Tag Archive for: Domänförfalskning

Förstå domänspoofing och hur du skyddar dig

Domain spoofing är ett av de vanligaste och allvarligaste cybersäkerhetshoten som tränger djupt in i en organisations digitala ekosystem för att stjäla känslig information, störa verksamheten och fläcka ner företagets rykte. Det är en lömsk form av nätfiskeattack som innebär att man utger sig för att vara en domän för att lura intet ont anande användare att tro att de interagerar med en legitim enhet.

Dessa attacker har onekligen en långtgående inverkan på företag, men de kan också utgöra ett betydande hot mot den nationella säkerheten. Federal Bureau of Investigation (FBI) och Cybersecurity and Infrastructure Security Agency (CISA) erkänner allvaret i domänförfalskning i dagens sammankopplade värld och utfärdade ett tillkännagivande 2020 för att hjälpa allmänheten att känna igen och undvika falska valrelaterade internetdomäner.

I den här artikeln går vi närmare in på vad domänspoofing är, hur det yttrar sig och hur du kan säkerställa ett heltäckande skydd mot domänspoofing för att skydda din IT-infrastruktur. 

Vad är Domain Spoofing?

En klassisk teknik för att kompromissa med målets säkerhet är domänförfalskning. Denna typ av attack utförs vanligtvis via två kanaler - webbplatser eller e-post. Genom att utnyttja den inneboende mänskliga naturen av förtroende skapar hotaktörer en falsk webbplats eller ett e-postmeddelande som liknar ett pålitligt/renommerat namn för att vilseleda sina användare att avslöja privat information, installera skadlig kodeller överföra pengar till ett bedrägligt konto.

Hur fungerar domänförfalskning?

Idag blir cyberattackerna allt mer nyanserade och sofistikerade i sina tillvägagångssätt, men den underliggande premissen förblir densamma - att utnyttja sårbarheter för ett dolt motiv. I grund och botten fungerar domänspoofing genom att man utnyttjar sårbarheter i DNS (Domain Name System) för att lura användare att interagera med skadligt innehåll. Här är en närmare titt på hur en domänförfalskningsattack fungerar:

Homoglyfer

Ett av de vanligaste sätten att använda spoofing-attacker är att införliva homoglyfer i den förfalskade domänen. Homoglyfer är tecken som ser likadana ut vid första anblicken men som har olika Unicode-kodpunkter. Angriparen kan till exempel ersätta ett tecken som "o" med "ο" (den grekiska bokstaven omicron) i domänen för att skapa en URL som ser slående lik ut som den autentiska men som leder till en annan webbplats. När en ovetande användare klickar på en sådan länk kommer de till en falsk webbplats som är utformad för att äventyra deras säkerhetsförsvar. 

Spoofing av underdomäner

I denna typ av domänförfalskningsattack missbrukar hotaktören en igenkännbar domäns förtroende för att skapa en underdomän som "inloggning" eller "säker", något som liknar det hos en legitim enhet. Denna bedrägliga taktik lurar ovetande offer att ange sina inloggningsuppgifter eller interagera med den skadliga underdomänen och därigenom ge obehörig åtkomst till deras känsliga data eller konton. 

Typosquatting

Typosquatting är en vanlig nätfisketeknik som går ut på att registrera en domän som liknar en populär domän, men med typografiska fel som utbytta bokstäver, felstavade ord eller tillagda tecken, som alla undgår offrets kontroll. Syftet med dessa domäner är att dirigera användare till bedrägliga webbplatser för att uppnå sina skändliga mål. Dessa strategier äventyrar inte bara säkerheten för känslig information utan skadar också legitima företags rykte.

Vilka är några vanliga exempel på domänförfalskning?

Nu när du vet att domänförfalskningsattacker utnyttjar mänskliga misstag, tendensen att lita på och vissa strategiska tillvägagångssätt för att uppnå skadliga mål, låt oss ta en titt på några av de vanligaste exemplen på domänförfalskning som plågar cybersäkerhetslandskapet:

Förfalskning via e-post

E-post är en av de vanligaste kommunikationskanalerna som företag förlitar sig på, och hotaktörer utnyttjar sårbarheter i denna kanal för att utföra e-postdomänförfalskning. I det här fallet utger sig förövarna för att vara en betrodd avsändare genom att skapa ett förfalskat "från"-fält, med en annan toppdomän (TLD)eller förfalska varumärkets logotyp och andra kollateraler.

