenger du bare registrere deg og opprette en PowerDMARC-konto uten ekstra kostnader. Start din e-postautentiseringsreise med oss for en tryggere e-postopplevelse!

phishing vs. spoofing

/av

Hvordan slutte å forfalske e-poster fra e-postadressen min?

Spoofing er en av de mest universelle typene angrep i dag. Svindlere elsker bare å overta navn og e-postadresser på et e-postnettverk (for eksempel Hotmail, Gmail) for å sende ut tusenvis av falske e-poster som ser ut som om de er sendt fra noen du kjenner – som administrerende direktør eller en leder i et annet selskap i din bransje.

Ikke la identitetstyver forfalske e-postadressen din. Lær hvordan du beskytter deg mot e-postforfalskning og hvorfor du bør bry deg om denne alvorlige informasjonssikkerhetstrusselen. La oss komme inn i det!

Forfalskning av e-poster: Hva er de?

Forfalskning av e-post er ikke noe nytt, men det ser heller ikke ut til å forsvinne med det første. I noen tilfeller hjelper utviklingen av teknologi faktisk svindlerne med å jukse. Det er mange grunner til at en e-post kan anses å være forfalsket. Det vanligste scenariet er når en angriper kaprer en ekte server og bruker den til å sende falske e-poster. Den vanligste metoden for å sende e-post er å utnytte en sårbar SMTP-server. Når de har kompromittert SMTP-serveren, kan de sende falske e-poster til hvem som helst.

Spoofing er et alvorlig problem som bare blir verre. Spoofing kan få vidtrekkende konsekvenser og skade store merkevarer, men den siste tidens flom av phishing har allerede skapt panikk blant brukerne. Ved å gi en veiledning i hvordan du unngår spoofing av e-post, hjelper du brukerne dine (og deg selv) med å bli kvitt denne trusselen, og etablerer beste praksis for de som står på listen over teknisk support.

Hva er et e-postforfalskningsangrep?

Et spoofing-angrep er nettkriminalitet der en ondsinnet aktør forfalsker e-postoverskriftens "fra"-adresse slik at den ser ut til å komme fra noen andre, vanligvis en kjent eller pålitelig enhet. Med mindre du følger nøye med på overskriftene i en e-post, er det lite sannsynlig at du oppdager at e-posten er forfalsket.

Det er et populært triks som brukes av nettaktører for spamming og phishing. Disse e-postene inneholder vanligvis ondsinnede lenker eller vedlegg som kan lure deg til å sende inn sensitive detaljer. De kan også manipulere deg til å laste ned skadelig programvare og virus.

Se statistikk over de mest berørte bransjene.

Hvordan forfalsker hackere e-post?

Hvis du svarer bekreftende på spørsmålet "blir jeg spoofet", må du vite hvordan trusselaktører lurer deg. På denne måten blir du mer forsiktig neste gang.

Et spoofing-angrep er mulig ved å forfalske e-postsyntaksen ved hjelp av flere metoder av varierende kompleksitet. Her er noen av metodene:

Forfalskning via visningsnavn

I dette er det bare e-postavsenderens visningsnavn som forfalskes ved å opprette en ny e-postkonto med samme navn som kontakten de imiterer. Imidlertid vil den viste avsenderens e-postadresse være annerledes.

Disse e-postene er ikke merket som spam fordi de ser legitime ut. 

Spoofing via legitime domener

I denne metoden bruker dårlige skuespillere en klarert e-postadresse i «Fra»-overskriften (for eksempel- [email protected]). I dette tilfellet vil både visningsnavn og e-postadresse vise forfalskede detaljer.

Hackere kaprer ikke et internt nettverk; i stedet utnytter de Simple Mail Transfer Protocol (SMTP) for å spesifisere 'Til'- og 'Fra'-adresser manuelt.

