Jeśli to czytasz, prawdopodobnie jesteś zaznajomiony z raportami DMARC. Albo przynajmniej z raportami zbiorczymi (RUA), które otrzymujesz po wdrożeniu DMARC. Raporty zbiorcze są wysyłane codziennie i zawierają niesamowicie przydatne informacje o emailach wysłanych z Twojej domeny, które nie przeszły uwierzytelnienia DMARC, SPF lub DKIM. Możesz zobaczyć adresy IP nadawców, liczbę emaili i dzień, w którym zostały wysłane, oraz wiele innych ciekawych rzeczy. Sprawdź nasze dogłębne spojrzenie na raporty zbiorcze DMARC tutaj.

Ale jest jeszcze jeden rodzaj raportu, o którym być może nie słyszałeś, mniej popularny kuzyn raportów zbiorczych, że tak powiem. Mówię o raportach DMARC Forensic Reports (RUF), znanych również jako Failure Reports. Mimo, że pełnią one, w większości, tę samą rolę co raporty zbiorcze, różnią się od siebie pod wieloma względami. Pozwól, że pokażę Ci, co mam na myśli.

Czym w ogóle są raporty awaryjne/rzeczoznawcze?

Najlepszym sposobem mówienia o RUF jest zrozumienie, czym różnią się one od RUA. Raportowanie zbiorcze ma za zadanie dać Ci ogólny przegląd stanu poczty w Twojej domenie, tak abyś rozumiał, które z Twoich emaili i ile z nich ma problemy z uwierzytelnieniem, jak również z wysyłaniem źródeł, które mogą być lub nie być autoryzowane.

Raporty Forensic robią prawie to samo, ale z nadmiarem. Zamiast wysyłać codzienny raport z podsumowaniem wszystkich emaili, które mają problemy z uwierzytelnieniem, raporty Forensic są wysyłane dla każdego pojedynczego emaila, który nie przeszedł walidacji DMARC. Funkcjonują one prawie jak powiadomienia i zawierają tylko szczegóły specyficzne dla tego jednego emaila, który spowodował problem.

To znacznie wykracza poza ilość informacji dostarczanych przez raport zbiorczy i może znacznie zwiększyć szanse na jak najwcześniejsze i jak najdokładniejsze wskazanie źródła problemu. Dowiedz się więcej o raportach kryminalistycznych, klikając tutaj.

Dlaczego wielu syndyków nie popiera raportów kryminalistycznych?

Wiele serwerów odbiorczych nie obsługuje wysyłania raportów forensic do właściciela domeny, co oznacza, że nawet jeśli masz włączoną obsługę RUF, możesz nie otrzymać raportów dla wszystkich emaili, które nie przeszły uwierzytelnienia. Jest ku temu ważny powód:

Obawy dotyczące prywatności

Chociaż raporty kryminalistyczne zazwyczaj odfiltrowują prawie wszystkie informacje umożliwiające identyfikację osób z wiadomości e-mail, niektóre dane, takie jak temat wiadomości e-mail lub adres e-mail odbiorcy, które w przypadku ujawnienia mogłyby stanowić naruszenie prywatności użytkownika. Wielu odbiorców wiadomości e-mail jest bardzo dokładnych w tym, jakie rodzaje informacji z wiadomości e-mail mogą być wyświetlane w raporcie.

Aby uzyskać więcej informacji na temat prywatności z DMARC, sprawdź nasze pełne zestawienie na temat tego, jak PowerDMARC chroni prywatność użytkowników.

Nie oznacza to jednak, że raporty forensic nie są ważnym źródłem informacji dla Twojej strategii bezpieczeństwa poczty elektronicznej. Dzięki ilości szczegółowych danych, które dostarczają, mogą one zaoferować niesamowity wgląd w to, co dzieje się z nieuwierzytelnioną pocztą.

Dlaczego dane z raportów kryminalistycznych mają znaczenie?

Choć może się wydawać, że raporty kryminalistyczne nie są najlepszym pomysłem, będziesz zaskoczony, jak bardzo mogą być przydatne, aby pomóc Ci dowiedzieć się, co jest nie tak z Twoimi e-mailami. W końcu, im więcej danych posiadasz, tym dokładniej będziesz w stanie zdiagnozować problem.

Raporty kryminalistyczne zawierają bardzo szczegółowe informacje na temat danej wiadomości e-mail, w tym:

  • adres e-mail odbiorcy
  • Wyniki uwierzytelniania SPF i DKIM
  • czas otrzymania wiadomości e-mail
  • Podpis DKIM
  • temat wiadomości e-mail
  • nagłówki wiadomości e-mail, w tym nagłówki niestandardowe
  • host, który wysłał wiadomość
  • identyfikator wiadomości e-mail

Wszystkie te punkty danych są jak kawałki układanki, a łącząc je razem, będziesz w znacznie lepszej pozycji, aby pewnie określić dokładne źródło problemów z dostarczaniem wiadomości e-mail. Oferują one bezprecedensową ilość informacji na temat tego, kto dokładnie grozi naruszeniem Twojej domeny, dając Ci mnóstwo danych do pracy. Im więcej danych masz na temat źródeł wysyłania, zwłaszcza tych złośliwych, tym bardziej Twoja organizacja będzie w stanie podjąć działania przeciwko nim poprzez wskazanie niewłaściwego IP i usunięcie go lub umieszczenie na czarnej liście.

