Jak oszustwa phishingowe wykorzystują Office 365 do atakowania firm ubezpieczeniowych

Poczta elektroniczna jest często pierwszym wyborem cyberprzestępców, gdy rozpoczynają działania, ponieważ jest tak łatwa do wykorzystania. W przeciwieństwie do ataków typu brute-force, które wymagają dużej mocy obliczeniowej, lub bardziej wyrafinowanych metod, które wymagają wysokich umiejętności, spoofing domeny może być tak prosty, jak napisanie wiadomości e-mail podszywającej się pod kogoś innego. W wielu przypadkach, tym "kimś innym" jest duża platforma oprogramowania, na której ludzie polegają w swojej pracy.

Tak właśnie stało się między 15 a 30 kwietnia 2020 r., kiedy to nasi analitycy bezpieczeństwa z PowerDMARC odkryli nową falę wiadomości ph ishingowych skierowanych do wiodących firm ubezpieczeniowych na Bliskim Wschodzie. Atak ten był tylko jednym z wielu innych w ostatnim wzroście liczby przypadków phishingu i spoofingu podczas kryzysu Covid-19. Już w lutym 2020 r. inne duże oszustwo phishingowe posunęło się tak daleko, że podszyło się pod Światową Organizację Zdrowia, wysyłając e-maile do tysięcy osób z prośbą o darowizny na pomoc w związku z koronawirusem.

firmy ubezpieczeniowe

W ostatniej serii incydentów użytkownicy usługi Office 365 firmy Microsoft otrzymywali wiadomości e-mail, które wyglądały jak rutynowe wiadomości aktualizacyjne dotyczące stanu ich kont użytkowników. Wiadomości te pochodziły z domen ich organizacji i zawierały prośbę o zresetowanie haseł lub kliknięcie na linki w celu wyświetlenia oczekujących powiadomień.

Stworzyliśmy listę niektórych z zaobserwowanych przez nas tytułów emaili, które były używane:

  • Nietypowa aktywność logowania na konto Microsoft
  • Masz (3) wiadomości oczekujące na doręczenie na swojej poczcie elektronicznej [email protected]* Portal !
  • user@domain Masz oczekujące komunikaty Microsoft Office UNSYNC
  • Powiadomienie zbiorcze o ponownej aktywacji dla [email protected]

*dane konta zostały zmienione dla prywatności użytkowników

Możesz również zobaczyć przykładowy nagłówek maila użytego w wiadomości spoofed wysłanej do firmy ubezpieczeniowej:

Odebrano: z [malicious_ip] (helo= złośliwa_domena)

Id 1jK7RC-000uju-6x

dla [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Odebrano: od [xxxx] (port=58502 helo=xxxxx)

przez złośliwa_domena z esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Od: "Zespół ds. kont Microsoft" 

Do: [email protected]

Przedmiot: Powiadomienie Microsoft Office dla [email protected] w dniu 4/1/2020 23:46

Data: 2 kwietnia 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Ten nagłówek został dodany w celu śledzenia nadużyć, prosimy o dołączenie go do każdego zgłoszenia nadużycia

X-AntiAbuse: Primary Hostname - złośliwa_domena

X-AntiAbuse: Original Domain -. domena.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Adres nadawcy Domena - domena.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain of domain.com nie wyznacza złośliwy_ip_adres jako dozwolonego nadawcy) client-ip= złośliwy_ip_adres ; envelope-from=[email protected]; helo=złośliwa_domena;

X-SPF-Result: domena domena.com nie wyznacza złośliwy_ip_adres jako dozwolonego nadawcy

X-Sender-Warning: Reverse DNS lookup failed for złośliwy_ip_adres (failed)

X-DKIM-Status: brak / / domena.com / / /

X-DKIM-Status: pass / / złośliwa_domena / złośliwa_domena / default

 

Nasze Centrum Operacji Bezpieczeństwa prześledziło linki do wiadomości e-mail z phishingowymi adresami URL, które były skierowane do użytkowników Microsoft Office 365. Te adresy URL przekierowywały do zagrożonych witryn w różnych miejscach na świecie.

