Atak BEC

Stale rozwijająca się i szerząca się forma cyberprzestępczości, której celem są e-maile jako potencjalne medium do przeprowadzania oszustw, znana jest jako Business Email Compromise. Atak BEC, wymierzony w organizacje komercyjne, rządowe i non-profit, może prowadzić do utraty ogromnych ilości danych, naruszenia bezpieczeństwa i narażenia na szwank aktywów finansowych. Powszechnie panuje błędne przekonanie, że cyberprzestępcy koncentrują się na MNC i organizacjach na poziomie przedsiębiorstw. W dzisiejszych czasach małe i średnie przedsiębiorstwa są w równym stopniu celem oszustw e-mailowych, co więksi gracze branżowi. 

Jak BEC może wpływać na organizacje?

Przykłady ataków BEC to między innymi wyrafinowane ataki socjotechniczne, takie jak phishing, oszustwa na szkodę CEO, fałszywe faktury i spoofing poczty elektronicznej. Atak ten można również określić mianem ataku polegającego na podszywaniu się pod inne osoby, którego celem jest wyłudzenie pieniędzy od firmy poprzez podszywanie się pod osoby zajmujące autorytarne stanowiska. Podszywanie się pod osoby takie jak dyrektor finansowy lub prezes zarządu, partner biznesowy lub ktokolwiek, komu ślepo ufasz, jest tym, co napędza sukces tych ataków.

Luty 2021 roku uchwycił działania rosyjskiego gangu cybernetycznego Cosmic Lynx, ponieważ zastosowali oni wyrafinowane podejście do BEC. Grupa ta była już powiązana z przeprowadzeniem ponad 200 kampanii BEC od lipca 2019 r., których celem było ponad 46 państw na całym świecie, skupiając się na gigantycznych korporacjach MNC, które są obecne na całym świecie. Dzięki wyjątkowo dobrze napisanym e-mailom phishingowym uniemożliwiają ludziom rozróżnienie między prawdziwymi a fałszywymi wiadomościami.

Praca zdalna sprawiła, że aplikacje wideokonferencyjne stały się niezbędnym elementem post-pandemii. Cyberprzestępcy wykorzystują tę sytuację, wysyłając fałszywe e-maile podszywające się pod powiadomienia z platformy wideokonferencyjnej Zoom. Ma to na celu kradzież danych do logowania w celu przeprowadzenia masowych ataków na dane firmowe.

Oczywiste jest, że znaczenie BEC gwałtownie wzrasta w ostatnim czasie, a podmioty odpowiedzialne za zagrożenia wymyślają coraz bardziej wyrafinowane i innowacyjne sposoby ucieczki przed oszustwami. Atak BEC dotyka ponad 70% organizacji na całym świecie i prowadzi do utraty miliardów dolarów każdego roku. Dlatego właśnie eksperci branżowi wymyślają protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC, aby zapewnić wysoki poziom ochrony przed podszywaniem się pod inne osoby.

Co to jest uwierzytelnianie poczty elektronicznej?

Uwierzytelnianie poczty elektronicznej może być określane jako zbiór technik wdrożonych w celu zapewnienia weryfikowalnych informacji o pochodzeniu wiadomości e-mail. Odbywa się to poprzez uwierzytelnianie własności domeny agenta(ów) transferu poczty zaangażowanych w transfer wiadomości.

Simple Mail Transfer Protocol (SMTP), który jest standardem przemysłowym dla przesyłania wiadomości e-mail, nie posiada takiej wbudowanej funkcji uwierzytelniania wiadomości. Dlatego też, wykorzystując brak zabezpieczeń, cyberprzestępcy bardzo łatwo mogą przeprowadzać ataki typu e-mail phishing i domain spoofing. Podkreśla to potrzebę istnienia skutecznych protokołów uwierzytelniania wiadomości e-mail, takich jak DMARC, które rzeczywiście spełniają swoje zadanie!

