Innlegg

Etterligningsangrep som phishing og spoofing kan dramatisk påvirke helsen til domenet ditt og føre til autentiseringsfeil, e-postkompromittering og mye mer! Dette er grunnen til at du må forbedre forsvaret ditt mot dem, fra og med i dag. Det finnes ulike metoder du kan bruke for å sikre at e-postene dine er tilstrekkelig beskyttet mot phishing og spoofingangrep. La oss diskutere hva de er!

E-postautentiseringsprotokoller for å forhindre etterligningsangrep

  1. Sender Policy Framework (SPF)
    En god måte å starte på er å implementere SPF. Sender Policy Framework, som er basert på DNS-en til domenenavnet ditt, kan bekrefte at IP-en som brukes til å sende en e-post har rett til å gjøre det. Det forhindrer uredelig bruk av domenenavnet ditt og forhindrer tredjeparter i å utgi seg for å være deg. SPF-protokollen er spesielt effektiv mot phishing og spoofing-angrep fordi de ofte utnytter slike feil. Hvis en e-postserver oppgir at den er sendt av en e-postserver hvis IP-adresse kan tilskrives domenet ditt, vil operativsystemene generelt sjekke to ganger før de leverer en e-post. På denne måten ignoreres e-postservere som ikke respekterer SPF. For å si det enkelt lar "SPF-protokollen" eieren av et domene (for eksempel [email protected]) sende en autorisasjon til DNS-myndigheten.

  2. DomainKeys Identified Mail (DKIM)
    DomainKeys Identified Mail, eller DKIM, er et e-postautentiseringssystem som bruker digitale signaturer for å bekrefte kilden og innholdet i en melding. Det er et sett med kryptografiske teknikker for å verifisere kilden og innholdet til e-postmeldinger for å redusere spam, phishing og andre former for ondsinnet e-post. Spesielt bruker den delte private krypteringsnøkler for å autentisere avsenderen av en gitt melding (nøkkelaspektet her er at bare den tiltenkte mottakeren skal være i besittelse av denne private nøkkelen), og sikrer at e-post ikke kan "forfalskes" eller falskt representert av bedragere. Den lar også en autorisert mottaker oppdage eventuelle endringer som er gjort i en melding etter at den er sendt; hvis organisasjonen som er ansvarlig for å validere disse signaturene oppdager datakorrupsjon i en e-post, kan de ganske enkelt avvise den som falsk og varsle avsenderen som sådan.

  3. Domenebasert meldingsautentisering, rapportering og samsvar (DMARC)
    DMARC eksisterer av flere grunner. For det første gir DMARC deg en måte å fortelle e-postservere hvilke meldinger som er legitime, og hvilke som ikke er det. For det andre gir DMARC deg rapporter om hvor godt beskyttet domenet ditt er mot angrep. For det tredje hjelper DMARC med å beskytte merkevaren din mot å bli assosiert med meldinger som kan skade omdømmet ditt. DMARC gir mer beskyttelse mot phishing og spoofing ved å bekrefte at en e-postmelding virkelig stammer fra domenet den hevder å komme fra. DMARC gjør det også mulig for organisasjonen din å be om rapporter om meldingene du mottar. Disse rapportene kan hjelpe deg med å undersøke mulige sikkerhetsproblemer og identifisere mulige trusler, for eksempel skadelig programvare eller phishing-angrep rettet mot organisasjonen din.

Hvordan kan PowerDMARC hjelpe deg med å beskytte domenet ditt mot phishing og spoofing-angrep?