Spoofing av webbplatser 

Med en liknande strategi som spoofing av e-postdomäner missbrukar angripare domänen för ett välrenommerat varumärke för att skapa en förfalskad webbplats. Denna bedrägliga taktik utförs med avsikten att lura användare att tro att de interagerar med en legitim webbplats och görs genom att härma definierande detaljer, inklusive logotyper, färgscheman, layout etc. För att säkerställa äkthet och ett unikt digitalt fotavtryck vänder sig många företag till webbdesignbyråer som skapar distinkta och originella webbplatser, vilket gör dem mindre mottagliga för sådana imitationsförsök

Hur ser ett e-postmeddelande med domänförfalskning ut?

Cybersäkerhetsexperter har noterat att e-post fortsätter att vara en av de största sårbarheterna som utnyttjas av cyberbrottslingar, som ofta använder förfalskade e-postdomäner som en föredragen strategi. Det som gör det till ett toppval bland hotaktörerna är omfattningen av bedrägeri som dessa e-postmeddelanden kan uppnå genom att konstruera subtila taktiker. 

Fientliga e-postmeddelanden är inte bara begränsade till falska e-postdomäner utan omfattar även mer sofistikerade knep. Dessa skickligt skapade e-postmeddelanden innehåller en rubrik som är mycket lik den autentiska, en relevant eller fängslande ämnesrad som skapar en känsla av brådska, omsorgsfullt smidda visuella element och välstrukturerat innehåll. Alla dessa element skapar en falsk känsla av trovärdighet och lurar offren att avslöja sina uppgifter, ladda ner skadlig kod eller störa affärsverksamheten. 

Hur lätt är det att förfalska en domän?

Med över 300 miljarder e-postmeddelanden som skickas varje dag är det ingen överraskning att förfalskning av en e-postdomän har blivit vanligare än någonsin. Det finns många anledningar till detta svindlande antal, men den mest påtagliga är bristen på heltäckande autentisering av e-post.

I själva verket, enligt PowerDMARCs UAE DMARC aoption rapportav 961 analyserade domäner saknade en majoritet av dem de nödvändiga autentiseringsimplementeringarna för e-post som behövs för skydd mot spoofing-attacker. Eftersom klyftan mellan antalet e-postmeddelanden som skickas per dag och användningen av robusta autentiseringsmetoder fortsätter att öka, bidrar det till att det blir lättare att förfalska domäner.

Hur förhindrar man domänförfalskning?

För att skydda sig mot domänspoofing-attacker bör organisationer och användare vidta följande försiktighetsåtgärder:

Håll muspekaren över URL:en innan du klickar

Ett enkelt sätt att förhindra att du blir offer för dessa attacker är att hålla muspekaren över en inbäddad URL för att inspektera dess komponenter och bekräfta dess äkthet. Detta kan göra dig uppmärksam på eventuella betydande avvikelser och ge dig insikter om destinationslänkens trovärdighet. 

Aktivera tvåfaktorsautentisering 

För ökad säkerhet rekommenderar vi att du aktiverar tvåfaktorsautentisering. Detta extra skyddslager håller hackare borta från ditt konto och säkerställer att endast behöriga användare får tillgång till din känsliga information.

Implementera autentiseringsprotokoll för e-post

Genom att implementera autentiseringsprotokoll för e-post, t.ex. SPF, DKIMoch DMARCkan du stärka organisationens försvar och förhindra att hackare tar sig in i den digitala infrastrukturen. Dessa protokoll fungerar tillsammans för att verifiera avsändarens legitimitet och minska riskerna i samband med nätfiskeattacker och domänförfalskning.

Sprid medvetenhet bland de anställda

Det är viktigt att förstå att ansvaret för att upprätthålla en sund cybersäkerhet inte bara ligger hos säkerhetsteamet utan även hos alla medlemmar i organisationen. Därför bör företag erbjuda sina anställda omfattande utbildning i säkerhetsmedvetenhet för att hjälpa dem att känna igen nätfiskeförsök och andra former av social ingenjörskonst.