Patrząc tylko na tytuły tych wiadomości, nie sposób stwierdzić, że zostały one wysłane przez kogoś, kto podszywa się pod domenę Twojej organizacji. Jesteśmy przyzwyczajeni do stałego strumienia wiadomości e-mail związanych z pracą lub kontem, które nakłaniają nas do zalogowania się do różnych usług online, takich jak Office 365. Spofing domen wykorzystuje ten fakt, sprawiając, że fałszywe, złośliwe wiadomości e-mail są nie do odróżnienia od prawdziwych. Praktycznie nie ma sposobu, aby dowiedzieć się, bez dokładnej analizy wiadomości e-mail, czy pochodzi ona z zaufanego źródła. A przy dziesiątkach maili przychodzących do nas codziennie, nikt nie ma czasu na dokładne sprawdzanie każdego z nich. Jedynym rozwiązaniem byłoby zastosowanie mechanizmu uwierzytelniania, który sprawdzałby wszystkie e-maile wysyłane z Twojej domeny i blokował tylko te, które zostały wysłane przez kogoś, kto wysłał je bez autoryzacji.

firmy ubezpieczeniowe

Ten mechanizm uwierzytelniania nazywa się DMARC. Jako jeden z wiodących dostawców rozwiązań bezpieczeństwa poczty elektronicznej na świecie, w PowerDMARC postawiliśmy sobie za cel uświadomienie Ci, jak ważna jest ochrona domeny Twojej organizacji. Nie tylko dla siebie, ale dla wszystkich, którzy ufają i polegają na Tobie w kwestii dostarczania bezpiecznych, niezawodnych wiadomości e-mail do ich skrzynek odbiorczych, za każdym razem.

O zagrożeniach związanych ze spoofingiem można przeczytać tutaj: https://powerdmarc.com/stop-email-spoofing/

Dowiedz się, jak możesz chronić swoją domenę przed spoofingiem i wzmocnić swoją markę tutaj: https://powerdmarc.com/what-is-dmarc/

firmy ubezpieczeniowe

/przez

Jak napastnicy wykorzystują koronawirusa do wyłudzania informacji

Podczas gdy organizacje zakładają na całym świecie fundusze charytatywne do walki z Covid-19, inny rodzaj walki toczy się w elektronicznych przewodach Internetu. Podczas pandemii koronawirusa tysiące ludzi na całym świecie padło ofiarą spoofingu i oszustw e-mailowych związanych z Covid-19. Coraz częściej zdarza się, że cyberprzestępcy wykorzystują w swoich e-mailach prawdziwe nazwy domen tych organizacji, aby sprawić wrażenie, że są one legalne.

W najnowszym głośnym oszustwie związanym z koronawirusem, na cały świat rozesłano e-mail rzekomo pochodzący od Światowej Organizacji Zdrowia (WHO), w którym proszono o wpłaty na Fundusz Solidarności Reagowania. Adres nadawcy to "[email protected]", gdzie "who.int" to prawdziwa nazwa domeny WHO. Potwierdzono, że e-mail jest oszustwem phishingowym, ale na pierwszy rzut oka wszystko wskazywało na to, że nadawca jest prawdziwy. W końcu domena należała do prawdziwego WHO.

darowizna fundusz reagowania

Jednak jest to tylko jedno z coraz większej serii oszustw phishingowych, które wykorzystują e-maile związane z koronawirusem do kradzieży pieniędzy i poufnych informacji od ludzi. Ale jeśli nadawca posługuje się prawdziwą nazwą domeny, jak możemy odróżnić prawdziwą wiadomość e-mail od fałszywej? Dlaczego cyberprzestępcom tak łatwo udaje się wykorzystać spoofing domeny e-mail w tak dużej organizacji?

A skąd podmioty takie jak WHO mają wiedzieć, że ktoś używa ich domeny do przeprowadzenia ataku phishingowego?