PowerDMARCs e-postsikkerhetsautentiseringspakke hjelper deg ikke bare med sømløs introduksjon av SPF-, DKIM- og DMARC-protokollene dine, men gir mange flere tilleggsfordeler, inkludert:

  • SPF-utjevning for å sikre at SPF-posten din forblir gyldig og under SPF-hardgrensen på 10 oppslag
  • BIMI for visuell identifikasjon av bedriftens e-poster. BIMI sikrer at e-postene som når kundene dine inneholder merkevarelogoen din som kan oppdages av dem selv før de åpner meldingen
  • MTA-STS for å kryptere e-postene dine under overføring

For å nyte gratis DMARC trenger du bare registrere deg og opprette en PowerDMARC-konto uten ekstra kostnader. Start din e-postautentiseringsreise med oss for en tryggere e-postopplevelse!

Spoofing er en av de mest universelle typene angrep i dag. Svindlere elsker bare å overta navn og e-postadresser på et e-postnettverk (for eksempel Hotmail, Gmail) for å sende ut tusenvis av falske e-poster som ser ut som om de er sendt fra noen du kjenner – som administrerende direktør eller en leder i et annet selskap i din bransje.

Ikke la identitetstyver forfalske e-postadressen din. Lær hvordan du beskytter deg mot e-postforfalskning og hvorfor du bør bry deg om denne alvorlige informasjonssikkerhetstrusselen. La oss komme inn i det!

Forfalskning av e-poster: Hva er de?

Forfalskning av e-post er ikke noe nytt, men det ser heller ikke ut til å forsvinne med det første. I noen tilfeller hjelper utviklingen av teknologi faktisk svindlerne med å jukse. Det er mange grunner til at en e-post kan anses å være forfalsket. Det vanligste scenariet er når en angriper kaprer en ekte server og bruker den til å sende falske e-poster. Den vanligste metoden for å sende e-post er å utnytte en sårbar SMTP-server. Når de har kompromittert SMTP-serveren, kan de sende falske e-poster til hvem som helst.

Spoofing er et alvorlig problem og et som bare blir verre. Implikasjonene av spoofing kan være vidtrekkende og skadelig for store merker, men den nylige flommen av phishing hadde allerede skapt panikk blant brukerne. Ved å gi en veiledning for hvordan du unngår e-postforfalskning, hjelper du brukerne dine (og deg selv) å bli kvitt denne trusselen, og setter opp beste praksis for de som står på listen over teknisk støtte.

Hvordan kan falske e-poster skade deg?

Husker du sist du klikket på en lenke i en e-post som sa at den var fra et selskap du stolte på? Du har sannsynligvis funnet deg selv på et nettsted du aldri hadde besøkt før fordi avsenderen ba deg klikke på en lenke. Hvordan visste du at denne nye adressen ikke var et ondsinnet forsøk på å spionere på dine personlige data? Svaret er enkelt: Legitime virksomheter vil aldri be om privat informasjon som brukernavn, passord og kredittkortnumre via e-post.

Men hvis en uredelig kilde forfalsker adressen din for å sende slike ondsinnede meldinger til kundene dine, kan du være trygg på at det vil skade virksomheten din. Troverdigheten og omdømmet som du har jobbet så hardt for å bygge vil lide slagene av slike angrep, og kundene dine ville nøle før de åpner legitime markedsførings-e-poster.

Hvordan stoppe kontinuerlig falske e-poster fra å bli sendt fra e-postadressen min?

Gjør e-postautentiseringsprotokoller til en del av e-postpakken din!

  1. SPF: En av de grunnleggende prinsippene for e-postautentisering som vil hjelpe deg å unngå forfalskning av e-poster er SPF. Selv om det er enkelt å konfigurere det, er det en utfordring å vedlikeholde det. Det er ofte en risiko for å overskride grensen på 10 DNS-oppslag, noe som resulterer i at e-poster mislykkes med autentisering til tross for bevist autentisitet. Vi tilbyr deg en rask løsning for å omgå dette problemet med vårt dynamiske SPF-flatningsverktøy. Opprett en SPF-post i dag gratis, med vår SPF-postgenerator .
  2. DKIM: DKIM er en metode for å signere alle utgående meldinger for å forhindre e-postforfalskning. Spoofing er en vanlig uautorisert bruk av e-post, så noen e-postservere krever DKIM for å forhindre e-postspoofing. Med bruken vil all din utgående e-post bli autentisert med en digital signatur som lar e-postservere vite at den faktisk kom fra deg.
  3. DMARC: DMARC er en standard for e-postautentisering for organisasjoner for å beskytte dem mot spoofing og phishing-angrep som bruker e-post til å lure mottakeren til å gjøre noe. DMARC fungerer som et lag på toppen av SPF og DKIM for å hjelpe e-postmottakere med å gjenkjenne når en e-post ikke kommer fra et selskaps godkjente domener, og gi instruksjoner om hvordan man trygt kan kvitte seg med uautorisert e-post.