Slutsats 

Domänförfalskning är en ständig utmaning för de flesta säkerhetsteam, och även om det inte finns någon patentlösning för att försvara sig mot dessa attacker, kan ett strategiskt tillvägagångssätt hjälpa organisationer att skapa en säkrare digital miljö. På PowerDMARC prioriterar vi din säkerhet och arbetar för att skydda dina IT-tillgångar. 

Om du letar efter en pålitlig lösning för att skydda dina e-postmeddelanden från nätfiskeattacker och förfalskningsförsök är PowerDMARC din go-to-lösning! Vi erbjuder en rad omfattande tjänster som kan hjälpa dig att skydda din e-postdomän och ditt rykte. Kontakta oss för att boka en DMARC-demo idag!

Domänförfalskning

/av

Hur förbättrar du ditt försvar mot phishing och förfalskning?

Personifieringsattacker som phishing och förfalskning kan dramatiskt påverka din domäns hälsa och leda till autentiseringsfel, e-postkompromiss och mycket mer! Det är därför du måste förbättra ditt försvar mot dem, från och med idag. Det finns olika metoder du kan distribuera för att säkerställa att dina e-postmeddelanden är tillräckligt skyddade mot phishing- och förfalskningsattacker. Låt oss diskutera vad de är!

E-postautentiseringsprotokoll för att förhindra personifieringsattacker

  1. Ramverk för avsändarprincip (SPF)
    Ett bra sätt att börja är att distribuera SPF. Sender Policy Framework, som baseras på DNS för ditt domännamn, kan intyga att den IP som används för att skicka ett e-postmeddelande har rätt att göra det. Det förhindrar bedräglig användning av ditt domännamn och hindrar tredje part från att låtsas vara du. SPF-protokollet är särskilt effektivt mot phishing- och förfalskningsattacker eftersom de ofta utnyttjar sådana misstag. Om en e-postserver uppger att den har skickats av en e-postserver vars IP-adress kan tillskrivas din domän kommer operativsystemet i allmänhet att kontrollera två gånger innan du skickar ett e-postmeddelande. På så sätt ignoreras e-postservrar som inte respekterar SPF. För att uttrycka det enkelt tillåter "SPF-protokollet" ägaren till en domän (till exempel [email protected]) att skicka en auktorisering till sin DNS-myndighet.

  2. Domännycklar identifierad e-post (DKIM)
    DomainKeys Identified Mail, eller DKIM, är ett e-postautentiseringssystem som använder digitala signaturer för att verifiera källan och innehållet i ett meddelande. Det är en uppsättning kryptografiska tekniker för att verifiera källan och innehållet i e-postmeddelanden för att minska skräppost, phishing och andra former av skadlig e-post. Specifikt använder den delade privata krypteringsnycklar för att autentisera avsändaren av ett visst meddelande (nyckelaspekten här är att endast den avsedda mottagaren ska ha den här privata nyckeln), vilket säkerställer att e-post inte kan "förfalskas" eller felaktigt representeras av bedragare. Det gör det också möjligt för en behörig mottagare att upptäcka eventuella ändringar som gjorts i ett meddelande efter att det har skickats. Om den organisation som ansvarar för att validera dessa signaturer upptäcker datakorruption i ett e-postmeddelande kan de helt enkelt avvisa den som falsk och meddela avsändaren som sådan.

  3. Domänbaserad meddelandeautentisering, rapportering och överensstämmelse (DMARC)
    DMARC finns av flera skäl. För det första ger DMARC dig ett sätt att berätta för e-postservrar vilka meddelanden som är legitima och vilka som inte är det. För det andra ger DMARC dig rapporter om hur väl skyddad din domän är från attacker. För det tredje hjälper DMARC till att skydda ditt varumärke från att associeras med meddelanden som kan skada ditt rykte. DMARC ger mer skydd mot phishing och förfalskning genom att verifiera att ett e-postmeddelande verkligen härstammar från den domän som det påstår sig ha kommit från. DMARC gör det också möjligt för din organisation att begära rapporter om de meddelanden du tar emot. Dessa rapporter kan hjälpa dig att undersöka möjliga säkerhetsproblem och identifiera möjliga hot, till exempel infektion med skadlig kod eller nätfiskeattacker riktade mot din organisation.

