Jak zwalczać ataki typu BEC (Business Email Compromise) za pomocą uwierzytelniania poczty elektronicznej?

blog bec

Stale rozwijająca się i szerząca się forma cyberprzestępczości, której celem są e-maile jako potencjalne medium do przeprowadzania oszustw, znana jest jako Business Email Compromise. Atak BEC, wymierzony w organizacje komercyjne, rządowe i non-profit, może prowadzić do utraty ogromnych ilości danych, naruszenia bezpieczeństwa i narażenia na szwank aktywów finansowych. Powszechnie panuje błędne przekonanie, że cyberprzestępcy koncentrują się na MNC i organizacjach na poziomie przedsiębiorstw. W dzisiejszych czasach małe i średnie przedsiębiorstwa są w równym stopniu celem oszustw e-mailowych, co więksi gracze branżowi. 

Jak BEC może wpływać na organizacje?

Przykłady ataków BEC to między innymi wyrafinowane ataki socjotechniczne, takie jak phishing, oszustwa na szkodę CEO, fałszywe faktury i spoofing poczty elektronicznej. Atak ten można również określić mianem ataku polegającego na podszywaniu się pod inne osoby, którego celem jest wyłudzenie pieniędzy od firmy poprzez podszywanie się pod osoby zajmujące autorytarne stanowiska. Podszywanie się pod osoby takie jak dyrektor finansowy lub prezes zarządu, partner biznesowy lub ktokolwiek, komu ślepo ufasz, jest tym, co napędza sukces tych ataków.

W lutym 2021 r. odnotowano działania rosyjskiego gangu cyberprzestępczego Cosmic Lynx, który przyjął wyrafinowane podejście do BEC. Grupa ta była już powiązana z przeprowadzeniem ponad 200 kampanii BEC od lipca 2019 r., atakując ponad 46 krajów na całym świecie, koncentrując się na gigantycznych korporacjach międzynarodowych, które są obecne na całym świecie. Dzięki niezwykle dobrze napisanym wiadomościom phishingowym uniemożliwiają ludziom odróżnienie prawdziwych wiadomości od fałszywych.

Praca zdalna sprawiła, że aplikacje wideokonferencyjne stały się niezbędnym elementem post-pandemii. Cyberprzestępcy wykorzystują tę sytuację, wysyłając fałszywe e-maile podszywające się pod powiadomienia z platformy wideokonferencyjnej Zoom. Ma to na celu kradzież danych do logowania w celu przeprowadzenia masowych ataków na dane firmowe.

Oczywiste jest, że znaczenie BEC gwałtownie wzrasta w ostatnim czasie, a podmioty odpowiedzialne za zagrożenia wymyślają coraz bardziej wyrafinowane i innowacyjne sposoby ucieczki przed oszustwami. Atak BEC dotyka ponad 70% organizacji na całym świecie i prowadzi do utraty miliardów dolarów każdego roku. Dlatego właśnie eksperci branżowi wymyślają protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC, aby zapewnić wysoki poziom ochrony przed podszywaniem się pod inne osoby.

Co to jest uwierzytelnianie poczty elektronicznej?

Uwierzytelnianie poczty elektronicznej może być określane jako zbiór technik wdrożonych w celu zapewnienia weryfikowalnych informacji o pochodzeniu wiadomości e-mail. Odbywa się to poprzez uwierzytelnianie własności domeny agenta(ów) transferu poczty zaangażowanych w transfer wiadomości.

Simple Mail Transfer Protocol (SMTP), który jest standardem przemysłowym dla przesyłania wiadomości e-mail, nie posiada takiej wbudowanej funkcji uwierzytelniania wiadomości. Dlatego też, wykorzystując brak zabezpieczeń, cyberprzestępcy bardzo łatwo mogą przeprowadzać ataki typu e-mail phishing i domain spoofing. Podkreśla to potrzebę istnienia skutecznych protokołów uwierzytelniania wiadomości e-mail, takich jak DMARC, które rzeczywiście spełniają swoje zadanie!