Hvis du vil begynne å bygge opp forsvaret ditt mot forfalskning, anbefaler vi at du tar en prøveversjon av vår DMARC rapportanalysator . Det vil hjelpe deg med å integrere protokollene med den raskeste markedshastigheten, holde deg oppdatert på feil og enkelt overvåke domenene dine på et flerbruks DMARC-dashbord.

Som leverandør av DMARC -tjenester får vi dette spørsmålet mye: “Hvis DMARC bare bruker SPF- og DKIM -godkjenning, hvorfor skal vi bry oss om DMARC? Er det ikke bare unødvendig? "

På overflaten kan det se ut til å gjøre liten forskjell, men virkeligheten er veldig annerledes. DMARC er ikke bare en kombinasjon av SPF- og DKIM -teknologier, det er en helt ny protokoll i seg selv. Den har flere funksjoner som gjør den til en av de mest avanserte standardene for e -postgodkjenning i verden, og en absolutt nødvendighet for bedrifter.

Men vent litt. Vi har ikke svart nøyaktig hvorfor du trenger DMARC. Hva tilbyr det som SPF og DKIM ikke gjør? Vel, det er et ganske langt svar; for lenge for bare ett blogginnlegg. Så la oss dele det opp og snakke om SPF først. Hvis du ikke er kjent med det, her er en rask introduksjon.

Hva er SPF?

SPF, eller Sender Policy Framework, er en e -postgodkjenningsprotokoll som beskytter e -postmottakeren mot falske e -poster. Det er egentlig en liste over alle IP -adresser som er autorisert til å sende e -post via kanalene dine (domeneieren). Når den mottakende serveren ser en melding fra domenet ditt, sjekker den SPF -posten som er publisert på DNS -en din. Hvis avsenderens IP er i denne 'listen', blir e -posten levert. Hvis ikke, avviser serveren e -posten.

Som du kan se, gjør SPF en ganske god jobb med å holde unna mange uønskede e -postmeldinger som kan skade enheten din eller kompromittere organisasjonens sikkerhetssystemer. Men SPF er ikke på langt nær så bra som noen tror. Det er fordi det har noen veldig store ulemper. La oss snakke om noen av disse problemene.

Begrensninger av SPF

SPF -poster gjelder ikke fra -adressen

E -poster har flere adresser for å identifisere avsenderen: Fra -adressen du normalt ser, og returbaneadressen som er skjult og krever ett eller to klikk for å vise. Med SPF aktivert, ser den mottakende e -postserveren på returbanen og kontrollerer SPF -postene til domenet fra den adressen.

Problemet her er at angriperne kan utnytte dette ved å bruke et falskt domene i returvei-adressen og en legitim (eller legitim utseende) e-postadresse i Fra-delen. Selv om mottakeren skulle kontrollere avsenderens e -post -ID, ville de se Fra -adressen først, og vanligvis gidder de ikke å sjekke returbanen. Faktisk er de fleste ikke engang klar over at det er noe som heter Returbane -adresse.

SPF kan ganske enkelt omgås ved å bruke dette enkle trikset, og det etterlater til og med domener sikret med SPF stort sett sårbare.

