В то время как по всему миру организации создают благотворительные фонды для борьбы с Covid-19, в электронных каналах Интернета ведется битва иного рода. Во время пандемии коронавируса тысячи людей по всему миру стали жертвами поддельных электронных писем и мошенничества с использованием электронной почты covid-19. Все чаще можно видеть, как киберпреступники используют в своих электронных письмах настоящие доменные имена этих организаций, чтобы выглядеть легитимными.
В ходе последней громкой аферы с коронавирусом по всему миру было разослано электронное письмо якобы от Всемирной организации здравоохранения (ВОЗ) с просьбой о пожертвованиях в Фонд солидарного реагирования. Адрес отправителя был 'donate@who.int', где 'who.int' - настоящее доменное имя ВОЗ. Было подтверждено, что письмо является фишинговой аферой, но на первый взгляд все признаки указывали на то, что отправитель был настоящим. В конце концов, домен принадлежал настоящей ВОЗ.
Однако это лишь одна из растущих серий фишинговых афер, использующих электронные письма, связанные с коронавирусом, для кражи денег и конфиденциальной информации у людей. Но если отправитель использует настоящее доменное имя, как отличить легитимное письмо от поддельного? Почему киберпреступники так легко могут использовать подделку почтового домена в такой крупной организации?
И как такие организации, как ВОЗ, узнают о том, что кто-то использует свой домен для совершения фишинговой атаки?
Электронная почта является наиболее широко используемым инструментом делового общения в мире, но при этом полностью открытым протоколом. Само по себе очень мало, чтобы отслеживать, кто что посылает и с какого адреса электронной почты. Это становится огромной проблемой, когда злоумышленники маскируются под доверенный бренд или общественную фигуру, прося людей дать им свои деньги и личную информацию. На самом деле, более 90% всех утечек данных компании за последние годы были связаны с фишингом электронной почты в той или иной форме. А подделка почтового домена является одной из основных причин этого.
Для обеспечения безопасности электронной почты были разработаны такие протоколы, как Sender Policy Framework (SPF) и Domain Keys Identified Mail (DKIM). SPF перепроверяет IP-адрес отправителя с утвержденным списком IP-адресов, а DKIM использует зашифрованную цифровую подпись для защиты электронной почты. Несмотря на то, что оба эти метода являются эффективными в индивидуальном порядке, они имеют свой собственный набор недостатков. DMARC, который был разработан в 2012 году, является протоколом, который использует SPF и DKIM аутентификацию для защиты электронной почты, и имеет механизм, который посылает отчет владельцу домена в случае, если электронная почта не прошла проверку DMARC.
Это означает, что владелец домена уведомляется всякий раз, когда электронная почта отправляется неавторизованной третьей стороной. И, что очень важно, они могут рассказать получателю электронной почты, как обрабатывать неавторизованную почту: отпустить ее в почтовый ящик, поместить ее в карантин или отклонить полностью. Теоретически это должно остановить затопление почтовых ящиков и уменьшить количество фишинговых атак, с которыми мы сталкиваемся. Так почему бы и нет?
Может ли DMARC предотвратить подмену домена и мошенничество с использованием электронной почты Covid-19?
Аутентификация электронной почты требует от доменов-отправителей публикации своих записей SPF, DKIM и DMARC в DNS. По данным исследования, в 2018 году только 44,9% из 1 млн доменов Alexa top имели действующую SPF-запись, и лишь 5,1% имели действующую DMARC-запись. И это при том, что домены без DMARC-аутентификации страдают от спуфинга почти в четыре раза чаще, чем защищенные домены. Отсутствие серьезного внедрения DMARC в деловом мире не улучшает ситуацию с годами. Даже такие организации, как ЮНИСЕФ, до сих пор не внедрили DMARC в своих доменах, а Белый дом и Министерство обороны США придерживаются политики DMARC p = none, что означает, что она не соблюдается.
