Inlägg

Personifieringsattacker som phishing och förfalskning kan dramatiskt påverka din domäns hälsa och leda till autentiseringsfel, e-postkompromiss och mycket mer! Det är därför du måste förbättra ditt försvar mot dem, från och med idag. Det finns olika metoder du kan distribuera för att säkerställa att dina e-postmeddelanden är tillräckligt skyddade mot phishing- och förfalskningsattacker. Låt oss diskutera vad de är!

E-postautentiseringsprotokoll för att förhindra personifieringsattacker

  1. Ramverk för avsändarprincip (SPF)
    Ett bra sätt att börja är att distribuera SPF. Sender Policy Framework, som baseras på DNS för ditt domännamn, kan intyga att den IP som används för att skicka ett e-postmeddelande har rätt att göra det. Det förhindrar bedräglig användning av ditt domännamn och hindrar tredje part från att låtsas vara du. SPF-protokollet är särskilt effektivt mot phishing- och förfalskningsattacker eftersom de ofta utnyttjar sådana misstag. Om en e-postserver uppger att den har skickats av en e-postserver vars IP-adress kan tillskrivas din domän kommer operativsystemet i allmänhet att kontrollera två gånger innan du skickar ett e-postmeddelande. På så sätt ignoreras e-postservrar som inte respekterar SPF. För att uttrycka det enkelt tillåter "SPF-protokollet" ägaren till en domän (till exempel [email protected]) att skicka en auktorisering till sin DNS-myndighet.

  2. Domännycklar identifierad e-post (DKIM)
    DomainKeys Identified Mail, eller DKIM, är ett e-postautentiseringssystem som använder digitala signaturer för att verifiera källan och innehållet i ett meddelande. Det är en uppsättning kryptografiska tekniker för att verifiera källan och innehållet i e-postmeddelanden för att minska skräppost, phishing och andra former av skadlig e-post. Specifikt använder den delade privata krypteringsnycklar för att autentisera avsändaren av ett visst meddelande (nyckelaspekten här är att endast den avsedda mottagaren ska ha den här privata nyckeln), vilket säkerställer att e-post inte kan "förfalskas" eller felaktigt representeras av bedragare. Det gör det också möjligt för en behörig mottagare att upptäcka eventuella ändringar som gjorts i ett meddelande efter att det har skickats. Om den organisation som ansvarar för att validera dessa signaturer upptäcker datakorruption i ett e-postmeddelande kan de helt enkelt avvisa den som falsk och meddela avsändaren som sådan.

  3. Domänbaserad meddelandeautentisering, rapportering och överensstämmelse (DMARC)
    DMARC finns av flera skäl. För det första ger DMARC dig ett sätt att berätta för e-postservrar vilka meddelanden som är legitima och vilka som inte är det. För det andra ger DMARC dig rapporter om hur väl skyddad din domän är från attacker. För det tredje hjälper DMARC till att skydda ditt varumärke från att associeras med meddelanden som kan skada ditt rykte. DMARC ger mer skydd mot phishing och förfalskning genom att verifiera att ett e-postmeddelande verkligen härstammar från den domän som det påstår sig ha kommit från. DMARC gör det också möjligt för din organisation att begära rapporter om de meddelanden du tar emot. Dessa rapporter kan hjälpa dig att undersöka möjliga säkerhetsproblem och identifiera möjliga hot, till exempel infektion med skadlig kod eller nätfiskeattacker riktade mot din organisation.

Hur kan PowerDMARC hjälpa dig att skydda din domän mot nätfiske och förfalskningsattacker?