SPF -poster har en DNS -oppslagsgrense

SPF -poster inneholder en liste over alle IP -adressene som domeneeieren har autorisert til å sende e -post. Imidlertid har de en avgjørende ulempe. Den mottakende serveren må sjekke posten for å se om avsenderen er autorisert, og for å redusere belastningen på serveren har SPF -poster en grense på 10 DNS -oppslag.

Dette betyr at hvis organisasjonen din bruker flere tredjepartsleverandører som sender e -post via domenet ditt, kan SPF -posten ende opp med å overskride denne grensen. Med mindre den er riktig optimalisert (noe som ikke er lett å gjøre selv), vil SPF -poster ha en veldig restriktiv grense. Når du overskrider denne grensen, anses SPF -implementeringen som ugyldig, og e -posten din mislykkes med SPF. Dette kan potensielt skade leveringsprisen på e -post.

 

SPF fungerer ikke alltid når e -posten videresendes

SPF har et annet kritisk feilpunkt som kan skade leveransen av e -post. Når du har implementert SPF på domenet ditt og noen videresender e -posten din, kan den videresendte e -posten bli avvist på grunn av SPF -retningslinjene dine.

Det er fordi den videresendte meldingen har endret e -postens mottaker, men e -postens avsenderadresse forblir den samme. Dette blir et problem fordi meldingen inneholder den opprinnelige avsenderens Fra -adresse, men den mottakende serveren ser en annen IP. IP -adressen til videresendings -e -postserveren er ikke inkludert i SPF -posten til den originale avsenderens domene. Dette kan føre til at e -posten blir avvist av den mottakende serveren.

Hvordan løser DMARC disse problemene?

DMARC bruker en kombinasjon av SPF og DKIM for å autentisere e -post. En e -post må passere enten SPF eller DKIM for å bestå DMARC og bli levert med hell. Og den legger også til en nøkkelfunksjon som gjør den langt mer effektiv enn SPF eller DKIM alene: Rapportering.

Med DMARC -rapportering får du daglig tilbakemelding på statusen til e -postkanalene dine. Dette inkluderer informasjon om DMARC -justeringen, data om e -postmeldinger som mislyktes med autentisering, og detaljer om potensielle spoofing -forsøk.

Hvis du lurer på hva du kan gjøre for å ikke bli forfalsket, kan du se vår praktiske guide om de fem beste måtene å unngå e -postforfalskning.

Bryte ned DMARC -myter

For mange mennesker er det ikke umiddelbart klart hva DMARC gjør eller hvordan det forhindrer forfalskning av domener, etterligning og svindel. Dette kan føre til alvorlige misforståelser om DMARC, hvordan e -postautentisering fungerer, og hvorfor det er bra for deg. Men hvordan vet du hva som er rett og hva som er galt? Og hvordan kan du være sikker på at du implementerer det riktig? 

PowerDMARC er her for å redde! For å hjelpe deg med å forstå DMARC bedre, har vi samlet denne listen over de 6 vanligste misforståelsene om DMARC.

Misforståelser om DMARC

1. DMARC er det samme som et spamfilter

Dette er en av de vanligste tingene folk tar feil med DMARC. Spamfiltre blokkerer innkommende e -postmeldinger som leveres til innboksen din. Dette kan være mistenkelige e -poster sendt fra noens domene, ikke bare ditt. DMARC, derimot, forteller mottakende e -postservere hvordan de skal håndtere utgående e -postmeldinger sendt fra domenet ditt. Spamfiltre som Microsoft Office 365 ATP beskytter ikke mot slike cyberangrep. Hvis domenet ditt er DMARC-håndhevet og e-posten mislykkes med autentisering, avviser den mottakende serveren det.

2. Når du har konfigurert DMARC, er e -posten din trygg for alltid

DMARC er en av de mest avanserte e-postgodkjenningsprotokollene som finnes, men det betyr ikke at den er helt selvforsynt. Du må regelmessig overvåke DMARC -rapportene dine for å sikre at e -post fra autoriserte kilder ikke blir avvist. Enda viktigere er at du må se etter uautoriserte avsendere som misbruker domenet ditt. Når du ser en IP -adresse som gjør gjentatte forsøk på å forfalske e -posten din, må du iverksette tiltak umiddelbart og få dem svartelistet eller fjernet.