Hur kan PowerDMARC hjälpa dig att skydda din domän mot nätfiske och förfalskningsattacker?

PowerDMARC:s e-postsäkerhetsautentiseringssvit hjälper dig inte bara med den sömlösa onboardingen av dina SPF-, DKIM- och DMARC-protokoll utan ger många fler ytterligare fördelar, inklusive:

  • SPF-förenkling för att säkerställa att din SPF-post förblir giltig och under SPF-hårdgränsen på 10 uppslag
  • BIMI för visuell identifiering av dina företagsmeddelanden. BIMI säkerställer att e-postmeddelandena som når dina kunder innehåller din varumärkeslogotyp som kan upptäckas av dem redan innan de öppnar meddelandet
  • MTA-STS för att kryptera dina e-postmeddelanden under överföring

För att njuta av gratis DMARCbehöver du bara registrera dig och skapa ett PowerDMARC-konto utan extra kostnader. Starta din e-postautentiseringsresa med oss för en säkrare e-postupplevelse!

Domänförfalskning

/av

Så du kom just till 100% DMARC Verkställighet. Vad händer nu?

Okej, du har just gått igenom hela processen med att ställa in DMARC för din domän. Du publicerade dina SPF-, DKIM- och DMARC-poster, analyserade alla dina rapporter, åtgärdade leveransproblem, stötte upp din verkställighetsnivå från p = ingen till karantän och slutligen att avvisa. Du är officiellt 100% DMARC-verkställd. Grattis! Nu når bara dina e-postmeddelanden människors inkorgar. Ingen kommer att utge sig för att vara ditt varumärke om du kan hjälpa det.

Så det är allt, eller hur? Din domän är säkrad och vi kan alla gå hem glada, med vetskapen om att dina e-postmeddelanden kommer att vara säkra. Höger...?

Inte precis. DMARC är ungefär som motion och kost: du gör det ett tag och förlorar en massa vikt och får några sjuka magmuskler, och allt går bra. Men om du slutar, kommer alla dessa vinster du just gjorde långsamt att minska, och risken för förfalskning börjar smyga sig in igen. Men flippa inte ut! Precis som med kost och motion är det svårast att komma i form (dvs. komma till 100% verkställighet). När du har gjort det behöver du bara behålla det på samma nivå, vilket är mycket lättare.

Okej, nog med analogierna, låt oss komma igång. Om du just har implementerat och framtvingat DMARC på din domän, vad är nästa steg? Hur fortsätter du att hålla din domän och e-postkanaler säkra?

Vad du ska göra efter att ha uppnått DMARC-verkställighet

Den främsta anledningen till att e-postsäkerheten inte upphör när du har uppnått 100% efterlevnad är att attackmönster, phishing-bedrägerier och avsändande källor alltid förändras. En populär trend inom e-postbedrägerier varar ofta inte ens längre än ett par månader. Tänk på ransomware-attackerna med WannaCry 2018, eller till och med något så nytt som phishing-bedrägerierna med WHO Coronavirus i början av 2020. Du ser inte mycket av dem i naturen just nu, eller hur?

Cyberbrottslingar ändrar ständigt sin taktik, och skadliga sändningskällor förändras och multipliceras alltid, och det finns inte mycket du kan göra åt det. Vad du kan göra är att förbereda ditt varumärke för alla möjliga cyberattacker som kan komma mot dig. Och sättet att göra det är genom DMARC-övervakning & synlighet .

Även efter att du har drivits måste du fortfarande ha total kontroll över dina e-postkanaler. Det betyder att du måste veta vilka IP-adresser som skickar e-post via din domän, där du har problem med e-postleverans eller autentisering, och identifiera och svara på eventuella förfalskningsförsök eller skadlig server som bär en phishing-kampanj för din räkning. Ju mer du övervakar din domän, desto bättre kommer du att förstå den. Och följaktligen, ju bättre du kommer att kunna säkra dina e-postmeddelanden, dina data och ditt varumärke.