Kroki zapobiegające atakom BEC za pomocą DMARC

 

Etap 1: Realizacja 

Pierwszym krokiem do walki z atakiem BEC jest skonfigurowanie DMARC dla Twojej domeny. Domain-based Message Authentication, Reporting and Conformance (DMARC) wykorzystuje standardy uwierzytelniania SPF i DKIM do walidacji emaili wysyłanych z Twojej domeny. Określa on serwerom odbiorczym, jak mają reagować na emaile, które nie przejdą jednego lub obu tych testów uwierzytelniania, dając właścicielowi domeny kontrolę nad odpowiedzią odbiorcy. W związku z tym, aby wdrożyć DMARC, będziesz musiał:

  • Zidentyfikuj wszystkie ważne źródła poczty elektronicznej autoryzowane dla Twojej domeny
  • Opublikuj rekord SPF w DNS, aby skonfigurować SPF dla swojej domeny
  • Opublikuj rekord DKIM w DNS, aby skonfigurować DKIM dla Twojej domeny
  • Opublikuj rekord DMARC w DNS, aby skonfigurować DMARC dla swojej domeny

Aby uniknąć zawiłości, możesz użyć darmowych narzędzi PowerDMARC (darmowy generator rekordów SPF, darmowy generator rekordów DKIM, darmowy generator rekordów DMARC) do wygenerowania rekordów z poprawną składnią, natychmiast, aby opublikować je w DNS Twojej domeny.

Etap 2: Egzekwowanie przepisów 

Twoja polityka DMARC może być ustawiona na:

  • p=none (DMARC tylko przy monitorowaniu; wiadomości, które nie przejdą uwierzytelnienia nadal będą dostarczane)
  • p=kwarantanna (DMARC przy egzekwowaniu; wiadomości, które nie przejdą uwierzytelnienia będą poddawane kwarantannie)
  • p=odrzuć (DMARC przy maksymalnym egzekwowaniu; wiadomości, które nie przejdą uwierzytelnienia nie zostaną w ogóle dostarczone)

Zalecamy rozpoczęcie korzystania z DMARC z polityką umożliwiającą jedynie monitorowanie, dzięki czemu można mieć oko na przepływ poczty i problemy z jej dostarczaniem. Jednakże, taka polityka nie zapewni żadnej ochrony przed BEC. Dlatego w końcu trzeba będzie przejść na egzekwowanie DMARC. PowerDMARC pomaga płynnie przejść od monitorowania do egzekwowania w krótkim czasie dzięki polityce p=reject, która pomoże określić serwerom odbiorczym, że email wysłany ze złośliwego źródła przy użyciu Twojej domeny nie zostanie w ogóle dostarczony do skrzynki odbiorczej Twojego odbiorcy.

Etap 3: Monitorowanie i sprawozdawczość 

Ustawiłeś swoją politykę DMARC na egzekwowanie i skutecznie zminimalizowałeś atak BEC, ale czy to wystarczy? Odpowiedź brzmi: nie. Nadal potrzebujesz rozbudowanego i efektywnego mechanizmu raportowania, aby monitorować przepływ emaili i reagować na wszelkie problemy z ich dostarczaniem. Platforma SaaS typu multi-tenant firmy PowerDMARC pomoże Ci:

  • zachowaj kontrolę nad swoją domeną
  • wizualnie monitorować wyniki uwierzytelniania dla każdego e-maila, użytkownika i domeny zarejestrowanej dla Ciebie
  • usuwanie nieuczciwych adresów IP, które próbują podszywać się pod Twoją markę

Raporty DMARC są dostępne na pulpicie nawigacyjnym PowerDMARC w dwóch głównych formatach:

  • Raporty zbiorcze DMARC (dostępne w 7 różnych widokach)
  • Raporty śledcze DMARC (z szyfrowaniem w celu zwiększenia prywatności)

Kulminacja wdrożenia DMARC, egzekwowania i raportowania pomaga drastycznie zmniejszyć szanse na padnięcie ofiarą ataku BEC i podszywania się. 

