Электронная почта часто является первым выбором для киберпреступников, когда они запускают, потому что ее так легко использовать. В отличие от атак с применением грубой силы, требующих больших вычислительных мощностей, или более изощренных методов, требующих высокого уровня мастерства, подделка домена может быть такой же простой, как написание электронного письма, выдающего себя за кого-то другого. Во многих случаях этот "кто-то другой" является основной программной сервисной платформой, на которую люди полагаются при выполнении своей работы.

Именно это произошло между 15 и 30 апреля 2020 года, когда наши аналитики по безопасности PowerDMARC обнаружили новую волну фишинговых электронных писем, нацеленных на ведущие страховые компании на Ближнем Востоке. Эта атака была лишь одной из многих других в недавнем увеличении числа случаев фишинга и спуфинга во время кризиса Covid-19. Уже в феврале 2020 года другая крупная фишинговая афера зашла настолько далеко, что выдала себя за Всемирную организацию здравоохранения, рассылая тысячи людей по электронной почте письма с просьбами о пожертвованиях на помощь в борьбе с коронавирусом.

В этой недавней серии инцидентов пользователи службы Microsoft Office 365 получали, казалось бы, обычные сообщения с обновлениями, касающимися состояния их пользовательских учетных записей. Эти сообщения приходили с собственных доменов организаций, предлагая пользователям сбросить свои пароли или переходить по ссылкам для просмотра ожидающих обновления уведомлений.

Мы составили список некоторых почтовых заголовков, которые мы наблюдали:

  • необычные действия при входе в систему Microsoft
  • У вас есть (3) сообщения, ожидающие доставки на вашу электронную почту [email protected]* Портал!
  • [email protected] You Have Pending Microsoft Office UNSYNC Messages
  • Повторная активация Сводное уведомление для [email protected]

* данные аккаунта изменены для обеспечения конфиденциальности пользователей

Вы также можете просмотреть образец почтового заголовка, используемого в поддельном письме, отправленном в страховую компанию:

Получено: из [вредоносный_ип(привет= злоумышленное_домен)

id 1jK7RC-000uju-6x

для [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-подпись: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Получено: из [xxxxx] (порт=58502 helo=xxxxx)

по адресу злоумышленное_домен с esmtpsa (TLSv1.2:ECDHE-RSA-AES2) 56-ГКМ-ША384:256)

От: "Команда по работе с учетными записями Microsoft" 

За: [email protected]

Объект: Уведомление Microsoft Office для [email protected] по телефону 4/1/2020 23:46.

Дата: 2 апреля 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

символ="utf-8″

Контент-трансфер-Обновление: цитируемый текст для печати

X-AntiAbuse: Этот заголовок был добавлен для отслеживания злоупотреблений, пожалуйста, включите его в любое сообщение о злоупотреблениях.

X-AntiAbuse: Имя основного хоста - злоумышленное_домен

X-AntiAbuse: Original Domain - домен.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Адрес отправителя Домен - domain.com

X-Get-Message-Sender-Via: злоумышленный_домен: authenticated_id: [email protected]_domain

Аутентифицированный отправитель: malicious_domain: [email protected]_domain

Икс-источник: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( домен domain.com не обозначает вредоносный_ip_адрес как разрешенный отправитель) клиент-ip= вредоносный_ip_адрес конверт от=[email protected]аллозлоумышленное_домен;

X-SPF-Result: домен domain.com не обозначает вредоносный_ip_адрес разрешённый отправитель

X-Sender-Warning: Обратный просмотр DNS не удался для вредоносный_ip_адрес (не удалось)

X-DKIM-статус: нет / / домен.com / / /

X-DKIM-статус: проездной / / злоумышленное_домен / злоумышленное_домен / / по умолчанию

 

Наш центр управления безопасностью отследил ссылки электронной почты на фишинговые URL-адреса, предназначенные для пользователей Microsoft Office 365. Эти URL-адреса были перенаправлены на зараженные сайты в различных местах по всему миру.

Просто посмотрев на эти почтовые заголовки, невозможно будет сказать, что их отправил кто-то, подделывающий домен вашей организации. Мы привыкли к постоянному потоку рабочих или связанных с учетными записями писем, предлагающих нам войти в различные онлайн-сервисы, такие как Office 365. Подделка домена использует это, делая их фальшивые, вредоносные электронные письма неотличимыми от подлинных. Практически невозможно узнать, без тщательного анализа электронной почты, поступает ли она из доверенного источника. А с десятками писем, приходящих каждый день, ни у кого нет времени на тщательный анализ каждого из них. Единственным решением будет использование механизма аутентификации, который будет проверять все письма, отправленные с вашего домена, и блокировать только те письма, которые были отправлены кем-то, кто отправил их без авторизации.

