Как предотвратить подмену электронной почты

Подделка электронной почты является растущей проблемой для безопасности организации. Подделка происходит, когда хакер посылает электронное сообщение, которое, кажется, было отправлено с доверенного источника/домена. Подделка электронной почты не является новой концепцией. Определяемая как "подделка заголовка почтового адреса для того, чтобы сообщение выглядело как отправленное от кого-то или откуда-то, отличного от фактического источника", эта подделка уже несколько десятилетий беспокоит бренды. Всякий раз, когда электронное сообщение отправляется, адрес From не отображает, с какого сервера на самом деле было отправлено письмо, а показывает, с какого домена оно было введено в процессе создания адреса, тем самым не вызывая подозрений у получателей электронной почты.

Учитывая объем данных, проходящих сегодня через почтовые серверы, неудивительно, что спуфинг является проблемой для бизнеса. В конце 2020 г. мы обнаружили, что число фишинговых инцидентов возросло на ошеломляющие 220% по сравнению со средним годовым показателем в разгар глобальных пандемических страхов... Поскольку не все атаки спуфинга проводятся в больших масштабах, фактическое число может быть гораздо больше. Сейчас 2021 год, и с каждым годом проблема, похоже, только усугубляется. Именно поэтому бренды используют защищенные протоколы для аутентификации своей электронной почты и держатся подальше от злонамеренных намерений злоумышленников.

Подделка электронной почты: Что это и как это работает?

Электронная подделка используется в фишинговых атаках, чтобы обманом заставить пользователей подумать, что сообщение пришло от человека или организации, которую они либо знают, либо которой могут доверять. Злоумышленник использует атаку с использованием подделки, чтобы заставить получателей подумать, что сообщение пришло не от того, кого они знают или кому могут доверять. Это позволяет злоумышленникам навредить вам, не позволяя вам отследить их. Если вы видите сообщение от IRS о том, что они отправили ваш возврат денег на другой банковский счет, это может быть атакой с использованием подделки. Фишинговые атаки могут также осуществляться с помощью электронной почты, которая представляет собой мошенническую попытку получить конфиденциальную информацию, такую как имена пользователей, пароли и данные кредитной карты (PIN-коды), часто в злонамеренных целях. Этот термин происходит от "ловли рыбы" для жертвы, делая вид, что ей можно доверять.

В SMTP, когда исходящим сообщениям назначается адрес отправителя клиентским приложением; серверы исходящей почты не имеют возможности сказать, является ли адрес отправителя легитимным или поддельным. Следовательно, подмена адреса электронной почты возможна, потому что почтовая система, используемая для представления почтовых адресов, не предоставляет исходящим серверам способа проверить легитимность адреса отправителя. Вот почему крупные игроки на рынке выбирают такие протоколы, как SPF, DKIM и DMARC для авторизации своих законных адресов электронной почты, и минимизации атак на выдачу себя за другое лицо.

Разрушение анатомии атаки по электронной почте.

Каждый почтовый клиент использует специальный интерфейс прикладной программы (API) для отправки электронной почты. Некоторые приложения позволяют пользователям настраивать адрес отправителя исходящего сообщения из выпадающего меню, содержащего адреса электронной почты. Однако эта возможность также может быть вызвана с помощью скриптов, написанных на любом языке. Каждое открытое почтовое сообщение имеет адрес отправителя, который отображает адрес почтового приложения или службы пользователя, создавшего сообщение. Переконфигурировав приложение или службу, злоумышленник может отправить электронное сообщение от имени любого лица.

Скажем так, теперь можно отправлять тысячи фальшивых сообщений с подлинного почтового домена! Более того, чтобы использовать этот скрипт, не обязательно быть экспертом в программировании. Угрожающие актеры могут редактировать код в соответствии со своими предпочтениями и начинать отправку сообщения, используя почтовый домен другого отправителя. Именно так и происходит атака почтовой подделки.

Подделка электронной почты как вектор выкупа

Подмена электронной почты прокладывает путь для распространения вредоносных программ и выкупа. Если вы не знаете, что такое программы-вымогатели, то это вредоносная программа, которая постоянно блокирует доступ к вашим конфиденциальным данным или системе и требует сумму денег (выкуп) в обмен на повторную расшифровку ваших данных. Атаки с целью получения выкупа заставляют организации и частных лиц терять тонны денег каждый год и приводят к огромным утечкам данных.

DMARC и почтовая аутентификация также выступает в качестве первой линии защиты от выкупа, защищая ваш домен от злонамеренных намерений поддельщиков и пародистов.