PowerDMARC obsługuje raportowanie Forensic DMARC, a także zaawansowane opcje prywatności, takie jak szyfrowanie raportów Forensic, aby zapewnić całkowite bezpieczeństwo poufnych danych.

Porozmawiajmy przez chwilę o spoofingu. Kiedy słyszysz słowa takie jak "phishing", "kompromitacja poczty biznesowej" lub "cyberprzestępczość", co jako pierwsze przychodzi Ci do głowy? Większość ludzi pomyślałaby o czymś związanym z bezpieczeństwem poczty elektronicznej, i są szanse, że Ty też tak pomyślałeś. I to jest absolutna prawda: każdy z terminów, które właśnie wymieniłem, jest formą cyberataku, w którym przestępca wykorzystuje socjotechnikę i inne techniki, aby uzyskać dostęp do poufnych informacji i pieniędzy. Oczywiście jest to złe i organizacje powinny zrobić wszystko, co w ich mocy, aby się przed tym zabezpieczyć.

Ale jest jeszcze jedna strona tego problemu, której niektóre organizacje po prostu nie biorą pod uwagę, a która jest dla nich równie ważna. Phishing nie tylko zwiększa ryzyko utraty danych i pieniędzy, ale również naraża Twoją markę na równie duże straty. W rzeczywistości szansa ta wynosi aż 63%: tyle właśnie konsumentów jest skłonnych zrezygnować z zakupów danej marki po jednym niezadowalającym doświadczeniu.

Jak ataki phishingowe przez e-mail szkodzą Twojej marce?

Zrozumienie, w jaki sposób phishing może narazić na szwank systemy Twojej organizacji, jest dość proste. Ale długoterminowe skutki pojedynczego cyberataku? Już nie tak bardzo.

Pomyśl o tym w ten sposób. W większości przypadków, użytkownik sprawdzający swoją pocztę, prawdopodobnie kliknie na wiadomość od osoby lub marki, którą zna i której ufa. Jeśli email wygląda wystarczająco realistycznie, użytkownik nie zauważy różnicy między tym, który jest fałszywy, a który nie. E-mail może nawet zawierać link prowadzący do strony, która wygląda dokładnie tak samo jak portal logowania Twojej organizacji, gdzie użytkownik wpisuje swoją nazwę użytkownika i hasło.

Później, gdy usłyszą, że dane ich kart kredytowych i adresy wyciekły do wiadomości publicznej, nie mają do kogo się zwrócić, tylko do Twojej organizacji. W końcu to "twój e-mail" spowodował katastrofę, twój brak bezpieczeństwa. Kiedy Twoi klienci całkowicie tracą wiarę w Twoją markę i jej wiarygodność, może to spowodować ogromne problemy dla optyki Twojej marki. Nie jesteś tylko firmą, która została zhakowana, jesteś firmą, która pozwoliła na kradzież swoich danych poprzez wysłany przez Ciebie email.

Nietrudno zauważyć, że w dłuższej perspektywie może to poważnie zaszkodzić Twoim zyskom, zwłaszcza gdy nowi, potencjalni klienci są zniechęceni perspektywą bycia kolejną ofiarą Twoich e-maili. Cyberprzestępcy wykorzystują zaufanie i lojalność, jakie klienci pokładają w Twojej marce, i aktywnie wykorzystują je przeciwko Tobie. I to właśnie sprawia, że Business Email Compromise (BEC) jest czymś więcej niż tylko technicznym problemem bezpieczeństwa.

Jakie branże są najbardziej poszkodowane?

Firmy farmaceutyczne są jednymi z firm najczęściej będących celem phishingu i cyberataków. Według badania firm farmaceutycznych z listy Fortune 500, tylko w ciągu ostatnich 3 miesięcy 2018 r. każda z firm zmierzyła się średnio z 71 atakami typu e-mail fraud. Dzieje się tak, ponieważ firmy farmaceutyczne posiadają cenną własność intelektualną dotyczącą nowych substancji chemicznych i produktów farmaceutycznych. Jeśli atakujący zdoła wykraść te informacje, może je sprzedać na czarnym rynku z dużym zyskiem.

Firmy budowlane i zajmujące się nieruchomościami również nie pozostają daleko w tyle. Zwłaszcza firmy świadczące usługi finansowe i instytucje finansowe stoją w obliczu ciągłego zagrożenia kradzieżą poufnych danych lub dużych sum pieniędzy poprzez starannie zaplanowane ataki biznesowe oraz ataki typu Vendor Email Compromise (VEC) .

Wszystkie te branże czerpią ogromne korzyści z tego, że klienci ufają ich markom, a ich relacje z markami bezpośrednio wpływają na ich interesy z tymi firmami. Jeśli konsument miałby wrażenie, że dana firma nie jest w stanie zapewnić bezpieczeństwa jego danych, pieniędzy lub innych aktywów, byłoby to szkodliwe dla marki, a czasami wręcz nieodwracalne.

