Hur nätfiskebedrägerier använder Office 365 för att rikta in sig på försäkringsbolag

E-post är ofta det första valet för en cyberbrottsliga när de lanseras eftersom det är så lätt att utnyttja. Till skillnad från brute-force-attacker som är tunga på processorkraft, eller mer sofistikerade metoder som kräver en hög nivå av skicklighet, kan domänförfalskning vara lika lätt som att skriva ett e-postmeddelande som låtsas vara någon annan. I många fall är att "någon annan" är en stor mjukvarutjänstplattform som människor förlitar sig på för att göra sitt jobb.

Vilket är vad som hände mellan den 15 och 30 april 2020, när våra säkerhetsanalytiker på PowerDMARC upptäckte en ny våg av phishing-e-postmeddelanden riktade mot ledande försäkringsbolag i Mellanöstern. Denna attack har bara varit en av många andra i den senaste ökningen av phishing- och förfalskningsfall under Covid-19-krisen. Redan i februari 2020 gick en annan stor phishing-bedrägeri så långt som att utge sig för att vara Världshälsoorganisationen och skickade e-postmeddelanden till tusentals människor som bad om donationer för coronavirushjälp.

I den senaste serien av incidenter fick användare av Microsofts Office 365-tjänst vad som verkade vara rutinmässiga uppdateringsmeddelanden om statusen för sina användarkonton. Dessa e-postmeddelanden kom från deras organisationers egna domäner och bad användare att återställa sina lösenord eller klicka på länkar för att visa väntande aviseringar.

Vi har sammanställt en lista över några av de e-posttitlar vi observerade användes:

  • Ovanlig inloggningsaktivitet för Microsoft-konto
  • Du har (3) meddelanden som väntar på leverans på din e-post [email protected]* Portal!
  • [email protected] väntar på Microsoft Office UNSYNC-meddelanden
  • Sammanfattningsmeddelande för återaktivering för [email protected]

*kontouppgifter som ändrats för användarnas integritet

Du kan också visa ett exempel på ett e-posthuvud som används i ett förfalskat e-postmeddelande som skickas till ett försäkringsbolag:

Mottagen: från [malicious_ip] (helo= malicious_domain)

id 1jK7RC-000uju-6x

för [email protected] Tor, 02 apr 2020 23:31:46 +0200

DKIM-Signatur: v=1; a=rsa-sha256; q=dns/txt; c=avslappnad/avslappnad;

Mottagen: från [xxxx] (port=58502 helo=xxxxx)

av malicious_domain med esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Från: "Microsoft-kontoteam" 

Till: [email protected]

Angående: Microsoft Office-meddelande [email protected] 23:46 23:46

Datum: 2 apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Innehållstyp: text/html;

charset="utf-8"

Content-Transfer-Kodning: citerad utskrivbar

X-AntiAbuse: Den här rubriken lades till för att spåra missbruk, vänligen inkludera det med alla missbruksrapporten

X-AntiAbuse: Primärt värdnamn – malicious_domain

X-AntiAbuse: Ursprunglig domän – domain.com

X-AntiAbuse: Upphovsman/uppringare UID/GID – [47 12] / [47 12]

X-AntiAbuse: Avsändaradressdomän – domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Autentiserad avsändare: malicious_domain: [email protected]_domain

X-Källa: 

X-Source-Args: 

X-Source-Dir: 

Mottagen SPF: misslyckas (domänen domain.com anger inte malicious_ip_address som tillåten avsändare) klient-ip= malicious_ip_address ; kuvert-från=[email protected]; helo=malicious_domain;

X-SPF-resultat: domänen domain.com anger inte malicious_ip_address som tillåten avsändare

X-Sender-Warning: Omvänd DNS-sökning misslyckades för malicious_ip_address (misslyckades)

X-DKIM-Status: ingen / / domain.com / / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / standard

 

Vårt säkerhets åtgärdscenter spårade e-postlänkarna till phishing-url:er som riktade sig till Microsoft Office 365-användare. Webbadresserna omdirigerades till komprometterade webbplatser på olika platser runt om i världen.

Genom att helt enkelt titta på dessa e-posttitlar skulle det vara omöjligt att säga att de skickades av någon som förfalskade din organisations domän. Vi är vana vid en stadig ström av arbets- eller kontorelaterade e-postmeddelanden som uppmanar oss att logga in på olika onlinetjänster precis som Office 365. Domänförfalskning drar nytta av det, vilket gör deras falska, skadliga e-postmeddelanden oskiljbara från äkta. Det finns praktiskt taget inget sätt att veta, utan en grundlig analys av e-postmeddelandet, om det kommer från en betrodd källa. Och med dussintals e-postmeddelanden som kommer in varje dag har ingen tid att noggrant granska var och en. Den enda lösningen skulle vara att använda en autentiseringsmekanism som skulle kontrollera alla e-postmeddelanden som skickas från din domän och blockera endast de som skickades av någon som skickade den utan tillstånd.