Этот механизм аутентификации называется DMARC. И как один из ведущих поставщиков решений по безопасности электронной почты в мире, мы в PowerDMARC поставили перед собой задачу, чтобы вы поняли важность защиты домена вашей организации. Не только для себя, но и для всех, кто доверяет и зависит от вас, чтобы каждый раз доставлять безопасную, надежную электронную почту в свой почтовый ящик.

О рисках спуфинга можно прочитать здесь: https://powerdmarc.com/stop-email-spoofing/.

Узнайте, как защитить свой домен от подделок и повысить бренд, здесь: https://powerdmarc.com/what-is-dmarc/.

В то время как по всему миру организации создают благотворительные фонды для борьбы с Covid-19, в электронных каналах Интернета ведется битва иного рода. Во время пандемии коронавируса тысячи людей по всему миру стали жертвами поддельных электронных писем и мошенничества с использованием электронной почты covid-19. Все чаще можно видеть, как киберпреступники используют в своих электронных письмах настоящие доменные имена этих организаций, чтобы выглядеть легитимными.

В ходе последней громкой аферы с коронавирусом по всему миру было разослано электронное письмо якобы от Всемирной организации здравоохранения (ВОЗ) с просьбой о пожертвованиях в Фонд солидарного реагирования. Адрес отправителя был '[email protected]', где 'who.int' - настоящее доменное имя ВОЗ. Было подтверждено, что письмо является фишинговой аферой, но на первый взгляд все признаки указывали на то, что отправитель был настоящим. В конце концов, домен принадлежал настоящей ВОЗ.

фонд реагирования на пожертвования

Однако это лишь одна из растущих серий фишинговых афер, использующих электронные письма, связанные с коронавирусом, для кражи денег и конфиденциальной информации у людей. Но если отправитель использует настоящее доменное имя, как отличить легитимное письмо от поддельного? Почему киберпреступники так легко могут использовать подделку почтового домена в такой крупной организации?

И как такие организации, как ВОЗ, узнают о том, что кто-то использует свой домен для совершения фишинговой атаки?

Электронная почта является наиболее широко используемым инструментом делового общения в мире, но при этом полностью открытым протоколом. Само по себе очень мало, чтобы отслеживать, кто что посылает и с какого адреса электронной почты. Это становится огромной проблемой, когда злоумышленники маскируются под доверенный бренд или общественную фигуру, прося людей дать им свои деньги и личную информацию. На самом деле, более 90% всех утечек данных компании за последние годы были связаны с фишингом электронной почты в той или иной форме. А подделка почтового домена является одной из основных причин этого.

Для обеспечения безопасности электронной почты были разработаны такие протоколы, как Sender Policy Framework (SPF) и Domain Keys Identified Mail (DKIM). SPF перепроверяет IP-адрес отправителя с утвержденным списком IP-адресов, а DKIM использует зашифрованную цифровую подпись для защиты электронной почты. Несмотря на то, что оба эти метода являются эффективными в индивидуальном порядке, они имеют свой собственный набор недостатков. DMARC, который был разработан в 2012 году, является протоколом, который использует SPF и DKIM аутентификацию для защиты электронной почты, и имеет механизм, который посылает отчет владельцу домена в случае, если электронная почта не прошла проверку DMARC.

Это означает, что владелец домена уведомляется всякий раз, когда электронная почта отправляется неавторизованной третьей стороной. И, что очень важно, они могут рассказать получателю электронной почты, как обрабатывать неавторизованную почту: отпустить ее в почтовый ящик, поместить ее в карантин или отклонить полностью. Теоретически это должно остановить затопление почтовых ящиков и уменьшить количество фишинговых атак, с которыми мы сталкиваемся. Так почему бы и нет?

Может ли DMARC предотвратить подмену домена и мошенничество с использованием электронной почты Covid-19?

Аутентификация электронной почты требует, чтобы домены отправителей публиковали свои записи SPF, DKIM и DMARC в DNS. Согласно исследованию, в 2018 году только 44,9% из 1 млн доменов Alexa имели действующую запись SPF, а всего лишь 5,1% имели действующую запись DMARC. И это при том, что домены без DMARC-аутентификации страдают от спуфинга почти в четыре раза чаще, чем домены, которые защищены. Отсутствие серьезного внедрения DMARC во всем деловом мире, и за прошедшие годы ситуация не стала лучше. Даже такие организации, как ЮНИСЕФ, еще не внедрили DMARC в свои домены, а Белый дом и Министерство обороны США имеют политику DMARC p = none, что означает, что она не соблюдается.