Spoofing via Lookalike-domener

Hvis et domene er beskyttet, er det ikke mulig å forfalske domener. Det er derfor spoofere må lage et domene som ligner. Bruk for eksempel 0 (null) i stedet for O (den 15. bokstaven i det engelske alfabetet). Si at i stedet for www.amazon.com, kan de opprette www.amaz0n.com.

Trikset fungerer ettersom de fleste mottakere ikke legger merke til slike mindre staveendringer. 

Hvorfor blir e-posten min stadig forfalsket?

E-postforfalskning er vanlig hvis du ikke bruker SPF , DKIM og DMARC- protokoller ment for e-postautentisering. Inaktive e-postkontoer er også mer utsatt for denne nettkriminalitet, da disse er enkle mål. Så hvis du ikke bruker kontoen sin regelmessig, er det større sjanse for å havne under hackernes radar.

Hva er tegnene på e-postspoofing?

Du må være forsiktig hvis: 

  • du ser e-poster i "sendingsboksen" som ikke er sendt av deg.
  • du mottar svar på e-poster som ikke er initiert av deg.
  • passordet ditt er endret, og det er ikke gjort av deg.
  • folk mottar falske e-poster i ditt navn.

Hvordan kan falske e-poster skade deg?

Husker du sist du klikket på en lenke i en e-post som sa at den var fra et selskap du stolte på? Du har sannsynligvis funnet deg selv på et nettsted du aldri hadde besøkt før fordi avsenderen ba deg klikke på en lenke. Hvordan visste du at denne nye adressen ikke var et ondsinnet forsøk på å spionere på dine personlige data? Svaret er enkelt: Legitime virksomheter vil aldri be om privat informasjon som brukernavn, passord og kredittkortnumre via e-post.

Men hvis en uredelig kilde forfalsker adressen din for å sende slike ondsinnede meldinger til kundene dine, kan du være sikker på at det vil skade virksomheten din. Troverdigheten og omdømmet du har jobbet så hardt for å bygge opp, vil bli skadelidende av slike angrep, og kundene dine vil nøle med å åpne den legitime markedsførings-e-posten din.

Hvordan stoppe kontinuerlig falske e-poster fra å bli sendt fra e-postadressen min?

Gjør e-postautentiseringsprotokoller til en del av e-postpakken din!

  1. SPF: En av de grunnleggende funksjonene for e-postautentisering som hjelper deg med å unngå falske e-poster, er SPF. Selv om det er enkelt å konfigurere den, er det en utfordring å vedlikeholde den. Det er ofte en risiko for å overskride grensen på 10 DNS-oppslag, noe som fører til at e-poster ikke blir godkjent til tross for at de er dokumentert ekte. Vi tilbyr deg en rask løsning for å omgå dette problemet med vårt dynamiske SPF-utflatingsverktøy. Opprett en SPF-post i dag helt gratis med vår SPF-postgenerator.
  2. DKIM: DKIM er en metode for å signere alle utgående meldinger for å forhindre forfalskning av e-post. Spoofing er uautorisert bruk av e-post ved å forfalske et domenenavn eller en adresse. Ved å bruke DKIM blir utgående e-post autentisert med en digital signatur som forteller e-postservere at den faktisk kommer fra deg.
  3. DMARC: DMARC er en standard for e-postautentisering som skal beskytte organisasjoner mot spoofing- og phishing-angrep som bruker e-post til å lure mottakeren til å foreta seg noe. DMARC fungerer som et lag på toppen av SPF og DKIM for å hjelpe e-postmottakere med å gjenkjenne når en e-post ikke kommer fra et selskaps godkjente domener, og gir instruksjoner om hvordan uautorisert e-post kan kasseres på en sikker måte.

