BEC-атака

Постоянно развивающаяся и бурно развивающаяся форма киберпреступности, которая нацелена на электронную почту как потенциальное средство для совершения мошенничества, известна как Business Email Compromise. Атаки BEC, направленные на коммерческие, правительственные и некоммерческие организации, могут привести к потере огромного количества данных, нарушению безопасности и компрометации финансовых активов. Это распространенное заблуждение, что киберпреступники обычно концентрируют свое внимание на ТНК и организациях корпоративного уровня. В наши дни малые и средние предприятия являются такой же мишенью для мошенничества с электронной почтой, как и крупные игроки отрасли. 

Как БЭС может повлиять на организации?

Примерами атак BEC являются такие сложные атаки социальной инженерии, как фишинг, мошенничество генерального директора, поддельные счета-фактуры, подмена электронной почты и др. Ее также можно назвать атакой с использованием самозванства, когда злоумышленник стремится обмануть компанию, выдавая себя за людей, занимающих авторитарные должности. Выдача себя за финансового директора или генерального директора, делового партнера или любого другого человека, которому вы слепо доверяете, - вот что способствует успеху этих атак.

Февраль 2021 года запечатлел деятельность российской кибербанды Cosmic Lynx, поскольку она использовала сложный подход к BEC. Эта группа уже была связана с проведением более 200 кампаний BEC с июля 2019 года, направленных на более чем 46 стран мира и сосредоточенных на гигантских ТНК, имеющих глобальное присутствие. Благодаря чрезвычайно хорошо написанным фишинговым письмам они делают невозможным для людей отличить настоящие сообщения от поддельных.

Благодаря удаленной работе приложения для видеоконференций стали незаменимыми после пандемии. Киберпреступники используют эту ситуацию, рассылая мошеннические электронные письма, которые выдают себя за уведомление с платформы видеоконференцсвязи Zoom. Это нацелено на кражу учетных данных для проведения массовых утечек данных компании.

Очевидно, что актуальность BEC в последнее время стремительно возрастает, а субъекты угроз придумывают все более изощренные и инновационные способы уйти от мошенничества. Атаки BEC затрагивают более 70% организаций по всему миру и приводят к потере миллиардов долларов каждый год. Именно поэтому эксперты отрасли разрабатывают протоколы аутентификации электронной почты, такие как DMARC, для обеспечения высокого уровня защиты от самозванства.

Что такое аутентификация электронной почты?

Аутентификацию электронной почты можно назвать одним из множества методов, применяемых для получения поддающейся проверке информации о происхождении электронной почты. Это делается путем аутентификации владельца домена агента(ов) по передаче почты, участвующего(щих) в передаче сообщения.

Простой протокол передачи почты (SMTP), который является промышленным стандартом для передачи электронной почты, не имеет такой встроенной функции для аутентификации сообщений. Поэтому злоумышленникам становится очень легко использовать недостаток безопасности для проведения фишинговых и поддельных атак на электронную почту. Это подчеркивает необходимость в эффективных протоколах аутентификации электронной почты, таких как DMARC, которые действительно выполняют свои требования!

Шаги по предотвращению BEC-атак с помощью DMARC

 

Шаг 1: Реализация 

Первым шагом в борьбе с BEC-атаками является фактическая настройка DMARC для вашего домена. DMARC (Domain-based Message Authentication, Reporting and Conformance) использует стандарты аутентификации SPF и DKIM для проверки электронной почты, отправленной с вашего домена. Он указывает принимающим серверам, как отвечать на электронные письма, которые не прошли одну или обе проверки подлинности, предоставляя владельцу домена контроль над ответом получателя. Таким образом, для внедрения DMARC вам необходимо:

  • Определите все действительные источники электронной почты, авторизованные для вашего домена
  • Публикация SPF записи в вашем DNS для настройки SPF для вашего домена
  • Публикация записи DKIM в вашем DNS для настройки DKIM для вашего домена
  • Публикация записи DMARC в вашей DNS для настройки DMARC для вашего домена

Чтобы избежать сложностей, вы можете использовать бесплатные инструменты PowerDMARC (бесплатный генератор записей SPF, бесплатный генератор записей DKIM, бесплатный генератор записей DMARC) для мгновенной генерации записей с правильным синтаксисом для публикации в DNS вашего домена.