Dowiedz się więcej na temat bezpieczeństwa poczty elektronicznej w Twojej branży.

Jak możesz uratować swoją markę?

Marketing polega na budowaniu wizerunku marki jako czegoś, co odbiorcy nie tylko zapamiętają, ale będą kojarzyć z jakością i niezawodnością. A pierwszym krokiem w tym kierunku jest zabezpieczenie domeny.

Cyberprzestępcy podszywają się pod domenę Twojej organizacji i podszywają się pod Twoją markę, więc kiedy wysyłają wiadomość e-mail do niczego niepodejrzewającego użytkownika, wygląda ona tak, jakby pochodziła od Ciebie. Zamiast oczekiwać od użytkowników, że sami zidentyfikują, które e-maile są prawdziwe, a które nie (co bardzo często jest prawie niemożliwe, szczególnie dla laików), możesz zamiast tego całkowicie zapobiec dostawaniu się takich wiadomości do skrzynek odbiorczych użytkowników.

DMARC jest protokołem uwierzytelniania emaili, który działa jak instrukcja obsługi dla otrzymującego serwera email. Za każdym razem, gdy email jest wysyłany z Twojej domeny, serwer odbiorcy sprawdza Twoje rekordy DMARC (opublikowane w Twoim DNS) i sprawdza poprawność emaila. Jeśli email jest zgodny z prawem, "przechodzi" uwierzytelnienie DMARC i zostaje dostarczony do skrzynki odbiorczej użytkownika.

Jeśli wiadomość pochodzi od nieautoryzowanego nadawcy, w zależności od polityki DMARC, wiadomość może zostać przesłana bezpośrednio do spamu lub nawet zablokowana.

Dowiedz się więcej o tym, jak działa DMARC tutaj.

DMARC może prawie całkowicie wyeliminować spam pochodzący z Twojej domeny, ponieważ zamiast blokować fałszywe e-maile, gdy opuszczają one Twoją domenę, sprawdza autentyczność w momencie, gdy e-mail dociera do serwera odbiorcy.

Jeśli wdrożyłeś już DMARC i szukasz sposobu, aby jeszcze bardziej zwiększyć bezpieczeństwo swojej marki, masz do dyspozycji Brand Indicators for Message Identification (BIMI). Ten nowy standard zabezpieczeń wiadomości e-mail umieszcza logo Twojej marki obok każdej wiadomości e-mail pochodzącej z Twojej domeny, która została uwierzytelniona przez DMARC.

Teraz, kiedy Twoi klienci zobaczą wysłany przez Ciebie email, będą kojarzyć Twoje logo z Twoją marką, co poprawi jej rozpoznawalność. A kiedy zobaczą Twoje logo, nauczą się ufać tylko tym wiadomościom, obok których znajduje się Twoje logo.

Dowiedz się więcej o BIMI tutaj. 

Na pierwszy rzut oka pakiet Office 365 firmy Microsoft wydaje się być całkiem... słodki, prawda? Nie tylko otrzymujesz całą masę aplikacji zwiększających produktywność, pamięć masową w chmurze i usługę poczty elektronicznej, ale także jesteś chroniony przed spamem dzięki własnym rozwiązaniom bezpieczeństwa poczty elektronicznej firmy Microsoft. Nic dziwnego, że jest to najszerzej rozpowszechnione rozwiązanie poczty elektronicznej dla przedsiębiorstw, z 54% udziałem w rynku i ponad 155 milionami aktywnych użytkowników. Prawdopodobnie Ty też jesteś jednym z nich.

Ale jeśli firma zajmująca się cyberbezpieczeństwem pisze bloga o Office 365, to musi być w tym coś więcej, prawda? No cóż, tak. Jest. Porozmawiajmy więc o tym, na czym dokładnie polega problem z opcjami bezpieczeństwa w usłudze Office 365 i dlaczego naprawdę musisz o tym wiedzieć.

Co jest dobre w zabezpieczeniach Microsoft Office 365

Zanim porozmawiamy o problemach z nim związanych, najpierw szybko usuńmy to z drogi: Microsoft Office 365 Advanced Threat Protection (co za nazwa) jest dość skuteczny w podstawowym zabezpieczeniu poczty elektronicznej. Będzie w stanie powstrzymać spam, złośliwe oprogramowanie i wirusy przed dostaniem się do skrzynki odbiorczej.

Jest to wystarczająco dobre rozwiązanie, jeśli szukasz tylko podstawowej ochrony antyspamowej. Ale na tym polega problem: spam o niskim poziomie zagrożenia, taki jak ten, zwykle nie stanowi największego zagrożenia. Większość dostawców poczty elektronicznej oferuje pewną formę podstawowej ochrony poprzez blokowanie wiadomości pochodzących z podejrzanych źródeł. Prawdziwym zagrożeniem - takim, które może spowodować, że Twoja organizacja straci pieniądze, dane i integralność marki - są wiadomoście-mail starannie zaprojektowane tak, abyś nie zorientował się, że są fałszywe.