Hvis du vil begynne å bygge opp forsvaret ditt mot spoofing, anbefaler vi at du tar en prøveversjon av vår DMARC-rapportanalysator. Den vil hjelpe deg med å ta i bruk protokollene så raskt som mulig, holde deg oppdatert på feil og enkelt overvåke domenene dine på et multifunksjonelt DMARC-dashbord.

phishing vs. spoofing

/av

Hvorfor SPF ikke er god nok til å stoppe forfalskning

Som leverandør av DMARC -tjenester får vi dette spørsmålet mye: “Hvis DMARC bare bruker SPF- og DKIM -godkjenning, hvorfor skal vi bry oss om DMARC? Er det ikke bare unødvendig? "

På overflaten kan det se ut til å gjøre liten forskjell, men virkeligheten er veldig annerledes. DMARC er ikke bare en kombinasjon av SPF- og DKIM -teknologier, det er en helt ny protokoll i seg selv. Den har flere funksjoner som gjør den til en av de mest avanserte standardene for e -postgodkjenning i verden, og en absolutt nødvendighet for bedrifter.

Men vent litt. Vi har ikke svart nøyaktig hvorfor du trenger DMARC. Hva tilbyr det som SPF og DKIM ikke gjør? Vel, det er et ganske langt svar; for lenge for bare ett blogginnlegg. Så la oss dele det opp og snakke om SPF først. Hvis du ikke er kjent med det, her er en rask introduksjon.

Hva er SPF?

SPF, eller Sender Policy Framework, er en e -postgodkjenningsprotokoll som beskytter e -postmottakeren mot falske e -poster. Det er egentlig en liste over alle IP -adresser som er autorisert til å sende e -post via kanalene dine (domeneieren). Når den mottakende serveren ser en melding fra domenet ditt, sjekker den SPF -posten som er publisert på DNS -en din. Hvis avsenderens IP er i denne 'listen', blir e -posten levert. Hvis ikke, avviser serveren e -posten.

Les mer

Som du kan se, gjør SPF en ganske god jobb med å holde unna mange uønskede e -postmeldinger som kan skade enheten din eller kompromittere organisasjonens sikkerhetssystemer. Men SPF er ikke på langt nær så bra som noen tror. Det er fordi det har noen veldig store ulemper. La oss snakke om noen av disse problemene.

Begrensninger av SPF

SPF -poster gjelder ikke fra -adressen

E -poster har flere adresser for å identifisere avsenderen: Fra -adressen du normalt ser, og returbaneadressen som er skjult og krever ett eller to klikk for å vise. Med SPF aktivert, ser den mottakende e -postserveren på returbanen og kontrollerer SPF -postene til domenet fra den adressen.

Problemet her er at angriperne kan utnytte dette ved å bruke et falskt domene i returvei-adressen og en legitim (eller legitim utseende) e-postadresse i Fra-delen. Selv om mottakeren skulle kontrollere avsenderens e -post -ID, ville de se Fra -adressen først, og vanligvis gidder de ikke å sjekke returbanen. Faktisk er de fleste ikke engang klar over at det er noe som heter Returbane -adresse.

SPF kan ganske enkelt omgås ved å bruke dette enkle trikset, og det etterlater til og med domener sikret med SPF stort sett sårbare.

SPF -poster har en DNS -oppslagsgrense

SPF -poster inneholder en liste over alle IP -adressene som domeneeieren har autorisert til å sende e -post. Imidlertid har de en avgjørende ulempe. Den mottakende serveren må sjekke posten for å se om avsenderen er autorisert, og for å redusere belastningen på serveren har SPF -poster en grense på 10 DNS -oppslag.

Dette betyr at hvis organisasjonen din bruker flere tredjepartsleverandører som sender e -post via domenet ditt, kan SPF -posten ende opp med å overskride denne grensen. Med mindre den er riktig optimalisert (noe som ikke er lett å gjøre selv), vil SPF -poster ha en veldig restriktiv grense. Når du overskrider denne grensen, anses SPF -implementeringen som ugyldig, og e -posten din mislykkes med SPF. Dette kan potensielt skade leveringsprisen på e -post.