Kroki zapobiegające atakom BEC za pomocą DMARC

 

Etap 1: Realizacja 

Pierwszym krokiem do walki z atakiem BEC jest skonfigurowanie DMARC dla Twojej domeny. Domain-based Message Authentication, Reporting and Conformance (DMARC) wykorzystuje standardy uwierzytelniania SPF i DKIM do walidacji emaili wysyłanych z Twojej domeny. Określa on serwerom odbiorczym, jak mają reagować na emaile, które nie przejdą jednego lub obu tych testów uwierzytelniania, dając właścicielowi domeny kontrolę nad odpowiedzią odbiorcy. W związku z tym, aby wdrożyć DMARC, będziesz musiał:

  • Zidentyfikuj wszystkie ważne źródła poczty elektronicznej autoryzowane dla Twojej domeny
  • Opublikuj rekord SPF w DNS, aby skonfigurować SPF dla swojej domeny
  • Opublikuj rekord DKIM w DNS, aby skonfigurować DKIM dla Twojej domeny
  • Opublikuj rekord DMARC w DNS, aby skonfigurować DMARC dla swojej domeny.

Aby uniknąć zawiłości, możesz użyć darmowych narzędzi PowerDMARC (darmowy generator rekordów SPF, darmowy generator rekordów DKIM, darmowy generator rekordów DMARC) do wygenerowania rekordów z poprawną składnią, natychmiast, aby opublikować je w DNS Twojej domeny.

Etap 2: Egzekwowanie przepisów 

Polityka DMARC może być ustawiona na:

  • p=none (DMARC tylko przy monitorowaniu; wiadomości, które nie przejdą uwierzytelnienia nadal będą dostarczane)
  • p=kwarantanna (DMARC przy egzekwowaniu; wiadomości, które nie przejdą uwierzytelnienia będą poddawane kwarantannie)
  • p=odrzuć (DMARC przy maksymalnym egzekwowaniu; wiadomości, które nie przejdą uwierzytelnienia nie zostaną w ogóle dostarczone)

Zalecamy rozpoczęcie korzystania z DMARC z polityką umożliwiającą jedynie monitorowanie, dzięki czemu można mieć oko na przepływ poczty i problemy z jej dostarczaniem. Jednakże, taka polityka nie zapewni żadnej ochrony przed BEC. Dlatego w końcu trzeba będzie przejść na egzekwowanie DMARC. PowerDMARC pomaga płynnie przejść od monitorowania do egzekwowania w krótkim czasie dzięki polityce p=reject, która pomoże określić serwerom odbiorczym, że email wysłany ze złośliwego źródła przy użyciu Twojej domeny nie zostanie w ogóle dostarczony do skrzynki odbiorczej Twojego odbiorcy.

Etap 3: Monitorowanie i sprawozdawczość 

Ustawiłeś swoją politykę DMARC na egzekwowanie i skutecznie zminimalizowałeś atak BEC, ale czy to wystarczy? Odpowiedź brzmi: nie. Nadal potrzebujesz rozbudowanego i efektywnego mechanizmu raportowania, aby monitorować przepływ emaili i reagować na wszelkie problemy z ich dostarczaniem. Platforma SaaS typu multi-tenant firmy PowerDMARC pomoże Ci:

  • zachowaj kontrolę nad swoją domeną
  • wizualnie monitorować wyniki uwierzytelniania dla każdego e-maila, użytkownika i domeny zarejestrowanej dla Ciebie
  • usuwanie nieuczciwych adresów IP, które próbują podszywać się pod Twoją markę

Raporty DMARC są dostępne na pulpicie nawigacyjnym PowerDMARC w dwóch głównych formatach:

  • Raporty zbiorcze DMARC (dostępne w 7 różnych widokach)
  • Raporty śledcze DMARC (z szyfrowaniem w celu zwiększenia prywatności)

Kulminacja wdrożenia DMARC, egzekwowania i raportowania pomaga drastycznie zmniejszyć szanse na padnięcie ofiarą ataku BEC i podszywania się. 

Czy z filtrami antyspamowymi nadal potrzebuję DMARC?

Tak! DMARC działa zupełnie inaczej niż zwykłe filtry antyspamowe i bramki bezpieczeństwa poczty elektronicznej. Podczas gdy rozwiązania te są zazwyczaj zintegrowane z usługami wymiany poczty elektronicznej w chmurze, mogą one oferować jedynie ochronę przed przychodzącymi próbami phishingu. Wiadomości wysyłane z Twojej domeny nadal są zagrożone podszywaniem się pod inne osoby. Tutaj właśnie wkracza DMARC.