W tym momencie wkraczasz na terytorium poważnej cyberprzestępczości.

Przed czym nie uchroni Cię Microsoft Office 365

Rozwiązanie bezpieczeństwa Microsoft Office 365 działa jak filtr antyspamowy, wykorzystując algorytmy do określenia, czy wiadomość e-mail jest podobna do innych wiadomości spamowych lub phishingowych. Ale co się stanie, gdy zostaniesz trafiony znacznie bardziej wyrafinowanym atakiem wykorzystującym inżynierię społeczną lub skierowanym do konkretnego pracownika lub grupy pracowników?

To nie jest zwykły spam rozsyłany do dziesiątek tysięcy osób naraz. Business Email Compromise (BEC) i Vendor Email Compromise (VEC) są przykładami tego, jak atakujący starannie wybierają cel, zdobywają więcej informacji o jego organizacji poprzez szpiegowanie jego poczty elektronicznej, a w strategicznym momencie wysyłają fałszywą fakturę lub prośbę za pośrednictwem poczty elektronicznej, prosząc o przekazanie pieniędzy lub udostępnienie danych.

Ta taktyka, szeroko znana jako spear phishing, sprawia wrażenie, że wiadomości e-mail pochodzą od kogoś z Twojej własnej organizacji, zaufanego partnera lub dostawcy. Nawet po dokładnym sprawdzeniu, wiadomości te mogą wyglądać bardzo realistycznie i są prawie niemożliwe do wykrycia, nawet dla doświadczonych ekspertów ds. bezpieczeństwa cybernetycznego.

Jeśli napastnik podszywa się pod Twojego szefa lub dyrektora generalnego Twojej organizacji i wysyła Ci wiadomość e-mail, jest mało prawdopodobne, że sprawdzisz, czy wiadomość wygląda na autentyczną, czy nie. Właśnie to sprawia, że oszustwa typu BEC i CEO są tak niebezpieczne. Usługa Office 365 nie będzie w stanie ochronić Cię przed tego typu atakami, ponieważ wiadomości te pozornie pochodzą od prawdziwej osoby, a algorytmy nie uznają ich za spam.

Jak można zabezpieczyć Office 365 przed BEC i Spear Phishingiem?

Domain-based Message Authentication, Reporting & Conformance, lub DMARC, jest protokołem bezpieczeństwa poczty elektronicznej, który wykorzystuje informacje dostarczone przez właściciela domeny do ochrony odbiorców przed spoofed email. Kiedy wdrożysz DMARC na domenie Twojej organizacji, serwery odbiorcze będą sprawdzać każdy email przychodzący z Twojej domeny pod kątem opublikowanych przez Ciebie rekordów DNS.

Ale jeśli Office 365 ATP nie może zapobiec ukierunkowanym atakom spoofingowym, to w jaki sposób robi to DMARC?

Cóż, DMARC działa zupełnie inaczej niż filtr antyspamowy. Podczas gdy filtry antyspamowe sprawdzają przychodzące wiadomości e-mail przychodzące do Twojej skrzynki odbiorczej, DMARC uwierzytelnia wychodzące wiadomości e-mail wysyłane przez domenę Twojej organizacji. Oznacza to, że jeśli ktoś próbuje podszywać się pod Twoją organizację i wysyłać Ci wiadomości phishingowe, tak długo, jak długo masz DMARC, wiadomości te zostaną wyrzucone do folderu spamu lub całkowicie zablokowane.

Oznacza to również, że jeśli cyberprzestępca wykorzystałby Twoją zaufaną markę do wysyłania wiadomości phishingowych, nawet Twoi klienci nie musieliby mieć z nimi do czynienia. DMARC w rzeczywistości pomaga chronić również Twoją firmę.

Ale to nie wszystko: Office 365 w rzeczywistości nie daje Twojej organizacji żadnej widoczności na temat ataku phishingowego, blokuje jedynie spam. Ale jeśli chcesz odpowiednio zabezpieczyć swoją domenę, musisz dokładnie wiedzieć, kto lub co próbuje podszyć się pod Twoją markę, i podjąć natychmiastowe działania. DMARC dostarcza takich danych, w tym adresów IP nadużywających źródeł nadawczych, jak również liczby wysyłanych przez nie e-maili. PowerDMARC przenosi to na wyższy poziom dzięki zaawansowanej analityce DM ARC bezpośrednio na pulpicie nawigacyjnym.

Dowiedz się więcej o tym, co PowerDMARC może zrobić dla Twojej marki.

 

Czy wiesz, co jest najgorszym rodzajem oszustwa phishingowego? Taki, którego nie można po prostu zignorować: na przykład CEO Fraud. E-maile rzekomo od rządu, które informują Cię o konieczności uiszczenia zaległej opłaty podatkowej lub ryzykujesz podjęcie kroków prawnych. E-maile, które wyglądają tak, jakby wysłała je Twoja szkoła lub uniwersytet, z prośbą o zapłacenie tego jednego czesnego, które przegapiłeś. Albo nawet wiadomość od Twojego szefa lub dyrektora generalnego, z prośbą o przelanie pieniędzy "w ramach przysługi".