Lære mer

 

SPF fungerer ikke alltid når e -posten videresendes

SPF har et annet kritisk feilpunkt som kan skade leveransen av e -post. Når du har implementert SPF på domenet ditt og noen videresender e -posten din, kan den videresendte e -posten bli avvist på grunn av SPF -retningslinjene dine.

Det er fordi den videresendte meldingen har endret e -postens mottaker, men e -postens avsenderadresse forblir den samme. Dette blir et problem fordi meldingen inneholder den opprinnelige avsenderens Fra -adresse, men den mottakende serveren ser en annen IP. IP -adressen til videresendings -e -postserveren er ikke inkludert i SPF -posten til den originale avsenderens domene. Dette kan føre til at e -posten blir avvist av den mottakende serveren.

Hvordan løser DMARC disse problemene?

DMARC bruker en kombinasjon av SPF og DKIM for å autentisere e -post. En e -post må passere enten SPF eller DKIM for å bestå DMARC og bli levert med hell. Og den legger også til en nøkkelfunksjon som gjør den langt mer effektiv enn SPF eller DKIM alene: Rapportering.

Med DMARC-rapportering får du daglig tilbakemelding om statusen til e-postkanalene dine. Dette inkluderer informasjon om DMARC-tilpasning, data om e-poster som ikke ble godkjent, og detaljer om potensielle spoofing-forsøk.

Hvis du lurer på hva du kan gjøre for å ikke bli forfalsket, kan du se vår praktiske guide om de fem beste måtene å unngå e -postforfalskning.

phishing vs. spoofing

/av

Topp 6 misforståelser folk har om DMARC

Bryte ned DMARC -myter

For mange mennesker er det ikke umiddelbart klart hva DMARC gjør eller hvordan det forhindrer forfalskning av domener, etterligning og svindel. Dette kan føre til alvorlige misforståelser om DMARC, hvordan e -postautentisering fungerer, og hvorfor det er bra for deg. Men hvordan vet du hva som er rett og hva som er galt? Og hvordan kan du være sikker på at du implementerer det riktig? 

PowerDMARC er her for å redde! For å hjelpe deg med å forstå DMARC bedre, har vi samlet denne listen over de 6 vanligste misforståelsene om DMARC.

Misforståelser om DMARC

1. DMARC er det samme som et spamfilter

Dette er en av de vanligste tingene folk tar feil med DMARC. Spamfiltre blokkerer innkommende e -postmeldinger som leveres til innboksen din. Dette kan være mistenkelige e -poster sendt fra noens domene, ikke bare ditt. DMARC, derimot, forteller mottakende e -postservere hvordan de skal håndtere utgående e -postmeldinger sendt fra domenet ditt. Spamfiltre som Microsoft Office 365 ATP beskytter ikke mot slike cyberangrep. Hvis domenet ditt er DMARC-håndhevet og e-posten mislykkes med autentisering, avviser den mottakende serveren det.

2. Når du har konfigurert DMARC, er e -posten din trygg for alltid

DMARC er en av de mest avanserte e-postautentiseringsprotokollene som finnes, men det betyr ikke at den er helt selvforsynt. Du må regelmessig overvåke DMARC-rapportene dine for å sikre at e-poster fra autoriserte kilder ikke blir avvist. Enda viktigere er det å se etter uautoriserte avsendere som misbruker domenet ditt. Når du ser en IP-adresse som gjør gjentatte forsøk på å forfalske e-posten din, må du iverksette tiltak umiddelbart og få den svartelistet eller fjernet.

3. DMARC vil redusere leveransen av e -post

Når du konfigurerer DMARC , er det viktig å først sette policyen til p = none. Dette betyr at alle e -postene dine fortsatt blir levert, men du vil motta DMARC -rapporter om de godkjente eller mislyktes. Hvis du i løpet av denne overvåkingsperioden ser din egen e -post som ikke svikter DMARC, kan du iverksette tiltak for å løse problemene. Når alle de autoriserte e -postene dine er validert riktig, kan du håndheve DMARC med retningslinjene p = karantene eller p = avvise.