3. DMARC vil redusere leveransen av e -post

Når du konfigurerer DMARC , er det viktig å først sette policyen til p = none. Dette betyr at alle e -postene dine fortsatt blir levert, men du vil motta DMARC -rapporter om de godkjente eller mislyktes. Hvis du i løpet av denne overvåkingsperioden ser din egen e -post som ikke svikter DMARC, kan du iverksette tiltak for å løse problemene. Når alle de autoriserte e -postene dine er validert riktig, kan du håndheve DMARC med retningslinjene p = karantene eller p = avvise.

4. Jeg trenger ikke å håndheve DMARC (p = ingen er nok)

Når du konfigurerer DMARC uten å håndheve den (policy p = none), blir alle e -poster fra domenet ditt - inkludert dem som ikke klarer DMARC - levert. Du mottar DMARC -rapporter, men beskytter ikke domenet ditt mot eventuelle spoofing -forsøk. Etter den første overvåkingsperioden (forklart ovenfor), er det helt nødvendig å sette policyen din til p = karantene eller p = avvise og håndheve DMARC.

5. Bare store merker trenger DMARC

Mange mindre organisasjoner tror at det bare er de største, mest gjenkjennelige merkene som trenger DMARC -beskyttelse. I virkeligheten vil cyberkriminelle bruke ethvert forretningsdomene for å starte et forfalskningsangrep . Mange mindre bedrifter har vanligvis ikke dedikerte cybersikkerhetsteam, noe som gjør det enda enklere for angripere å målrette mot små og mellomstore organisasjoner. Husk at hver organisasjon som har et domenenavn trenger DMARC -beskyttelse!

6. DMARC -rapporter er enkle å lese

Vi ser mange organisasjoner som implementerer DMARC og får rapportene sendt til sine egne innbokser. Problemet med dette er at DMARC -rapporter kommer i et XML -filformat, som kan være svært vanskelig å lese hvis du ikke er kjent med det. Å bruke en dedikert DMARC-plattform kan ikke bare gjøre installasjonsprosessen mye enklere, men PowerDMARC kan konvertere komplekse XML-filer til lettleste rapporter med grafer, diagrammer og grundig statistikk.

E -post er ofte førstevalget for en nettkriminell når de lanseres fordi det er så enkelt å utnytte. I motsetning til brute-force-angrep som er tunge på prosessorkraft, eller mer sofistikerte metoder som krever et høyt ferdighetsnivå, kan domenespoofing være like enkelt som å skrive en e-post som later til å være noen andre. I mange tilfeller er 'noen andre' en viktig programvaretjenesteplattform som folk stoler på for å gjøre jobben sin.

Det er det som skjedde mellom 15. og 30. april 2020, da våre sikkerhetsanalytikere ved PowerDMARC oppdaget en ny bølge av phishing -e -poster rettet mot ledende forsikringsselskaper i Midtøsten. Dette angrepet har bare vært ett blant mange andre i den siste økningen av tilfeller av phishing og spoofing under Covid-19- krisen. Så tidlig som i februar 2020 gikk en annen stor phishing -svindel så langt som å etterligne Verdens helseorganisasjon, og sendte e -post til tusenvis av mennesker som ba om donasjoner for lindring av koronavirus.

I denne siste hendelsesserien mottok brukere av Microsofts Office 365 -tjeneste det som så ut til å være rutinemessige oppdaterings -e -poster om statusen til brukerkontoene. Disse e -postene kom fra organisasjonenes egne domener, og ba brukere om å tilbakestille passordene sine eller klikke på lenker for å se ventende varsler.