Problem z tego typu mailami polega na tym, że podszywają się one pod autorytet, niezależnie od tego, czy jest to rząd, rada uczelni, czy szef w pracy. Są to ważne osoby, a zignorowanie ich wiadomości prawie na pewno będzie miało poważne konsekwencje. Jesteś więc zmuszony do zapoznania się z nimi, a jeśli wydają się wystarczająco przekonujące, możesz się na nie nabrać.

Przyjrzyjmy się jednak oszustwu CEO. Co to dokładnie jest? Czy może przydarzyć się Tobie? A jeśli tak, co powinieneś zrobić, aby temu zapobiec?

Nie jesteś odporny na oszustwa CEO

Jest tooszustwo warte 2,3 miliarda dolarów rocznie. Możesz się zastanawiać: "Co może sprawić, że firmy stracą tyle pieniędzy na zwykłe oszustwo mailowe?". Ale zdziwilibyście się, jak przekonujące mogą być e-maile z oszustwami CEO.

W 2016 r. firma Mattel prawie straciła 3 miliony dolarów w wyniku ataku phishingowego, gdy pracownik działu finansowego otrzymał e-mail od dyrektora generalnego, instruujący go, jak wysłać płatność do jednego z dostawców w Chinach. Jednak dopiero po późniejszym kontakcie z prezesem firmy zorientowała się, że w ogóle nie wysłał on tego e-maila. Na szczęście, firma współpracowała z organami ścigania w Chinach i USA, aby odzyskać swoje pieniądze kilka dni później, ale to prawie nigdy nie zdarza się w przypadku takich ataków.

Ludzie mają tendencję do wierzenia, że te oszustwa im się nie przydarzą... dopóki im się to nie przytrafi. I to jest ich największy błąd: nieprzygotowanie się na oszustwo CEO.

Oszustwa phishingowe mogą nie tylko kosztować Twoją organizację miliony dolarów, ale mogą mieć trwały wpływ na reputację i wiarygodność Twojej marki. Istnieje ryzyko, że będziesz postrzegany jako firma, która straciła pieniądze w wyniku oszustwa e-mailowego i utracisz zaufanie swoich klientów, których wrażliwe dane osobowe przechowujesz.

Zamiast zajmować się likwidacją szkód po fakcie, warto zabezpieczyć swoje kanały mailowe przed oszustwami typu spear phishing. Oto kilka najlepszych sposobów na to, aby Twoja organizacja nie stała się statystką w raporcie FBI na temat BEC.

Jak zapobiegać oszustwom prezesów: 6 prostych kroków

  1. Szkolić pracowników w zakresie bezpieczeństwa
    Ta kwestia jest absolutnie kluczowa. Pracownicy, a zwłaszcza ci z działu finansowego, muszą zrozumieć, jak działa Business Email Compromise. I nie chodzi tu tylko o nudną, dwugodzinną prezentację o tym, że nie należy zapisywać hasła na karteczce samoprzylepnej. Musisz ich przeszkolić, jak zwracać uwagę na podejrzane znaki wskazujące na to, że wiadomość e-mail jest fałszywa, zwracać uwagę na fałszywe adresy e-mail i nietypowe żądania, które inni pracownicy wydają się zgłaszać za pośrednictwem poczty elektronicznej.
  2. Zwróćuwagę na charakterystyczne oznaki spoofingu
    Oszuści wysyłający wiadomości e-mail stosują różnego rodzaju taktyki, aby skłonić Cię do spełnienia ich żądań. Mogą to być np. pilne prośby/instrukcje dotyczące przelewu pieniędzy, które mają skłonić Cię do szybkiego i bezrefleksyjnego działania, a nawet prośby o dostęp do poufnych informacji dotyczących "tajnego projektu", którymi wyżsi rangą pracownicy nie są jeszcze gotowi się z Tobą podzielić. To są poważne czerwone flagi i musisz sprawdzić dwa i trzy razy, zanim podejmiesz jakiekolwiek działania.
  3. Zapewnij sobie ochronę dzięki DMARC
    Najprostszym sposobem na uniknięcie oszustwa phishingowego jest w ogóle nie otrzymywać wiadomości e-mail. DMARC to protokół uwierzytelniania poczty elektronicznej, który weryfikuje wiadomości e-mail pochodzące z Twojej domeny przed ich dostarczeniem. Kiedy egzekwujesz DMARC w swojej domenie, każdy atakujący podszywający się pod kogoś z Twojej organizacji zostanie wykryty jako nieautoryzowany nadawca, a jego email zostanie zablokowany w Twojej skrzynce odbiorczej. Nie musisz już w ogóle zajmować się spamowanymi mailami.
  4. Uzyskaj wyraźną zgodę na przelewybankowe
    Jest to jeden z najłatwiejszych i najbardziej bezpośrednich sposobów zapobiegania przelewom pieniędzy do niewłaściwych osób. Przed dokonaniem jakiejkolwiek transakcji, wprowadź obowiązek uzyskania wyraźnej zgody od osoby żądającej pieniędzy za pomocą innego kanału niż e-mail. W przypadku większych przelewów, wprowadź obowiązek otrzymania ustnego potwierdzenia.
  5. Flagowanie e-maili z podobnymi rozszerzeniami
    FBI zaleca, aby Twoja organizacja stworzyła reguły systemowe, które automatycznie oznaczają wiadomości e-mail używające rozszerzeń zbyt podobnych do Twoich własnych. Na przykład, jeśli Twoja firma używa rozszerzenia "123-business.com", system może wykrywać i oznaczać e-maile używające rozszerzeń takich jak "123_business.com".
  6. Kupuj podobne nazwy domen
    Atakujący często wykorzystują podobnie wyglądające nazwy domen do wysyłania wiadomości phishingowych. Na przykład, jeśli Twoja organizacja ma w swojej nazwie małą literę "i", mogą oni użyć dużej litery "I" lub zastąpić literę "E" liczbą "3". Dzięki temu zmniejszysz szanse na to, że ktoś użyje bardzo podobnej nazwy domeny, aby wysłać do Ciebie e-mail.