Autentiseringsmekanismen kallas DMARC. Och som en av de ledande leverantörerna av e-postsäkerhetslösningar i världen har vi på PowerDMARC gjort det till vårt uppdrag att få dig att förstå vikten av att skydda din organisations domän. Inte bara för dig själv, utan för alla som litar på och är beroende av dig för att leverera säkra, pålitliga e-postmeddelanden i deras inkorg, varje gång.

Du kan läsa om riskerna med förfalskning här: https://powerdmarc.com/stop-email-spoofing/

Ta reda på hur du kan skydda din domän från att förfalska och marknadsföra ditt varumärke här: https://powerdmarc.com/what-is-dmarc/

/av

Hur angripare använder coronaviruset för att lura dig

När organisationer inrättar välgörenhetsfonder runt om i världen för att bekämpa Covid-19 utkämpas en annan typ av strid i internets elektroniska kanaler. Tusentals människor runt om i världen har fallit offer för e-postförfalskning och covid-19-e-postbedrägerier under coronapandemin. Det har blivit allt vanligare att se cyberbrottslingar använda riktiga domännamn för dessa organisationer i sina e-postmeddelanden för att verka legitima.

I den senaste uppmärksammade coronavirusbluffen skickades ett e-postmeddelande från Världshälsoorganisationen (WHO) runt om i världen och begärde donationer till Solidaritetsinsatsfonden. Avsändarens adress var "[email protected]", där "who.int" är det verkliga domännamnet för WHO. E-postmeddelandet bekräftades vara en phishing-bedrägeri, men vid första anblicken pekade alla tecken på att avsändaren var äkta. När allt kommer kommer runt tillhörde domänen den riktiga WHO.

donera svarsfond

Detta har dock bara varit en i en växande serie phishing-bedrägerier som använder e-postmeddelanden relaterade till coronavirus för att stjäla pengar och känslig information från människor. Men om avsändaren använder ett riktigt domännamn, hur kan vi skilja ett legitimt e-postmeddelande från ett falskt? Varför är cyberbrottslingar så lätta att använda e-postdomänförfalskning på en så stor organisation?

Och hur tar entiteter som WHO reda på när någon använder sin domän för att starta en phishing-attack?

E-post är det mest använda affärskommunikationsverktyget i världen, men det är ett helt öppet protokoll. På egen hand finns det väldigt lite att övervaka vem som skickar vilka e-postmeddelanden och från vilken e-postadress. Detta blir ett stort problem när angripare döljer sig som ett pålitligt varumärke eller offentlig person och ber människor att ge dem sina pengar och personlig information. Faktum är att över 90% av alla företags dataöverträdelser under de senaste åren har involverat e-postfiske i en eller annan form. Och e-postdomänförfalskning är en av de främsta orsakerna till det.

I ett försök att skydda e-post utvecklades protokoll som Sender Policy Framework (SPF) och Domain Keys Identified Mail (DKIM). SPF dubbelkontrollerar avsändarens IP-adress med en godkänd lista över IP-adresser, och DKIM använder en krypterad digital signatur för att skydda e-postmeddelanden. Även om dessa båda är individuellt effektiva, har de sin egen uppsättning brister. DMARC, som utvecklades 2012, är ett protokoll som använder både SPF- och DKIM-autentisering för att skydda e-post och har en mekanism som skickar domänägaren en rapport när ett e-postmeddelande misslyckas med DMARC-validering.

Detta innebär att domänägaren meddelas när ett e-postmeddelande skickas av en obehörig tredje part. Och avgörande är att de kan berätta för e-postmottagaren hur man hanterar oautentiserad post: låt den gå till inkorgen, sätta den i karantän eller avvisa den direkt. I teorin bör detta stoppa dålig e-post från att översvämma människors inkorgar och minska antalet phishing-attacker vi står inför. Så varför gör det inte det?

Kan DMARC förhindra domänförfalskning och Covid-19-e-postbedrägerier?