Vi har samlet en liste over noen av e -posttitlene vi observerte ble brukt:

*kontodetaljer endret for brukernes personvern

Du kan også se et eksempel på en e -postoverskrift som brukes i en forfalsket e -post sendt til et forsikringsselskap:

Mottatt: fra [ malicious_ip ] (helo = malicious_domain )

id 1jK7RC-000uju-6x

for [email protected]; Tor 2. april 2020 23:31:46 +0200

DKIM-signatur: v = 1; a = rsa-sha256; q = dns/txt; c = avslappet/avslappet;

Mottatt: fra [xxxx] (port = 58502 helo = xxxxx)

av malicious_domain med esmtpsa (TLSv1.2: ECDHE-RSA-AES2 56-GCM-SHA384: 256)

Fra: "Microsoft -kontoteam" 

Til: [email protected]

Emne: Microsoft Office -varsel for [email protected] den 1.4.2020 23:46

Dato: 2. april 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-versjon: 1.0

Innholdstype: tekst/html;

tegnsett = ”utf-8”

Content-Transfer-Encoding: sitert-utskrivbar

X-AntiAbuse: Denne overskriften ble lagt til for å spore misbruk, vennligst inkluder den med en eventuell misbruksrapport

X-AntiAbuse: Primært vertsnavn- skadelig_domene

X-AntiAbuse: Original Domene - domain.com

X-AntiAbuse: Originator/Caller UID/GID-[47 12]/[47 12]

X-AntiAbuse: Avsenderadresse Domene - domain.com

X-Get-Message-Sender-Via: malicious_domain : authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-kilde: 

X-Source-Args: 

X-Source-Dir: 

Mottatt-SPF: fail (domene på domain.com angir ikke malicious_ip_address som tillatt avsender) client-ip = malicious_ip_address ; konvolutt-fra = [email protected] ; helo = ondsinnet_domene ;

X-SPF-Resultat: domene på domain.com angir ikke malicious_ip_address som tillatt avsender

X-Sender-Advarsel: Omvendt DNS-oppslag mislyktes for malicious_ip_address (mislyktes)

X-DKIM-Status: none / / domain.com / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / default

 

Vårt sikkerhetsoperasjonssenter sporet e -postkoblingene til phishing -URLer som var rettet mot Microsoft Office 365 -brukere. Nettadressene omdirigeres til kompromitterte nettsteder på forskjellige steder rundt om i verden.

Bare ved å se på disse e -posttittlene, ville det være umulig å fortelle at de ble sendt av noen som forfalsket organisasjonens domene. Vi er vant til en jevn arbeidsstrøm eller kontorrelaterte e-poster som får oss til å logge på forskjellige onlinetjenester akkurat som Office 365. Domenespoofing utnytter det, noe som gjør at de falske, ondsinnede e-postene deres ikke kan skilles fra ekte. Det er praktisk talt ingen måte å vite, uten en grundig analyse av e -posten, om den kommer fra en pålitelig kilde. Og med dusinvis av e -postmeldinger som kommer hver dag, har ingen tid til å undersøke hver enkelt nøye. Den eneste løsningen ville være å bruke en autentiseringsmekanisme som kontrollerer all e -post som er sendt fra domenet ditt, og blokkerer bare de som ble sendt av noen som sendte den uten autorisasjon.

Denne godkjenningsmekanismen kalles DMARC. Og som en av de ledende leverandørene av sikkerhetsløsninger for e -post i verden, har vi i PowerDMARC gjort det til vårt oppdrag å få deg til å forstå viktigheten av å beskytte organisasjonens domene. Ikke bare for deg selv, men for alle som stoler på og er avhengig av at du leverer trygge, pålitelige e -poster i innboksen hver eneste gang.

Du kan lese om risikoen for spoofing her: https://powerdmarc.com/stop-email-spoofing/

Finn ut hvordan du kan beskytte domenet ditt mot forfalskning og øke merkevaren din her: https://powerdmarc.com/what-is-dmarc/