Опрос, проведенный экспертами из Virginia Tech, выявил некоторые из наиболее серьезных проблем, на которые ссылаются крупные компании и предприятия, еще не использующие DMARC-аутентификацию:

  1. Трудности с развертыванием: Строгое соблюдение протоколов безопасности часто означает высокий уровень координации в крупных учреждениях, на что у них часто не хватает ресурсов. Кроме того, многие организации не имеют большого контроля над своей DNS, поэтому публикация записей DMARC становится еще более сложной.
  2. Преимущества не перевешивают затраты: DMARC-аутентификация обычно имеет прямые преимущества для получателя электронной почты, а не для владельца домена. Отсутствие серьезной мотивации для принятия нового протокола не позволило многим компаниям внедрить DMARC в свои системы.
  3. Риск взлома существующей системы: Относительная новизна DMARC делает его более склонным к неправильной реализации, что приводит к весьма реальному риску того, что законные сообщения электронной почты не будут проходить. Предприятия, которые полагаются на электронную почту, не могут позволить себе этого, и поэтому не стоит беспокоиться о принятии DMARC вообще.

Понимая, зачем нам нужен DMARC

Несмотря на то, что опасения, высказанные предприятиями в ходе опроса, имеют очевидные преимущества, это не делает внедрение DMARC менее обязательным для безопасности электронной почты. Чем дольше предприятия продолжают функционировать без домена, сертифицированного по DMARC, тем больше мы подвергаем себя реальной опасности фишинговых атак на электронную почту. Как нас научили коронавирусные почтовые аферы, подделывающие электронную почту, никто не застрахован от того, чтобы стать мишенью или выдать себя за другое лицо. Думайте о DMARC как о вакцине - с ростом числа людей, использующих ее, шансы подхватить инфекцию резко снижаются.

Существуют реальные, жизнеспособные решения этой проблемы, которые могли бы преодолеть опасения людей по поводу принятия DMARC. Вот только некоторые из них, которые могли бы увеличить реализацию с большим запасом:

  1. Уменьшение трудностей при внедрении: Самым большим препятствием, стоящим на пути компании к внедрению DMARC, являются связанные с этим расходы на развертывание. Экономика находится в упадке, а ресурсы ограничены. Именно поэтому PowerDMARC вместе с нашими промышленными партнерами Global Cyber Alliance (GCA) с гордостью объявляет об ограниченном предложении на время пандемии Covid-19 - 3 месяца нашего полного пакета приложений, внедрения DMARC и услуг по борьбе со спуфингом совершенно бесплатно. Настройте свое решение DMARC за считанные минуты и начните контролировать свою электронную почту с помощью PowerDMARC прямо сейчас.
  2. Улучшение восприятия Полезности: Для того, чтобы DMARC оказал значительное влияние на безопасность электронной почты, ему нужна критическая масса пользователей для публикации своих записей SPF, DKIM и DMARC. Награждая домены, сертифицированные DMARC, значком "Trusted" или "Verified" (как в случае с продвижением HTTPS среди веб-сайтов), владельцы доменов могут быть заинтересованы в получении положительной репутации своего домена. Как только это достигает определенного порога, домены, защищенные DMARC, будут рассматриваться более благосклонно, чем те, которые не являются таковыми.
  3. Оптимизированное развертывание: Упрощая развертывание и настройку антиспуфинговых протоколов, большее количество доменов будет приемлемо для DMARC-аутентификации. Одним из способов сделать это является разрешение протокола работать в 'Режиме мониторинга', позволяя администраторам электронной почты оценивать его воздействие на свои системы, прежде чем приступать к полной установке.

Каждое новое изобретение влечет за собой новые проблемы. Каждая новая проблема заставляет нас искать новый способ ее преодоления. DMARC существует уже несколько лет, но фишинг существует гораздо дольше. В последние недели пандемия Covid-19 лишь придала ему новое лицо. Мы в PowerDMARC готовы помочь вам решить эту новую проблему. Зарегистрируйтесь здесь и получите бесплатный DMARC-анализатор, чтобы, пока вы сидите дома в безопасности от коронавируса, ваш домен был в безопасности от подделки электронной почты.