Varför DMARC-övervakning är så viktigt

Identifiera nya e-postkällor
När du övervakar dina e-postkanaler kontrollerar du inte bara om allt går bra. Du kommer också att leta efter nya IPs som skickar e-postmeddelanden från din domän. Din organisation kan ändra sina partners eller tredjepartsleverantörer så ofta, vilket innebär att deras IPs kan bli behöriga att skicka e-postmeddelanden för din räkning. Är den nya sändande källan bara en av dina nya leverantörer, eller är det någon som försöker utge sig för att vara ditt varumärke? Om du analyserar dina rapporter regelbundet har du ett definitivt svar på det.

Med PowerDMARC kan du visa dina DMARC-rapporter enligt varje sändande källa för din domän.

Förstå nya trender för domänmissbruk
Som jag nämnde tidigare hittar angripare alltid nya sätt att utge sig för att vara varumärken och lura människor att ge dem data och pengar. Men om du bara tittar på dina DMARC-rapporter en gång varannan månad, kommer du inte att märka några telltale tecken på förfalskning. Om du inte regelbundet övervakar e-posttrafiken i din domän kommer du inte att märka trender eller mönster i misstänkt aktivitet, och när du drabbas av en falsk attack kommer du att vara lika aningslös som de personer som är riktade mot e-postmeddelandet. Och tro mig, det är aldrig en bra look för ditt varumärke.

Hitta och svartlista skadliga IPs
Det räcker inte bara att hitta vem som exakt försöker missbruka din domän, du måste stänga av dem så fort som möjligt. När du är medveten om dina sändande källor är det mycket lättare att hitta en kränkande IP, och när du har hittat den kan du rapportera den IP till deras webbhotell och få dem svartlistade. På så sätt eliminerar du permanent det specifika hotet och undviker en förfalskningsattack.

Med Power Take Down hittar du platsen för en skadlig IP, deras historia av missbruk och får dem nedtagna.

Kontroll över leveransbarhet
Även om du var noga med att ta upp DMARC till 100% verkställighet utan att påverka dina e-postleveranskostnader, är det viktigt att kontinuerligt säkerställa konsekvent hög leveransbarhet. När allt kommer kommer över, vad är användningen av all e-postsäkerhet om ingen av e-postmeddelandena tar sig till sin destination? Genom att övervaka dina e-postrapporter kan du se vilka som har passerats, misslyckats eller inte anpassats till DMARC och upptäcka källan till problemet. Utan övervakning skulle det vara omöjligt att veta om dina e-postmeddelanden levereras, än mindre lösa problemet.

PowerDMARC ger dig möjlighet att visa rapporter baserat på deras DMARC-status så att du direkt kan identifiera vilka som inte klarade sig igenom.

 

Vår banbrytande plattform erbjuder 24×7 domänövervakning och ger dig till och med ett dedikerat säkerhetsteam som kan hantera en säkerhetsöverträdelse för dig. Läs mer om utökat stöd för PowerDMARC.

Domänförfalskning

/av

Den största myten om säkerhet med Office 365

Vid första anblicken verkar Microsofts Office 365-paket vara ganska... Sött, eller hur? Du får inte bara en hel mängd produktivitetsappar, molnlagring och en e-posttjänst, utan du är också skyddad från skräppost med Microsofts egna säkerhetslösningar för e-post. Inte undra på att det är den mest antagna företags-e-postlösningen som finns tillgänglig, med en marknadsandel på 54% och över 155 miljoner aktiva användare. Du är nog en av dem också.

Men om ett cybersäkerhetsföretag skriver en blogg om Office 365 måste det vara något mer med det, eller hur? Ja, det gör jag. Det finns det. Så låt oss prata om vad exakt problemet är med Office 365: s säkerhetsalternativ, och varför du verkligen behöver veta om detta.

Vad Microsoft Office 365 Security är bra på

Innan vi pratar om problemen med det, låt oss först snabbt få detta ur vägen: Microsoft Office 365 Advanced Threat Protection (vad en munfull) är ganska effektiv på grundläggande e-postsäkerhet. Det kommer att kunna stoppa skräppost, skadlig programvara och virus från att ta sig in i din inkorg.