PowerDMARC:s e-postsäkerhetsautentiseringssvit hjälper dig inte bara med den sömlösa onboardingen av dina SPF-, DKIM- och DMARC-protokoll utan ger många fler ytterligare fördelar, inklusive:

  • SPF-förenkling för att säkerställa att din SPF-post förblir giltig och under SPF-hårdgränsen på 10 uppslag
  • BIMI för visuell identifiering av dina företagsmeddelanden. BIMI säkerställer att e-postmeddelandena som når dina kunder innehåller din varumärkeslogotyp som kan upptäckas av dem redan innan de öppnar meddelandet
  • MTA-STS för att kryptera dina e-postmeddelanden under överföring

För att njuta av gratis DMARCbehöver du bara registrera dig och skapa ett PowerDMARC-konto utan extra kostnader. Starta din e-postautentiseringsresa med oss för en säkrare e-postupplevelse!

Okej, du har just gått igenom hela processen med att ställa in DMARC för din domän. Du publicerade dina SPF-, DKIM- och DMARC-poster, analyserade alla dina rapporter, åtgärdade leveransproblem, stötte upp din verkställighetsnivå från p = ingen till karantän och slutligen att avvisa. Du är officiellt 100% DMARC-verkställd. Grattis! Nu når bara dina e-postmeddelanden människors inkorgar. Ingen kommer att utge sig för att vara ditt varumärke om du kan hjälpa det.

Så det är allt, eller hur? Din domän är säkrad och vi kan alla gå hem glada, med vetskapen om att dina e-postmeddelanden kommer att vara säkra. Höger...?

Inte precis. DMARC är ungefär som motion och kost: du gör det ett tag och förlorar en massa vikt och får några sjuka magmuskler, och allt går bra. Men om du slutar, kommer alla dessa vinster du just gjorde långsamt att minska, och risken för förfalskning börjar smyga sig in igen. Men flippa inte ut! Precis som med kost och motion är det svårast att komma i form (dvs. komma till 100% verkställighet). När du har gjort det behöver du bara behålla det på samma nivå, vilket är mycket lättare.

Okej, nog med analogierna, låt oss komma igång. Om du just har implementerat och framtvingat DMARC på din domän, vad är nästa steg? Hur fortsätter du att hålla din domän och e-postkanaler säkra?

Vad du ska göra efter att ha uppnått DMARC-verkställighet

Anledningen #1 att e-postsäkerhet inte bara slutar efter att du har nått 100% verkställighet är att attackmönster, phishing-bedrägerier och skickande källor alltid förändras. En populär trend i e-postbedrägerier varar ofta inte ens längre än ett par månader. Tänk på WannaCry Ransomware-attackerna 2018, eller till och med något så nytt som WHO Coronavirus phishing-bedrägerier i början av 2020. Du ser inte mycket av dem i naturen just nu, eller hur?

Cyberbrottslingar ändrar ständigt sin taktik, och skadliga sändningskällor förändras och multipliceras alltid, och det finns inte mycket du kan göra åt det. Vad du kan göra är att förbereda ditt varumärke för alla möjliga cyberattacker som kan komma mot dig. Och sättet att göra det är genom DMARC-övervakning & synlighet .

Även efter att du har drivits måste du fortfarande ha total kontroll över dina e-postkanaler. Det betyder att du måste veta vilka IP-adresser som skickar e-post via din domän, där du har problem med e-postleverans eller autentisering, och identifiera och svara på eventuella förfalskningsförsök eller skadlig server som bär en phishing-kampanj för din räkning. Ju mer du övervakar din domän, desto bättre kommer du att förstå den. Och följaktligen, ju bättre du kommer att kunna säkra dina e-postmeddelanden, dina data och ditt varumärke.

Varför DMARC-övervakning är så viktigt

Identifiera nya e-postkällor
När du övervakar dina e-postkanaler kontrollerar du inte bara om allt går bra. Du kommer också att leta efter nya IPs som skickar e-postmeddelanden från din domän. Din organisation kan ändra sina partners eller tredjepartsleverantörer så ofta, vilket innebär att deras IPs kan bli behöriga att skicka e-postmeddelanden för din räkning. Är den nya sändande källan bara en av dina nya leverantörer, eller är det någon som försöker utge sig för att vara ditt varumärke? Om du analyserar dina rapporter regelbundet har du ett definitivt svar på det.

Med PowerDMARC kan du visa dina DMARC-rapporter enligt varje sändande källa för din domän.