Czy z filtrami antyspamowymi nadal potrzebuję DMARC?

Tak! DMARC działa zupełnie inaczej niż zwykłe filtry antyspamowe i bramki bezpieczeństwa poczty elektronicznej. Choć rozwiązania te są zazwyczaj zintegrowane z Twoimi usługami wymiany poczty w chmurze, mogą one zaoferować jedynie ochronę przed przychodzącymi próbami phishingu. Wiadomości wysyłane z Twojej domeny, nadal pozostają pod groźbą podszywania się pod nie. Tu właśnie wkracza DMARC.

Dodatkowe wskazówki dotyczące zwiększonego bezpieczeństwa poczty elektronicznej

 

Zawsze nie przekraczaj limitu 10 wyszukiwań DNS 

Przekroczenie limitu SPF 10 lookup może całkowicie unieważnić Twój rekord SPF i spowodować, że nawet legalne emaile nie zostaną uwierzytelnione. W takich przypadkach, jeśli masz ustawiony DMARC na odrzucanie, autentyczne emaile nie zostaną dostarczone. PowerSPF jest Twoim automatycznym i dynamicznym SPF flattenerem, który łagodzi błąd SPF pomagając Ci pozostać poniżej twardego limitu SPF. Automatycznie aktualizuje blokady sieciowe i skanuje zmiany dokonane przez dostawców usług email na ich adresach IP bez konieczności interwencji z Twojej strony.

Zapewnienie szyfrowania TLS dla przesyłanych wiadomości e-mail

Podczas gdy DMARC może ochronić Cię przed atakami socjotechnicznymi i BEC, nadal musisz przygotować się na ataki monitorujące, takie jak Man-in-the-middle (MITM). Można to zrobić poprzez zapewnienie, że połączenie zabezpieczone przez TLS jest negocjowane między serwerami SMTP za każdym razem, gdy wiadomość e-mail jest wysyłana do Twojej domeny. Hostowany MTA-STS firmy PowerDMARC czyni szyfrowanie TLS obowiązkowym w SMTP i jest dostarczany z łatwą procedurą wdrożenia.

Otrzymuj raporty o problemach z dostarczaniem wiadomości e-mail

Po skonfigurowaniu MTA-STS dla domeny można również włączyć raportowanie SMTP TLS w celu uzyskania raportów diagnostycznych dotyczących problemów z dostarczeniem wiadomości e-mail. TLS-RPT pomaga uzyskać wgląd w ekosystem poczty elektronicznej i lepiej reagować na problemy z negocjowaniem bezpiecznego połączenia prowadzące do niedostarczenia wiadomości. Raporty TLS są dostępne w dwóch widokach (raporty zbiorcze dla wyniku i dla źródła wysyłania) na pulpicie nawigacyjnym PowerDMARC.

Zwiększ rozpoznawalność swojej marki dzięki BIMI 

Dzięki BIMI (Brand Indicators for Message Identification) możesz przenieść zapamiętywanie swojej marki na zupełnie nowy poziom, pomagając odbiorcom w wizualnej identyfikacji Twojej firmy w ich skrzynkach odbiorczych. BIMI działa poprzez dołączenie unikalnego logo marki do każdej wiadomości e-mail wysyłanej z Twojej domeny. PowerDMARC sprawia, że wdrożenie BIMI jest łatwe dzięki zaledwie 3 prostym krokom użytkownika.

PowerDMARC to kompleksowe rozwiązanie dla całego szeregu protokołów uwierzytelniania poczty elektronicznej, w tym DMARC, SPF, DKIM, BIMI, MTA-STS i TLS-RPT. Zarejestruj się już dziś, aby otrzymać bezpłatną wersję próbną DMARC Analyzer!