Detta är tillräckligt bra om du bara letar efter ett grundläggande skydd mot skräppost. Men det är problemet: skräppost på låg nivå som denna utgör vanligtvis inte det största hotet. De flesta e-postleverantörer erbjuder någon form av grundläggande skydd genom att blockera e-post från misstänkta källor. Det verkliga hotet – den typ som kan få din organisation att förlora pengar, data och varumärkesintegritet –är e-postmeddelanden som är noggrant konstruerade så att du inte inser att de är falska.

Det är då du kommer in på allvarligt cyberbrottsområde.

Vad Microsoft Office 365 inte kan skydda dig från

Microsoft Office 365:s säkerhetslösning fungerar som ett skräppostfilter med hjälp av algoritmer för att avgöra om ett e-postmeddelande liknar andra skräppost- eller phishing-e-postmeddelanden. Men vad händer när du drabbas av en mycket mer sofistikerad attack med hjälp av social ingenjörskonst, eller riktad mot en specifik anställd eller grupp av anställda?

Det här är inte dina vanliga skräppostmeddelanden som skickas ut till tiotusentals människor på en gång. Business Email Compromise (BEC) och Vendor Email Compromise (VEC) är exempel på hur angripare noggrant väljer ett mål, lär sig mer information om sin organisation genom att spionera på sina e-postmeddelanden och vid en strategisk tidpunkt skicka en falsk faktura eller begäran via e-post och be om att pengar ska överföras eller data delas.

Denna taktik, allmänt känd som spear phishing, gör att det verkar som om e-post kommer från någon inom din egen organisation eller en betrodd partner eller leverantör. Även under noggrann inspektion kan dessa e-postmeddelanden se mycket realistiska ut och är nästan omöjliga att upptäcka, även för erfarna cybersäkerhetsexperter.

Om en angripare låtsas vara din chef eller VD för din organisation och skickar dig ett e-postmeddelande är det osannolikt att du kontrollerar om e-postmeddelandet ser äkta ut eller inte. Det är precis det som gör BEC- och VD-bedrägerier så farliga. Office 365 kommer inte att kunna skydda dig mot den här typen av attacker eftersom dessa skenbart kommer från en riktig person, och algoritmerna kommer inte att betrakta det som ett skräppostmeddelande.

Hur skyddar du Office 365 mot BEC och Spear Phishing?

Domänbaserad meddelandeautentisering, rapportering & konformation eller DMARC är ett e-postsäkerhetsprotokoll som använder information från domänägaren för att skydda mottagare från förfalskad e-post. När du implementerar DMARC på organisationens domänkontrollerar mottagande servrar varje e-postmeddelande som kommer från din domän mot de DNS-poster som du publicerade.

Men om Office 365 ATP inte kunde förhindra riktade förfalskningsattacker, hur gör DMARC det?

Tja, DMARC fungerar mycket annorlunda än ett anti-spam filter. Medan skräppostfilter markerar inkommande e-post som kommer in i inkorgen autentiserar DMARC utgående e-post som skickas av organisationens domän. Vad detta innebär är att om någon försöker utge sig för att vara din organisation och skicka phishing-e-postmeddelanden till dig, så länge du är DMARC-verkställd, kommer dessa e-postmeddelanden att dumpas i skräppostmappen eller blockeras helt.

Och få detta - det betyder också att om en cyberbrottstjuv använde ditt betrodda varumärke för att skicka phishing-e-postmeddelanden, skulle inte ens dina kunder behöva ta itu med dem heller. DMARC hjälper faktiskt till att skydda ditt företag också.

Men det finns mer: Office 365 ger faktiskt inte din organisation någon synlighet vid en phishing-attack, det blockerar bara skräppost. Men om du vill skydda din domän ordentligt måste du veta exakt vem eller vad som försöker utge sig för att vara ditt varumärke och vidta omedelbara åtgärder. PowerDMARC tar detta till nästa nivå med avancerad DMARC-analys direkt på instrumentpanelen.