 

Jako dostawca usług DMARC, często dostajemy to pytanie: "Jeśli DMARC po prostu używa uwierzytelniania SPF i DKIM, dlaczego powinniśmy zawracać sobie głowę DMARC? Czy to nie jest po prostu niepotrzebne?"

Na pierwszy rzut oka może się wydawać, że to niewielka różnica, ale rzeczywistość jest zupełnie inna. DMARC nie jest tylko połączeniem technologii SPF i DKIM, jest to zupełnie nowy protokół sam w sobie. Posiada on kilka cech, które czynią go jednym z najbardziej zaawansowanych standardów uwierzytelniania emaili na świecie i absolutną koniecznością dla firm.

Ale poczekaj chwilę. Nie odpowiedzieliśmy dokładnie dlaczego potrzebujesz DMARC. Co on oferuje, czego nie oferują SPF i DKIM? Cóż, to dość długa odpowiedź; zbyt długa jak na jeden wpis na blogu. Więc podzielmy to i porozmawiajmy najpierw o SPF. Na wypadek gdybyś nie był z nim zaznajomiony, oto krótkie wprowadzenie.

Co to jest SPF?

SPF, lub Sender Policy Framework, jest protokołem uwierzytelniania emaili, który chroni odbiorcę emaili przed spoofed emailami. Jest to w zasadzie lista wszystkich adresów IP upoważnionych do wysyłania emaili poprzez Twoje (właściciela domeny) kanały. Kiedy serwer odbiorczy widzi wiadomość z Twojej domeny, sprawdza Twój rekord SPF, który jest opublikowany w Twoim DNS. Jeśli IP nadawcy znajduje się na tej "liście", email zostaje dostarczony. Jeśli nie, serwer odrzuca wiadomość.

Jak widać, SPF całkiem nieźle radzi sobie z ochroną przed wieloma nieprzyjemnymi emailami, które mogą uszkodzić Twoje urządzenie lub narazić na szwank systemy bezpieczeństwa Twojej organizacji. Ale SPF nie jest tak dobry jak niektórzy mogą myśleć. Dzieje się tak dlatego, że ma kilka bardzo poważnych wad. Porozmawiajmy o niektórych z tych problemów.

Ograniczenia SPF

Rekordy SPF nie mają zastosowania do adresu From.

E-maile mają wiele adresów identyfikujących ich nadawcę: adres Od, który zwykle widzisz, oraz adres Ścieżki zwrotnej, który jest ukryty i wymaga jednego lub dwóch kliknięć, aby go zobaczyć. Z włączonym SPF, serwer odbierający email patrzy na ścieżkę zwrotną i sprawdza rekordy SPF domeny z tego adresu.

Problem polega na tym, że atakujący mogą to wykorzystać, używając fałszywej domeny w adresie ścieżki zwrotnej i legalnego (lub wyglądającego na legalny) adresu e-mail w sekcji Od. Nawet jeśli odbiorca sprawdziłby identyfikator nadawcy, najpierw zobaczyłby adres From i zazwyczaj nie zawracałby sobie głowy sprawdzaniem Return Path. W rzeczywistości, większość ludzi nie jest nawet świadoma istnienia czegoś takiego jak adres Return Path.

SPF może być dość łatwo ominięty przez użycie tej prostej sztuczki, a to sprawia, że nawet domeny zabezpieczone SPF są w dużej mierze podatne na ataki.

Rekordy SPF mają ograniczenie DNS lookup

Rekordy SPF zawierają listę wszystkich adresów IP, które zostały upoważnione przez właściciela domeny do wysyłania e-maili. Jednakże, mają one zasadniczą wadę. Serwer odbiorczy musi sprawdzić rekord, aby sprawdzić czy nadawca jest autoryzowany, a żeby zmniejszyć obciążenie serwera, rekordy SPF mają limit 10 odwołań do DNS.