4. Jeg trenger ikke å håndheve DMARC (p = ingen er nok)

Når du konfigurerer DMARC uten å håndheve det (policy p=none), blir alle e-poster fra domenet ditt levert - også de som ikke klarer DMARC. Du mottar DMARC-rapporter, men beskytter ikke domenet ditt mot spoofing-forsøk. Etter den første overvåkingsperioden (forklart ovenfor) er det helt nødvendig å sette policyen din til p=karantene eller p=avvis og håndheve DMARC.

5. Bare store merker trenger DMARC

Mange mindre organisasjoner tror at det bare er de største, mest gjenkjennelige merkene som trenger DMARC -beskyttelse. I virkeligheten vil cyberkriminelle bruke ethvert forretningsdomene for å starte et forfalskningsangrep . Mange mindre bedrifter har vanligvis ikke dedikerte cybersikkerhetsteam, noe som gjør det enda enklere for angripere å målrette mot små og mellomstore organisasjoner. Husk at hver organisasjon som har et domenenavn trenger DMARC -beskyttelse!

6. DMARC -rapporter er enkle å lese

Vi ser mange organisasjoner som implementerer DMARC og får rapportene sendt til sine egne innbokser. Problemet med dette er at DMARC -rapporter kommer i et XML -filformat, som kan være svært vanskelig å lese hvis du ikke er kjent med det. Å bruke en dedikert DMARC-plattform kan ikke bare gjøre installasjonsprosessen mye enklere, men PowerDMARC kan konvertere komplekse XML-filer til lettleste rapporter med grafer, diagrammer og grundig statistikk.

phishing vs. spoofing

/av

Hvordan phishing -svindel bruker Office 365 til å målrette mot forsikringsselskaper

E -post er ofte førstevalget for en nettkriminell når de lanseres fordi det er så enkelt å utnytte. I motsetning til brute-force-angrep som er tunge på prosessorkraft, eller mer sofistikerte metoder som krever et høyt ferdighetsnivå, kan domenespoofing være like enkelt som å skrive en e-post som later til å være noen andre. I mange tilfeller er 'noen andre' en viktig programvaretjenesteplattform som folk stoler på for å gjøre jobben sin.

Det var det som skjedde mellom 15. og 30. april 2020, da sikkerhetsanalytikerne hos PowerDMARC oppdaget en ny bølge av phishing-e-poster rettet mot ledende forsikringsselskaper i Midtøsten. Dette angrepet har bare vært ett av mange i den siste tidens økning av phishing- og spoofing-tilfeller under Covid-19-krisen. Så tidlig som i februar 2020 gikk et annet stort phishing-angrep så langt som til å utgi seg for å være fra Verdens helseorganisasjon, og sendte e-poster til tusenvis av mennesker der de ba om donasjoner til koronahjelp.

phishing vs. spoofing

I denne siste hendelsesserien mottok brukere av Microsofts Office 365 -tjeneste det som så ut til å være rutinemessige oppdaterings -e -poster om statusen til brukerkontoene. Disse e -postene kom fra organisasjonenes egne domener, og ba brukere om å tilbakestille passordene sine eller klikke på lenker for å se ventende varsler.