Läs mer om vad PowerDMARC kan göra för ditt varumärke.

Domänförfalskning

/av

Hur angripare använder coronaviruset för att lura dig

När organisationer inrättar välgörenhetsfonder runt om i världen för att bekämpa Covid-19 utkämpas en annan typ av strid i internets elektroniska kanaler. Tusentals människor runt om i världen har fallit offer för e-postförfalskning och covid-19-e-postbedrägerier under coronapandemin. Det har blivit allt vanligare att se cyberbrottslingar använda riktiga domännamn för dessa organisationer i sina e-postmeddelanden för att verka legitima.

I den senaste uppmärksammade coronavirusbedrägeriet skickades ett e-postmeddelande som påstods komma från Världshälsoorganisationen (WHO) runt om i världen med en begäran om donationer till Solidarity Response Fund. Avsändaradressen var "[email protected]", där "who.int" är WHO:s riktiga domännamn. Det bekräftades att e-postmeddelandet var en nätfiskebedrägeri, men vid första anblicken pekade alla tecken på att avsändaren var äkta. Domänen tillhörde trots allt det riktiga WHO.

donera svarsfond

Detta har dock bara varit en i en växande serie phishing-bedrägerier som använder e-postmeddelanden relaterade till coronavirus för att stjäla pengar och känslig information från människor. Men om avsändaren använder ett riktigt domännamn, hur kan vi skilja ett legitimt e-postmeddelande från ett falskt? Varför är cyberbrottslingar så lätta att använda e-postdomänförfalskning på en så stor organisation?

Och hur tar entiteter som WHO reda på när någon använder sin domän för att starta en phishing-attack?

E-post är det mest använda affärskommunikationsverktyget i världen, men det är ett helt öppet protokoll. På egen hand finns det väldigt lite att övervaka vem som skickar vilka e-postmeddelanden och från vilken e-postadress. Detta blir ett stort problem när angripare döljer sig som ett pålitligt varumärke eller offentlig person och ber människor att ge dem sina pengar och personlig information. Faktum är att över 90% av alla företags dataöverträdelser under de senaste åren har involverat e-postfiske i en eller annan form. Och e-postdomänförfalskning är en av de främsta orsakerna till det.

I ett försök att skydda e-post utvecklades protokoll som Sender Policy Framework (SPF) och Domain Keys Identified Mail (DKIM). SPF dubbelkontrollerar avsändarens IP-adress med en godkänd lista över IP-adresser, och DKIM använder en krypterad digital signatur för att skydda e-postmeddelanden. Även om dessa båda är individuellt effektiva, har de sin egen uppsättning brister. DMARC, som utvecklades 2012, är ett protokoll som använder både SPF- och DKIM-autentisering för att skydda e-post och har en mekanism som skickar domänägaren en rapport när ett e-postmeddelande misslyckas med DMARC-validering.

Detta innebär att domänägaren meddelas när ett e-postmeddelande skickas av en obehörig tredje part. Och avgörande är att de kan berätta för e-postmottagaren hur man hanterar oautentiserad post: låt den gå till inkorgen, sätta den i karantän eller avvisa den direkt. I teorin bör detta stoppa dålig e-post från att översvämma människors inkorgar och minska antalet phishing-attacker vi står inför. Så varför gör det inte det?

Kan DMARC förhindra domänförfalskning och Covid-19-e-postbedrägerier?

E-postautentisering kräver att avsändardomäner publicerar sina SPF-, DKIM- och DMARC-poster i DNS. Enligt en studie hade endast 44,9% av Alexa topp 1 miljon domäner en giltig SPF-post publicerad 2018, och så lite som 5,1% hade en giltig DMARC-post. Och detta trots att domäner utan DMARC-autentisering lider av att förfalska nästan fyra gånger så mycket som domäner som är säkrade. Det finns en brist på seriös DMARC-implementering i hela affärslandskapet, och det har inte blivit mycket bättre med åren. Även organisationer som UNICEF har ännu inte implementerat DMARC med sina domäner, och Vita huset och USA: s försvarsdepartement har båda en DMARC-policy av p = ingen, vilket innebär att de inte upprätthålls.