Oznacza to, że jeśli Twoja organizacja korzysta z wielu zewnętrznych dostawców, którzy wysyłają e-maile przez Twoją domenę, rekord SPF może przekroczyć ten limit. O ile nie zostaną odpowiednio zoptymalizowane (co nie jest łatwe do zrobienia samemu), rekordy SPF będą miały bardzo restrykcyjny limit. Gdy przekroczysz ten limit, implementacja SPF zostanie uznana za niepoprawną, a Twój email nie otrzyma SPF. Może to potencjalnie zaszkodzić Twoim wskaźnikom dostarczalności emaili.

 

SPF nie zawsze działa, gdy email jest przekazywany dalej

SPF ma jeszcze jeden krytyczny punkt awarii, który może zaszkodzić dostarczalności Twoich emaili. Jeśli zaimplementowałeś SPF na swojej domenie i ktoś przekazuje dalej Twoją wiadomość, przekazana wiadomość może zostać odrzucona z powodu Twojej polityki SPF.

Dzieje się tak, ponieważ przekazana wiadomość zmieniła odbiorcę, ale adres nadawcy pozostał ten sam. Staje się to problemem, ponieważ wiadomość zawiera adres From oryginalnego nadawcy, ale serwer odbierający widzi inny IP. Adres IP serwera przekierowującego nie jest zawarty w rekordzie SPF oryginalnej domeny nadawcy. Może to spowodować odrzucenie wiadomości przez serwer odbierający.

W jaki sposób DMARC rozwiązuje te problemy?

DMARC używa kombinacji SPF i DKIM do uwierzytelniania emaili. Email musi przejść albo SPF albo DKIM aby przejść DMARC i zostać pomyślnie dostarczony. DMARC dodaje również jedną kluczową cechę, która czyni go o wiele bardziej efektywnym niż SPF lub DKIM: Raportowanie.

Dzięki raportowaniu DMARC, otrzymujesz codzienną informację zwrotną na temat statusu Twoich kanałów e-mail. Obejmuje to informacje o wyrównaniu DMARC, dane o mailach, które nie przeszły uwierzytelnienia oraz szczegóły dotyczące potencjalnych prób spoofingu.

Jeśli zastanawiasz się, co możesz zrobić, aby nie dać się nabrać na spoofing, zapoznaj się z naszym podręcznym przewodnikiem na temat 5 sposobów unikania spoofingu pocztyelektronicznej.

Jeśli chodzi o cyberprzestępczość i zagrożenia bezpieczeństwa, Vendor Email Compromise (VEC) jest wielkim ojcem oszustw e-mailowych. Jest to typ ataku, na który większość organizacji jest najmniej przygotowana i który najprawdopodobniej zostanie przez nie zaatakowany. W ciągu ostatnich 3 lat VEC kosztował organizacje ponad 26 miliardów dolarów. A jego przeprowadzenie może być szokująco proste.

Podobnie jak w przypadku VEC, ataki BEC polegają na tym, że atakujący podszywa się pod osobę na wyższym stanowisku kierowniczym w organizacji i wysyła e-maile do nowo zatrudnionego pracownika, często w dziale finansowym. Żądają oni dokonania przelewu środków lub zapłaty za fałszywe faktury, co jeśli zostanie wykonane wystarczająco dobrze, może przekonać mniej doświadczonego pracownika do zainicjowania transakcji.

Można zrozumieć, dlaczego BEC jest tak dużym problemem wśród dużych organizacji. Trudno jest monitorować działania wszystkich pracowników, a ci mniej doświadczeni są bardziej podatni na to, że dadzą się nabrać na e-mail, który wydaje się pochodzić od ich szefa lub dyrektora finansowego. Kiedy organizacje pytały nas, jaki jest najbardziej niebezpieczny cyberatak, na który muszą uważać, naszą odpowiedzią zawsze był BEC.

To znaczy, do czasu Silent Starling.

Zorganizowany syndykat cyberprzestępczy

Tak zwany Silent Starling to grupa nigeryjskich cyberprzestępców z historią w oszustwach i wyłudzeniach sięgającą 2015 roku. W lipcu 2019 r. zaangażowali się w dużą organizację, podszywając się pod dyrektora generalnego jednego z partnerów biznesowych. W wiadomości e-mail poproszono o nagłą, dokonaną w ostatniej chwili zmianę danych bankowych, żądając pilnego przelewu.

Na szczęście odkryto, że e-mail był fałszywy, zanim doszło do jakiejkolwiek transakcji, ale w toku śledztwa wyszły na jaw niepokojące szczegóły metod działania grupy.

W tak zwanym Vendor Email Compromise (VEC), atakujący przeprowadzają znacznie bardziej skomplikowany i zorganizowany atak, niż ma to miejsce w przypadku konwencjonalnych ataków BEC. Atak składa się z 3 oddzielnych, misternie zaplanowanych faz, które wydają się wymagać o wiele więcej wysiłku niż większość ataków BEC. Oto jak to działa.