Poczta elektroniczna jest najpowszechniej używanym narzędziem komunikacji biznesowej na świecie, a mimo to jest protokołem całkowicie otwartym. Sam w sobie, bardzo niewiele pozwala na monitorowanie, kto wysyła jakie wiadomości i z jakiego adresu e-mail. Staje się to ogromnym problemem, gdy atakujący podszywają się pod zaufaną markę lub osobę publiczną, prosząc ludzi o przekazanie im swoich pieniędzy i danych osobowych. W rzeczywistości, ponad 90% wszystkich przypadków naruszenia danych firmowych w ostatnich latach wiązało się z phishingiem e-mailowym w takiej czy innej formie. A spoofing domeny e-mail jest jedną z głównych przyczyn tego zjawiska.

W celu zabezpieczenia poczty elektronicznej opracowano protokoły takie jak Sender Policy Framework (SPF) i Domain Keys Identified Mail (DKIM). SPF sprawdza adres IP nadawcy z zatwierdzoną listą adresów IP, a DKIM używa zaszyfrowanego podpisu cyfrowego do ochrony poczty. Podczas gdy oba te rozwiązania są efektywne, mają też swoje własne wady. DMARC, który został opracowany w 2012 roku, jest protokołem, który wykorzystuje zarówno uwierzytelnianie SPF jak i DKIM do zabezpieczenia poczty elektronicznej i posiada mechanizm, który wysyła właścicielowi domeny raport za każdym razem, gdy wiadomość e-mail nie przejdzie walidacji DMARC.

Oznacza to, że właściciel domeny jest powiadamiany o każdym emailu wysłanym przez nieautoryzowaną stronę trzecią. I co najważniejsze, może on poinformować odbiorcę poczty, jak ma postępować z nieautoryzowaną pocztą: przepuścić ją do skrzynki odbiorczej, poddać kwarantannie lub całkowicie odrzucić. Teoretycznie powinno to powstrzymać złe wiadomości przed zalewaniem skrzynek pocztowych i zmniejszyć liczbę ataków phishingowych, z którymi mamy do czynienia. Dlaczego jednak tak się nie dzieje?

Czy DMARC może zapobiec Domain Spoofing i oszustwom e-mailowym typu Covid-19?

Uwierzytelnianie poczty elektronicznej wymaga, aby domeny nadawców publikowały swoje rekordy SPF, DKIM i DMARC w DNS. Według badań, tylko 44,9% z 1 miliona domen Alexa top miało ważny rekord SPF opublikowany w 2018 roku, a tylko 5,1% miało ważny rekord DMARC. I to pomimo faktu, że domeny bez uwierzytelnienia DMARC cierpią z powodu spoofingu prawie czterokrotnie częściej niż domeny, które są zabezpieczone. W całym krajobrazie biznesowym brakuje poważnego wdrożenia DMARC, a sytuacja ta nie uległa poprawie na przestrzeni lat. Nawet organizacje takie jak UNICEF nie wdrożyły jeszcze DMARC w swoich domenach, a Biały Dom i Departament Obrony USA mają politykę DMARC p = brak, co oznacza, że nie są one egzekwowane.

Badanie przeprowadzone przez ekspertów z Virginia Tech ujawniło niektóre z najpoważniejszych obaw wymienianych przez duże firmy i przedsiębiorstwa, które jeszcze nie używają uwierzytelniania DMARC:

  1. Trudności z wdrożeniem: Rygorystyczne egzekwowanie protokołów bezpieczeństwa często oznacza wysoki poziom koordynacji w dużych instytucjach, na co często nie mają one zasobów. Ponadto, wiele organizacji nie ma zbyt dużej kontroli nad swoim DNS, więc publikowanie rekordów DMARC staje się jeszcze większym wyzwaniem.
  2. Korzyści nie przewyższające kosztów: Uwierzytelnianie DMARC ma zazwyczaj bezpośrednie korzyści dla odbiorcy wiadomości e-mail, a nie dla właściciela domeny. Brak poważnej motywacji do przyjęcia nowego protokołu powstrzymał wiele firm przed włączeniem DMARC do swoich systemów.
  3. Ryzyko złamania istniejącego systemu: Względna nowość DMARC sprawia, że jest on bardziej podatny na niewłaściwe wdrożenie, co podnosi bardzo realne ryzyko, że legalne e-maile nie przejdą. Firmy, które polegają na obiegu poczty elektronicznej nie mogą sobie na to pozwolić, więc nie zawracają sobie głowy przyjmowaniem DMARC w ogóle.