E-postautentisering kräver att avsändardomäner publicerar sina SPF-, DKIM- och DMARC-poster i DNS. Enligt en studie hade endast 44,9% av Alexa topp 1 miljon domäner en giltig SPF-post publicerad 2018, och så lite som 5,1% hade en giltig DMARC-post. Och detta trots att domäner utan DMARC-autentisering lider av att förfalska nästan fyra gånger så mycket som domäner som är säkrade. Det finns en brist på seriös DMARC-implementering i hela affärslandskapet, och det har inte blivit mycket bättre med åren. Även organisationer som UNICEF har ännu inte implementerat DMARC med sina domäner, och Vita huset och USA: s försvarsdepartement har båda en DMARC-policy av p = ingen, vilket innebär att de inte upprätthålls.

En undersökning utförd av experter på Virginia Tech har visat några av de allvarligaste problemen som nämns av stora företag och företag som ännu inte har använda DMARC-autentisering:

  1. Driftsättningssvårigheter: Strikt tillämpning av säkerhetsprotokoll innebär ofta en hög grad av samordning i stora institutioner, vilket de ofta inte har resurser för. Utöver det har många organisationer inte mycket kontroll över sin DNS, så att publicera DMARC-poster blir ännu mer utmanande.
  2. Fördelar som inte uppväger kostnaderna: DMARC-autentisering har vanligtvis direkta fördelar för mottagaren av e-postmeddelandet snarare än domänägaren. Bristen på seriösa motiv för att anta det nya protokollet har gjort att många företag inte har införlivat DMARC i sina system.
  3. Risk för att bryta det befintliga systemet: DMARC: s relativa nyhet gör det mer benägna att felaktigt genomföra, vilket ökar den mycket verkliga risken för att legitima e-postmeddelanden inte går igenom. Företag som förlitar sig på e-postcirkulation har inte råd att få det att hända, och så bry dig inte om att anta DMARC alls.

Erkänna varför vi behöver DMARC

Även om de farhågor som uttryckts av företag i undersökningen har uppenbara fördelar, gör det inte DMARC-implementering mindre absolut nödvändigt för e-postsäkerhet. Ju längre företag fortsätter att fungera utan en DMARC-autentiserad domän, desto mer utsätter vi oss alla för den mycket verkliga faran med phishing-attacker via e-post. Som coronavirusets e-postförfalskningsbedrägerier har lärt oss är ingen säker från att bli måltavla eller utge sig för att vara måltavla. Tänk på DMARC som ett vaccin - när antalet människor som använder det växer minskar chanserna att få en infektion dramatiskt.

Det finns verkliga, genomförbara lösningar på detta problem som kan övervinna människors oro över antagandet av DMARC. Här är bara några få som kan öka implementeringen med stor marginal:

  1. Minska friktionen i implementeringen: Det största hindret för ett företag som antar DMARC är de distributionskostnader som är förknippade med det. Ekonomin är i skymundan och resurserna knappa. Därför är PowerDMARC tillsammans med våra industripartner Global Cyber Alliance (GCA) stolta över att kunna presentera ett tidsbegränsat erbjudande under Covid-19-pandemin – 3 månader av vår fullständiga uppsättning appar, DMARC-implementering och anti-spoofing-tjänster, helt gratis. Konfigurera DMARC-lösningen på några minuter och börja övervaka dina e-postmeddelanden med PowerDMARC nu.
  2. Förbättra upplevd användbarhet: För att DMARC ska ha en stor inverkan på e-postsäkerheten behöver den en kritisk massa av användare för att publicera sina SPF-, DKIM- och DMARC-poster. Genom att belöna DMARC-autentiserade domäner med en "Betrodd" eller "Verifierad" ikon (som med marknadsföringen av HTTPS bland webbplatser) kan domänägare uppmuntras att få ett positivt rykte för sin domän. När detta når ett visst tröskelvärde kommer domäner som skyddas av DMARC att ses mer gynnsamt än de som inte är det.
  3. Strömlinjeformad distribution: Genom att göra det enklare att distribuera och konfigurera anti-spoofing-protokoll kommer fler domäner att vara angenäma för DMARC-autentisering. Ett sätt att göra detta är att tillåta protokollet att köras i ett "övervakningsläge", vilket gör det möjligt för e-postadministratörer att bedöma vilken inverkan det har på deras system innan de går för en fullständig distribution.

Varje ny uppfinning medför nya utmaningar. Varje ny utmaning tvingar oss att hitta ett nytt sätt att övervinna den. DMARC har funnits i några år nu, men phishing har funnits mycket längre. Under de senaste veckorna har Covid-19-pandemin bara gett den ett nytt ansikte. På PowerDMARC är vi här för att hjälpa dig att möta den här nya utmaningen rakt på. Registrera dig här för din gratis DMARC-analysator, så att medan du stannar hemma säkert från coronavirus är din domän säker från e-postförfalskning.

/av