En undersökning utförd av experter på Virginia Tech har visat några av de allvarligaste problemen som nämns av stora företag och företag som ännu inte har använda DMARC-autentisering:

  1. Driftsättningssvårigheter: Strikt tillämpning av säkerhetsprotokoll innebär ofta en hög grad av samordning i stora institutioner, vilket de ofta inte har resurser för. Utöver det har många organisationer inte mycket kontroll över sin DNS, så att publicera DMARC-poster blir ännu mer utmanande.
  2. Fördelar som inte uppväger kostnaderna: DMARC-autentisering har vanligtvis direkta fördelar för mottagaren av e-postmeddelandet snarare än domänägaren. Bristen på seriösa motiv för att anta det nya protokollet har gjort att många företag inte har införlivat DMARC i sina system.
  3. Risk för att bryta det befintliga systemet: DMARC: s relativa nyhet gör det mer benägna att felaktigt genomföra, vilket ökar den mycket verkliga risken för att legitima e-postmeddelanden inte går igenom. Företag som förlitar sig på e-postcirkulation har inte råd att få det att hända, och så bry dig inte om att anta DMARC alls.

Erkänna varför vi behöver DMARC

Även om de farhågor som uttryckts av företag i undersökningen har uppenbara fördelar, gör det inte DMARC-implementering mindre absolut nödvändigt för e-postsäkerhet. Ju längre företag fortsätter att fungera utan en DMARC-autentiserad domän, desto mer utsätter vi oss alla för den mycket verkliga faran med phishing-attacker via e-post. Som coronavirusets e-postförfalskningsbedrägerier har lärt oss är ingen säker från att bli måltavla eller utge sig för att vara måltavla. Tänk på DMARC som ett vaccin - när antalet människor som använder det växer minskar chanserna att få en infektion dramatiskt.

Det finns verkliga, genomförbara lösningar på detta problem som kan övervinna människors oro över antagandet av DMARC. Här är bara några få som kan öka implementeringen med stor marginal:

  1. Minska friktionen i implementeringen: Det största hindret för ett företag att anta DMARC är de distributionskostnader som är förknippade med det. Ekonomin är i gungning och resurserna är knappa. Det är därför PowerDMARC tillsammans med våra industripartners Global Cyber Alliance (GCA) är stolta över att tillkännage ett tidsbegränsat erbjudande under Covid-19-pandemin - 3 månader av vår fullständiga uppsättning appar, DMARC-implementering och anti-spoofing-tjänster, helt gratis. Få din DMARC-lösning konfigurerad på några minuter och börja övervaka dina e-postmeddelanden med PowerDMARC nu.
  2. Förbättra upplevd användbarhet: För att DMARC ska ha en stor inverkan på e-postsäkerheten behöver den en kritisk massa av användare för att publicera sina SPF-, DKIM- och DMARC-poster. Genom att belöna DMARC-autentiserade domäner med en "Betrodd" eller "Verifierad" ikon (som med marknadsföringen av HTTPS bland webbplatser) kan domänägare uppmuntras att få ett positivt rykte för sin domän. När detta når ett visst tröskelvärde kommer domäner som skyddas av DMARC att ses mer gynnsamt än de som inte är det.
  3. Strömlinjeformad distribution: Genom att göra det enklare att distribuera och konfigurera anti-spoofing-protokoll kommer fler domäner att vara angenäma för DMARC-autentisering. Ett sätt att göra detta är att tillåta protokollet att köras i ett "övervakningsläge", vilket gör det möjligt för e-postadministratörer att bedöma vilken inverkan det har på deras system innan de går för en fullständig distribution.

Varje ny uppfinning medför nya utmaningar. Varje ny utmaning tvingar oss att hitta ett nytt sätt att övervinna den. DMARC har funnits i några år nu, men phishing har funnits mycket längre. Under de senaste veckorna har Covid-19-pandemin bara gett den ett nytt ansikte. På PowerDMARC är vi här för att hjälpa dig att möta den här nya utmaningen rakt på. Registrera dig här för din gratis DMARC-analysator, så att medan du stannar hemma säkert från coronavirus är din domän säker från e-postförfalskning.

Domänförfalskning

/av