Опрос, проведенный экспертами из Virginia Tech, выявил некоторые из наиболее серьезных проблем, на которые ссылаются крупные компании и предприятия, еще не использующие DMARC-аутентификацию:
- Трудности с развертыванием: Строгое соблюдение протоколов безопасности часто означает высокий уровень координации в крупных учреждениях, на что у них часто не хватает ресурсов. Кроме того, многие организации не имеют большого контроля над своей DNS, поэтому публикация записей DMARC становится еще более сложной.
- Преимущества не перевешивают затраты: DMARC-аутентификация обычно имеет прямые преимущества для получателя электронной почты, а не для владельца домена. Отсутствие серьезной мотивации для принятия нового протокола не позволило многим компаниям внедрить DMARC в свои системы.
- Риск взлома существующей системы: Относительная новизна DMARC делает его более склонным к неправильной реализации, что приводит к весьма реальному риску того, что законные сообщения электронной почты не будут проходить. Предприятия, которые полагаются на электронную почту, не могут позволить себе этого, и поэтому не стоит беспокоиться о принятии DMARC вообще.
Понимая, зачем нам нужен DMARC
Хотя опасения предприятий, высказанные в ходе опроса, вполне обоснованны, это не делает внедрение DMARC менее важным для обеспечения безопасности электронной почты. Чем дольше предприятия продолжают работать без домена с DMARC-аутентификацией, тем больше мы подвергаем себя реальной опасности фишинговых атак. Как показали случаи подмены почты коронавирусом, никто не застрахован от того, чтобы стать мишенью или выдать себя за другого. Рассматривайте DMARC как вакцину - с ростом числа людей, использующих ее, шансы заразиться резко снижаются.
Существуют реальные, жизнеспособные решения этой проблемы, которые могли бы преодолеть опасения людей по поводу принятия DMARC. Вот только некоторые из них, которые могли бы увеличить реализацию с большим запасом:
- Уменьшение трудностей при внедрении: Самым большим препятствием, стоящим на пути внедрения DMARC, являются затраты на его развертывание. Экономика переживает спад, а ресурсы ограничены. Именно поэтому PowerDMARC вместе с нашими индустриальными партнерами Global Cyber Alliance (GCA) с гордостью объявляет об ограниченном предложении на время пандемии Covid-19 - 3 месяца нашего полного пакета приложений, внедрения DMARC и услуг по борьбе со спуфингом совершенно бесплатно. Настройте свое решение DMARC за считанные минуты и начните контролировать свою электронную почту с помощью PowerDMARC уже сейчас.
- Улучшение восприятия Полезности: Для того, чтобы DMARC оказал значительное влияние на безопасность электронной почты, ему нужна критическая масса пользователей для публикации своих записей SPF, DKIM и DMARC. Награждая домены, сертифицированные DMARC, значком "Trusted" или "Verified" (как в случае с продвижением HTTPS среди веб-сайтов), владельцы доменов могут быть заинтересованы в получении положительной репутации своего домена. Как только это достигает определенного порога, домены, защищенные DMARC, будут рассматриваться более благосклонно, чем те, которые не являются таковыми.
- Оптимизированное развертывание: Упрощая развертывание и настройку антиспуфинговых протоколов, большее количество доменов будет приемлемо для DMARC-аутентификации. Одним из способов сделать это является разрешение протокола работать в 'Режиме мониторинга', позволяя администраторам электронной почты оценивать его воздействие на свои системы, прежде чем приступать к полной установке.
Каждое новое изобретение влечет за собой новые проблемы. Каждая новая проблема заставляет нас искать новый способ ее преодоления. DMARC существует уже несколько лет, но фишинг существует гораздо дольше. В последние недели пандемия Covid-19 лишь придала ему новое лицо. Мы в PowerDMARC готовы помочь вам решить эту новую проблему. Зарегистрируйтесь здесь и получите бесплатный DMARC-анализатор, чтобы, пока вы сидите дома в безопасности от коронавируса, ваш домен был в безопасности от подделки электронной почты.
- Может ли блокчейн помочь повысить безопасность электронной почты? - 9 мая 2024 г.
- Прокси для дата-центров: Раскрытие рабочей лошадки мира прокси - 7 мая 2024 г.
- Kimsuky использует политику DMARC "None" в последних фишинговых атаках - 6 мая 2024 г.