VEC: Jak oszukać firmę w 3 krokach

Krok 1: Wprowadzenie się

Atakujący najpierw uzyskują dostęp do konta e-mail jednej lub kilku osób w danej organizacji. Jest to starannie zaplanowany proces: dowiadują się oni, które firmy nie posiadają uwierzytelnionych domen DMARC. Są to łatwe cele do sfałszowania. Atakujący uzyskują dostęp, wysyłając pracownikom phishingowy e-mail, który wygląda jak strona logowania i kradną ich dane logowania. Teraz mają pełny dostęp do wnętrza organizacji.

Krok 2: Zbieranie informacji

Ten drugi krok jest jak faza obserwacji. Przestępcy mogą teraz czytać poufne e-maile i wykorzystywać to, aby mieć oko na pracowników zajmujących się przetwarzaniem płatności i transakcji. Atakujący identyfikują największych partnerów biznesowych i sprzedawców organizacji docelowej. Zbierają informacje na temat wewnętrznego funkcjonowania organizacji - takie rzeczy jak praktyki rozliczeniowe, warunki płatności, a nawet wygląd oficjalnych dokumentów i faktur.

Krok 3: Podejmowanie działań

Mając zebrane informacje, oszuści tworzą niezwykle realistyczny e-mail i czekają na odpowiednią okazję, aby go wysłać (zazwyczaj tuż przed dokonaniem transakcji). E-mail jest skierowany do właściwej osoby we właściwym czasie i przychodzi przez prawdziwe konto firmowe, co sprawia, że jest prawie niemożliwy do zidentyfikowania.

Dzięki doskonałej koordynacji tych 3 kroków, Silent Starling byli w stanie naruszyć systemy bezpieczeństwa organizacji, do której zostali skierowani i prawie udało im się ukraść dziesiątki tysięcy dolarów. Byli jednymi z pierwszych, którzy spróbowali tak wyrafinowanego cyberataku i niestety, z pewnością nie będą ostatnimi.

Nie chcę być ofiarą VEC. Co mam zrobić?

Naprawdę przerażające w przypadku VEC jest to, że nawet jeśli udało Ci się go wykryć, zanim oszuści zdążyli ukraść jakiekolwiek pieniądze, nie oznacza to, że szkody nie zostały wyrządzone. Atakującym nadal udało się uzyskać pełny dostęp do Twoich kont e-mail i komunikacji wewnętrznej, a także uzyskać szczegółowe zrozumienie sposobu funkcjonowania finansów Twojej firmy, systemów billingowych i innych procesów wewnętrznych. Informacje, zwłaszcza tak wrażliwe, pozostawiają Twoją organizację całkowicie odsłoniętą, a atakujący zawsze może próbować kolejnego oszustwa.

Więc co możesz z tym zrobić? Jak możesz zapobiec atakowi VEC?

1. Chroń swoje kanały e-mail

Jednym z najskuteczniejszych sposobów na powstrzymanie oszustw e-mailowych jest niedopuszczenie do tego, aby atakujący rozpoczęli etap 1 procesu VEC. Możesz uniemożliwić cyberprzestępcom uzyskanie pierwszego dostępu, po prostu blokując wiadomości phishingowe, których używają do kradzieży Twoich danych logowania.

Platforma PowerDMARC pozwala na wykorzystanie uwierzytelniania DMARC do powstrzymania napastników przed podszywaniem się pod Twoją markę i wysyłaniem wiadomości phishingowych do Twoich pracowników lub partnerów biznesowych. Pokazuje wszystko, co dzieje się w kanałach e-mailowych i natychmiast alarmuje, gdy coś jest nie tak.

2. Kształć swój personel

Jednym z największych błędów popełnianych nawet przez większe organizacje jest nie zainwestowanie nieco więcej czasu i wysiłku w edukację swoich pracowników w zakresie wiedzy na temat typowych oszustw internetowych, sposobu ich działania oraz tego, na co należy zwracać uwagę.

Odróżnienie prawdziwej wiadomości e-mail od dobrze spreparowanej fałszywki może być bardzo trudne, ale często istnieje wiele znaków ostrzegawczych, które może rozpoznać nawet ktoś, kto nie jest dobrze wyszkolony w zakresie bezpieczeństwa cybernetycznego.

3. Ustanowienie zasad prowadzenia działalności za pośrednictwem poczty elektronicznej

Wiele firm traktuje pocztę elektroniczną jako coś oczywistego, nie zastanawiając się nad ryzykiem związanym z otwartym, niemoderowanym kanałem komunikacji. Zamiast bezgranicznie ufać każdej korespondencji, działaj z założeniem, że osoba po drugiej stronie nie jest tym, za kogo się podaje.

Jeśli musisz sfinalizować jakąś transakcję lub podzielić się z nimi poufnymi informacjami, możesz skorzystać z procesu weryfikacji wtórnej. Może to być cokolwiek, od zadzwonienia do partnera w celu potwierdzenia, lub autoryzacji transakcji przez inną osobę.

Atakujący wciąż znajdują nowe sposoby na atakowanie biznesowych kanałów poczty elektronicznej. Nie możesz sobie pozwolić na bycie nieprzygotowanym.