Шаг 2: Обеспечение соблюдения 

Ваша политика DMARC может быть установлена:

  • p=none (DMARC только при мониторинге; сообщения, не прошедшие аутентификацию, все равно будут доставлены)
  • p=карантин (DMARC при внедрении; сообщения, не подтвердившие подлинность, будут помещены в карантин)
  • p=reject (DMARC при максимальном внедрении; сообщения с ошибкой аутентификации не будут доставляться вообще)

Мы рекомендуем вам начать использовать DMARC с политикой, включающей только мониторинг, чтобы вы могли следить за почтовым потоком и проблемами с доставкой. Однако, такая политика не обеспечит никакой защиты от BEC. Вот почему вам, в конце концов, придется перейти на внедрение DMARC. PowerDMARC поможет вам легко перейти от мониторинга к внедрению в кратчайшие сроки с помощью политики p=reject, которая поможет указать принимающим серверам, что электронная почта, отправленная с вредоносного источника, использующего ваш домен, вообще не будет доставляться в почтовый ящик получателя.

Шаг 3: Мониторинг и отчетность 

Вы установили политику DMARC на принудительное исполнение и успешно минимизировали атаки BEC, но достаточно ли этого? Ответ - нет. Вам по-прежнему необходим обширный и эффективный механизм отчетности для мониторинга потока электронной почты и реагирования на любые проблемы с доставкой. Многопользовательская SaaS-платформа PowerDMARC поможет вам:

  • держать под контролем свой домен
  • визуально контролировать результаты аутентификации для каждой электронной почты, пользователя и домена, зарегистрированного для вас
  • снимать оскорбительные IP-адреса, которые пытаются выдать себя за ваш бренд.

Отчеты DMARC доступны на приборной панели PowerDMARC в двух основных форматах:

  • Агрегированные отчеты DMARC (доступны в 7 различных видах)
  • Отчеты криминалистической экспертизы DMARC (с шифрованием для повышения конфиденциальности)

Комплекс мер по внедрению DMARC, обеспечению его соблюдения и отчетности поможет вам значительно снизить вероятность стать жертвой BEC-атаки и самозванства. 

С фильтрами для борьбы со спамом все еще нужен DMARC?

Да! DMARC работает совсем не так, как ваши обычные анти-спам фильтры и шлюзы безопасности электронной почты. Хотя эти решения обычно интегрируются с вашими "облачными" сервисами обмена электронной почтой, они могут предложить только защиту от попыток фишинга входящего трафика. Сообщения, отправляемые с вашего домена, все еще остаются под угрозой выдачи себя за другое лицо. Именно здесь на помощь приходит DMARC.

Дополнительные советы по повышению безопасности электронной почты

 

Всегда оставайтесь под 10-ю границами DNS поиска. 

Превышение лимита поиска SPF 10 может полностью аннулировать вашу запись SPF и привести к тому, что даже легитимные электронные письма не пройдут проверку подлинности. В таких случаях, если у вас DMARC настроен на отклонение, подлинные письма не будут доставлены. PowerSPF - это автоматический и динамический сглаживатель записей SPF, который смягчает пермеррор SPF, помогая вам оставаться в рамках жесткого ограничения SPF. Он автоматически обновляет сетевые блоки и сканирует изменения, внесенные поставщиками услуг электронной почты в их IP-адреса, постоянно, без какого-либо вмешательства с вашей стороны.

Обеспечение шифрования TLS электронной почты в режиме транзита

Хотя DMARC может защитить вас от атак социальной инженерии и BEC, вам все же необходимо подготовиться к таким распространенным атакам мониторинга, как Man-in-the-middle (MITM). Это можно сделать, убедившись, что соединение, защищенное по TLS, обговаривается между SMTP-серверами каждый раз, когда электронная почта отправляется на ваш домен. Хостинг MTA-STS от PowerDMARC делает шифрование TLS обязательным в SMTP и поставляется с простой процедурой реализации.

Получать отчеты о проблемах при доставке по электронной почте

Вы также можете включить SMTP TLS отчетность для получения диагностических отчетов о проблемах доставки электронной почты после настройки MTA-STS для вашего домена. TLS-RPT поможет вам получить представление о вашей экосистеме электронной почты и лучше реагировать на проблемы при согласовании защищенного соединения, приводящие к сбоям в доставке. Отчеты TLS доступны в двух видах (агрегированные отчеты по результатам и по источникам отправки) на приборной панели PowerDMARC.

Улучшить вашу марку вспомнить с BIMI 

С помощью BIMI (Brand Indicators for Message Identification - индикаторы бренда для идентификации сообщений) вы можете вывести отзыв вашего бренда на совершенно новый уровень, помогая вашим получателям визуально идентифицировать вас в своих почтовых ящиках. BIMI работает путем прикрепления вашего уникального логотипа бренда к каждому электронному письму, которое вы отправляете из своего домена. PowerDMARC делает внедрение BIMI простым с помощью всего 3 простых шагов со стороны пользователя.

PowerDMARC является единым пунктом назначения для множества протоколов аутентификации электронной почты, включая DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT. Зарегистрируйтесь сегодня и получите бесплатную пробную версию DMARC Analyzer!