Dodatkowe wskazówki dotyczące zwiększonego bezpieczeństwa poczty elektronicznej

 

Atak BEC

Zawsze nie przekraczaj limitu 10 wyszukiwań DNS 

Przekroczenie limitu SPF 10 lookup może całkowicie unieważnić Twój rekord SPF i spowodować, że nawet legalne emaile nie zostaną uwierzytelnione. W takich przypadkach, jeśli masz ustawiony DMARC na odrzucanie, autentyczne emaile nie zostaną dostarczone. PowerSPF jest Twoim automatycznym i dynamicznym SPF flattenerem, który łagodzi błąd SPF pomagając Ci pozostać poniżej twardego limitu SPF. Automatycznie aktualizuje blokady sieciowe i skanuje zmiany dokonane przez dostawców usług email na ich adresach IP bez konieczności interwencji z Twojej strony.

Zapewnienie szyfrowania TLS dla przesyłanych wiadomości e-mail

Podczas gdy DMARC może chronić Cię przed atakami socjotechnicznymi i BEC, nadal musisz przygotować się na wszechobecne ataki monitorujące, takie jak Man-in-the-middle (MITM). Można to zrobić poprzez zapewnienie, że połączenie zabezpieczone przez TLS jest negocjowane pomiędzy serwerami SMTP za każdym razem, gdy wiadomość e-mail jest wysyłana do Twojej domeny. Hostowany MTA-STS firmy PowerDMARC sprawia, że szyfrowanie TLS jest obowiązkowe w SMTP i jest dostarczane z łatwą procedurą implementacji.

Otrzymuj raporty o problemach z dostarczaniem wiadomości e-mail

Po skonfigurowaniu MTA-STS dla domeny można również włączyć raportowanie SMTP TLS w celu uzyskania raportów diagnostycznych dotyczących problemów z dostarczeniem wiadomości e-mail. TLS-RPT pomaga uzyskać wgląd w ekosystem poczty elektronicznej i lepiej reagować na problemy z negocjowaniem bezpiecznego połączenia prowadzące do niedostarczenia wiadomości. Raporty TLS są dostępne w dwóch widokach (raporty zbiorcze dla wyniku i dla źródła wysyłania) na pulpicie nawigacyjnym PowerDMARC.

Zwiększ rozpoznawalność swojej marki dzięki BIMI 

Dzięki BIMI (Brand Indicators for Message Identification) możesz przenieść zapamiętywanie swojej marki na zupełnie nowy poziom, pomagając odbiorcom w wizualnej identyfikacji Twojej firmy w ich skrzynkach odbiorczych. BIMI działa poprzez dołączenie unikalnego logo marki do każdej wiadomości e-mail wysyłanej z Twojej domeny. PowerDMARC sprawia, że wdrożenie BIMI jest łatwe dzięki zaledwie 3 prostym krokom użytkownika.

PowerDMARC to kompleksowe rozwiązanie dla całego szeregu protokołów uwierzytelniania poczty elektronicznej, w tym DMARC, SPF, DKIM, BIMI, MTA-STS i TLS-RPT. Zarejestruj się już dziś, aby otrzymać bezpłatną wersję próbną DMARC Analyzer!

Atak BEC

Latest posts by Ahona Rudra (zobacz wszystkie)
/przez
Możesz także polubić
nie znaleziono rekordu spf blogJak naprawić błąd "Nie znaleziono rekordu SPF"?
chronić przed spoofingiem blogaJak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy?
blog o ryzyku spoofingu nzOrganizacje NZ wykazujące niski poziom zgodności z DMARC
Jak powstrzymać e-maile przed trafieniem do folderu "śmieci"?Jak powstrzymać moje e-maile przed trafieniem do folderu śmieci?
komunikat dla prasyPowerDMARC poszerza grono doradców wykonawczych, witając nowego członka
ali saqibPowerDMARC wita dr Saqib Ali w roli członka Rady Doradczej
Jak rozwiązać problem zbyt wielu wyszukiwań DNS?zbyt wiele wyszukiwań dnsJak powstrzymać e-maile przed trafieniem do folderu "śmieci"?Jak powstrzymać moje e-maile przed trafieniem do folderu śmieci?