Wiedza o tym, dlaczego potrzebujemy DMARC

Podczas gdy obawy wyrażone przez firmy w ankiecie mają oczywiste uzasadnienie, nie sprawia to, że wdrożenie DMARC jest mniej istotne dla bezpieczeństwa poczty elektronicznej. Im dłużej firmy będą funkcjonować bez domeny uwierzytelnionej przez DMARC, tym bardziej wszyscy narażamy się na bardzo realne niebezpieczeństwo ataków phishingowych. Jak nauczyły nas oszustwa związane z podszywaniem się pod koronawirusa, nikt nie jest bezpieczny przed byciem celem ataku lub podszywaniem się pod inną osobę. Pomyśl o DMARC jak o szczepionce - wraz ze wzrostem liczby osób z niej korzystających, szanse na złapanie infekcji drastycznie spadają.

Istnieją rzeczywiste, realne rozwiązania tego problemu, które mogą przezwyciężyć obawy ludzi związane z przyjęciem DMARC. Oto tylko kilka z nich, które mogą znacznie przyspieszyć wdrożenie:

  1. Zmniejszenie tarć we wdrażaniu: Największą przeszkodą stojącą na drodze firmy do przyjęcia DMARC są związane z tym koszty wdrożenia. Gospodarka jest w dołku, a zasoby są ograniczone. Dlatego też PowerDMARC wraz z naszymi partnerami przemysłowymi Global Cyber Alliance (GCA) z dumą ogłaszają ograniczoną czasowo ofertę w czasie pandemii Covid-19 - 3 miesiące naszego pełnego pakietu aplikacji, wdrożenia DMARC i usług antyspoofingowych, całkowicie za darmo. Skonfiguruj swoje rozwiązanie DMARC w kilka minut i zacznij monitorować swoje wiadomości e-mail za pomocą PowerDMARC już teraz.
  2. Poprawa postrzeganej użyteczności: Aby DMARC miał znaczący wpływ na bezpieczeństwo poczty elektronicznej, potrzebuje krytycznej masy użytkowników, którzy opublikują swoje rekordy SPF, DKIM i DMARC. Poprzez nagradzanie domen uwierzytelnionych DMARC ikoną "Zaufany" lub "Zweryfikowany" (podobnie jak w przypadku promocji HTTPS wśród stron internetowych), właściciele domen mogą być zachęcani do uzyskania pozytywnej reputacji dla swojej domeny. Gdy osiągnie ona pewien próg, domeny chronione przez DMARC będą postrzegane bardziej przychylnie niż te, które nie są chronione.
  3. Usprawnione wdrażanie: Dzięki ułatwieniu wdrażania i konfiguracji protokołów antyspoofingowych, więcej domen zgodzi się na uwierzytelnianie DMARC. Jednym ze sposobów, w jaki można to zrobić, jest umożliwienie działania protokołu w "trybie monitorowania", pozwalając administratorom poczty elektronicznej na ocenę wpływu, jaki ma on na ich systemy przed pełnym wdrożeniem.

Każdy nowy wynalazek niesie ze sobą nowe wyzwania. Każde nowe wyzwanie zmusza nas do znalezienia nowego sposobu na jego pokonanie. DMARC istnieje już od kilku lat, ale phishing istnieje o wiele dłużej. W ostatnich tygodniach pandemia Covid-19 sprawiła, że zyskał on tylko nowe oblicze. W PowerDMARC jesteśmy tu po to, aby pomóc Ci stawić czoła temu nowemu wyzwaniu. Zarejestruj się tutaj, aby otrzymać darmowy analizator DMARC, dzięki któremu podczas gdy Ty pozostaniesz w domu bezpieczny przed koronawirusem, Twoja domena będzie bezpieczna przed spoofingiem poczty elektronicznej.

firmy ubezpieczeniowe

/przez