Vi har samlet en liste over noen av e -posttitlene vi observerte ble brukt:

  • Uvanlig påloggingsaktivitet på Microsoft-kontoen
  • Du har (3) meldinger som venter på levering på e-posten [email protected]* Portal!
  • user@domain Du har ventende Microsoft Office UNSYNC -meldinger
  • Varsel om aktivering av sammendrag for [email protected]

*kontodetaljer endret for brukernes personvern

Du kan også se et eksempel på en e -postoverskrift som brukes i en forfalsket e -post sendt til et forsikringsselskap:

Mottatt: fra [ malicious_ip ] (helo = malicious_domain )

id 1jK7RC-000uju-6x

for [email protected]; Tor 2. april 2020 23:31:46 +0200

DKIM-signatur: v = 1; a = rsa-sha256; q = dns/txt; c = avslappet/avslappet;

Mottatt: fra [xxxx] (port = 58502 helo = xxxxx)

av malicious_domain med esmtpsa (TLSv1.2: ECDHE-RSA-AES2 56-GCM-SHA384: 256)

Fra: "Microsoft -kontoteam" 

Til: [email protected]

Emne: Microsoft Office -varsel for [email protected] den 1.4.2020 23:46

Dato: 2. april 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-versjon: 1.0

Innholdstype: tekst/html;

tegnsett = ”utf-8”

Content-Transfer-Encoding: sitert-utskrivbar

X-AntiAbuse: Denne overskriften ble lagt til for å spore misbruk, vennligst inkluder den med en eventuell misbruksrapport

X-AntiAbuse: Primært vertsnavn- skadelig_domene

X-AntiAbuse: Original Domene - domain.com

X-AntiAbuse: Originator/Caller UID/GID-[47 12]/[47 12]

X-AntiAbuse: Avsenderadresse Domene - domain.com

X-Get-Message-Sender-Via: malicious_domain : authenticated_id: admin@malicious_domain

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-kilde: 

X-Source-Args: 

X-Source-Dir: 

Mottatt-SPF: fail (domene på domain.com angir ikke malicious_ip_address som tillatt avsender) client-ip = malicious_ip_address ; konvolutt-fra = [email protected] ; helo = ondsinnet_domene ;

X-SPF-Resultat: domene på domain.com angir ikke malicious_ip_address som tillatt avsender

X-Sender-Advarsel: Omvendt DNS-oppslag mislyktes for malicious_ip_address (mislyktes)

X-DKIM-Status: none / / domain.com / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / default

 

Vårt sikkerhetsoperasjonssenter sporet e -postkoblingene til phishing -URLer som var rettet mot Microsoft Office 365 -brukere. Nettadressene omdirigeres til kompromitterte nettsteder på forskjellige steder rundt om i verden.

Bare ved å se på disse e -posttittlene, ville det være umulig å fortelle at de ble sendt av noen som forfalsket organisasjonens domene. Vi er vant til en jevn arbeidsstrøm eller kontorrelaterte e-poster som får oss til å logge på forskjellige onlinetjenester akkurat som Office 365. Domenespoofing utnytter det, noe som gjør at de falske, ondsinnede e-postene deres ikke kan skilles fra ekte. Det er praktisk talt ingen måte å vite, uten en grundig analyse av e -posten, om den kommer fra en pålitelig kilde. Og med dusinvis av e -postmeldinger som kommer hver dag, har ingen tid til å undersøke hver enkelt nøye. Den eneste løsningen ville være å bruke en autentiseringsmekanisme som kontrollerer all e -post som er sendt fra domenet ditt, og blokkerer bare de som ble sendt av noen som sendte den uten autorisasjon.

phishing vs. spoofing

Denne autentiseringsmekanismen kalles DMARC. Og som en av verdens ledende leverandører av e-postsikkerhetsløsninger har vi i PowerDMARC gjort det til vår oppgave å få deg til å forstå hvor viktig det er å beskytte organisasjonens domene. Ikke bare for din egen del, men for alle som stoler på og er avhengige av at du leverer trygge og pålitelige e-poster i innboksen, hver eneste gang.

Du kan lese om risikoen for spoofing her: https://powerdmarc.com/stop-email-spoofing/

Finn ut hvordan du kan beskytte domenet ditt mot forfalskning og øke merkevaren din her: https://powerdmarc.com/what-is-dmarc/

phishing vs. spoofing

/av