Угрозы для малого, среднего и крупного бизнеса

Идентификация бренда жизненно важна для успеха бизнеса. Клиентов привлекают узнаваемые бренды, и они полагаются на их последовательность. Однако киберпреступники используют все, что в их силах, чтобы воспользоваться этим доверием, подвергая риску безопасность клиентов при использовании фишинговых электронных писем, вредоносных программ и подделок в электронной почте. В среднем организация теряет от 20 до 70 миллионов долларов в год из-за мошенничества с электронной почтой. Важно отметить, что спуфинг может быть связан с нарушением прав на торговую марку и другую интеллектуальную собственность, нанося значительный ущерб репутации и доверию компании, двумя следующими способами:

  • Ваши партнеры или уважаемые клиенты могут открыть поддельное электронное письмо и в конечном итоге скомпрометировать свои конфиденциальные данные. Киберпреступники могут внедрить в свою систему программы выкупа, ведущие к финансовым потерям, посредством поддельных электронных писем, выдающих себя за вас. Поэтому в следующий раз они могут не захотеть открывать даже ваши законные электронные письма, что заставит их потерять веру в ваш бренд.
  • Серверы-получатели электронной почты могут отмечать вашу законную почту как спам и помещать ее в папку нежелательной почты из-за дефляции репутации сервера, тем самым существенно влияя на скорость доставки почты.

В любом случае, безо всяких сомнений, ваш бренд, обращенный к клиенту, будет на получающей стороне всех осложнений. Несмотря на усилия ИТ-специалистов, 72% всех кибератак начинаются с вредоносной электронной почты, а 70% всех утечек данных связаны с тактикой социальной инженерии для подделки доменов компании, что делает проверку подлинности электронной почты, такую как DMARC, важнейшим приоритетом.

DMARC: Ваше универсальное решение против подделки электронной почты.

Domain-Based Message Authentication, Reporting and Conformance(DMARC) - это протокол аутентификации электронной почты, который при правильной реализации может значительно минимизировать почтовую подделку, BEC и атаки подражания. DMARC работает в унисон с двумя стандартными методами аутентификации - SPF и DKIM, для аутентификации исходящих сообщений, обеспечивая способ указания принимающим серверам, как они должны реагировать на сообщения электронной почты, не прошедшие проверку подлинности.

Узнайте больше о том , что такое DMARC?

Если вы хотите защитить свой домен от злонамеренных намерений поддельщиков, первым шагом будет правильная реализация DMARC. Но прежде чем вы это сделаете, вам необходимо настроить SPF и DKIM для вашего домена. Бесплатные генераторы записей PowerDMARC SPF и DKIM могут помочь вам в создании этих записей, которые будут опубликованы в вашей DNS, одним щелчком мыши. После успешной настройки этих протоколов, выполните следующие шаги для реализации DMARC:

  • Генерируйте безошибочную запись DMARC, используя свободный генератор записи DMARC от PowerDMARC
  • Публикация записи в DNS вашего домена
  • Постепенно переходите к политике применения DMARC p=reject.
  • Отслеживайте экосистему электронной почты и получайте подробные отчеты об агрегате аутентификации и криминалистике (RUA/RUF) с помощью нашего инструмента анализатора DMARC.

Ограничения, которые необходимо преодолеть при достижении целей DMARC.

Вы опубликовали безошибочную DMARC-запись и перешли к политике правоприменения, и все же сталкиваетесь с проблемами при доставке электронной почты? Проблема может быть намного сложнее, чем вы думаете. Если вы еще не знали, то ваш протокол SPF-аутентификации имеет ограничение на 10 DNS-поисков. Однако если вы используете поставщиков услуг электронной почты на базе облака и различных сторонних производителей, вы легко можете превысить этот предел. Как только вы это делаете, SPF нарушает и даже легитимная электронная почта не проходит аутентификацию, что приводит к тому, что ваша электронная почта попадает в папку нежелательной почты или вообще не доставляется.

По мере того, как ваши SPF-записи становятся недействительными из-за слишком большого количества DNS-запросов, ваш домен снова становится уязвимым для атак почтовой подделки и BEC. Следовательно, для обеспечения возможности доставки электронной почты необходимо оставаться в пределах лимита SPF 10 поиска. Вот почему мы рекомендуем PowerSPF, ваш автоматический SPF flatenner, который сокращает вашу SPF запись до одного включающего утверждения, отрицая избыточные и вложенные IP адреса. Мы также проводим периодические проверки для отслеживания изменений, вносимых вашими поставщиками услуг на их соответствующие IP-адреса, гарантируя, что ваша запись в SPF всегда актуальна.

PowerDMARC собирает ряд протоколов аутентификации электронной почты, таких как SPF, DKIM, DMARC, MTA-STS, TLS-RPT и BIMI, чтобы придать вашему домену репутацию и повысить его доступность. Зарегистрируйтесь сегодня, чтобы получить бесплатный анализатор DMARC.