Förstå nya trender för domänmissbruk
Som jag nämnde tidigare hittar angripare alltid nya sätt att utge sig för att vara varumärken och lura människor att ge dem data och pengar. Men om du bara tittar på dina DMARC-rapporter en gång varannan månad, kommer du inte att märka några telltale tecken på förfalskning. Om du inte regelbundet övervakar e-posttrafiken i din domän kommer du inte att märka trender eller mönster i misstänkt aktivitet, och när du drabbas av en falsk attack kommer du att vara lika aningslös som de personer som är riktade mot e-postmeddelandet. Och tro mig, det är aldrig en bra look för ditt varumärke.

Hitta och svartlista skadliga IPs
Det räcker inte bara att hitta vem som exakt försöker missbruka din domän, du måste stänga av dem så fort som möjligt. När du är medveten om dina sändande källor är det mycket lättare att hitta en kränkande IP, och när du har hittat den kan du rapportera den IP till deras webbhotell och få dem svartlistade. På så sätt eliminerar du permanent det specifika hotet och undviker en förfalskningsattack.

Med Power Take Down hittar du platsen för en skadlig IP, deras historia av missbruk och får dem nedtagna.

Kontroll över leveransbarhet
Även om du var noga med att ta upp DMARC till 100% verkställighet utan att påverka dina e-postleveranskostnader, är det viktigt att kontinuerligt säkerställa konsekvent hög leveransbarhet. När allt kommer kommer över, vad är användningen av all e-postsäkerhet om ingen av e-postmeddelandena tar sig till sin destination? Genom att övervaka dina e-postrapporter kan du se vilka som har passerats, misslyckats eller inte anpassats till DMARC och upptäcka källan till problemet. Utan övervakning skulle det vara omöjligt att veta om dina e-postmeddelanden levereras, än mindre lösa problemet.

PowerDMARC ger dig möjlighet att visa rapporter baserat på deras DMARC-status så att du direkt kan identifiera vilka som inte klarade sig igenom.

 

Vår banbrytande plattform erbjuder 24×7 domänövervakning och ger dig till och med ett dedikerat säkerhetsteam som kan hantera en säkerhetsöverträdelse för dig. Läs mer om utökat stöd för PowerDMARC.

Vid första anblicken verkar Microsofts Office 365-paket vara ganska... Sött, eller hur? Du får inte bara en hel mängd produktivitetsappar, molnlagring och en e-posttjänst, utan du är också skyddad från skräppost med Microsofts egna säkerhetslösningar för e-post. Inte undra på att det är den mest antagna företags-e-postlösningen som finns tillgänglig, med en marknadsandel på 54% och över 155 miljoner aktiva användare. Du är nog en av dem också.

Men om ett cybersäkerhetsföretag skriver en blogg om Office 365 måste det vara något mer med det, eller hur? Ja, det gör jag. Det finns det. Så låt oss prata om vad exakt problemet är med Office 365: s säkerhetsalternativ, och varför du verkligen behöver veta om detta.

Vad Microsoft Office 365 Security är bra på

Innan vi pratar om problemen med det, låt oss först snabbt få detta ur vägen: Microsoft Office 365 Advanced Threat Protection (vad en munfull) är ganska effektiv på grundläggande e-postsäkerhet. Det kommer att kunna stoppa skräppost, skadlig programvara och virus från att ta sig in i din inkorg.

Detta är tillräckligt bra om du bara letar efter ett grundläggande skydd mot skräppost. Men det är problemet: skräppost på låg nivå som denna utgör vanligtvis inte det största hotet. De flesta e-postleverantörer erbjuder någon form av grundläggande skydd genom att blockera e-post från misstänkta källor. Det verkliga hotet – den typ som kan få din organisation att förlora pengar, data och varumärkesintegritet –är e-postmeddelanden som är noggrant konstruerade så att du inte inser att de är falska.

Det är då du kommer in på allvarligt cyberbrottsområde.

Vad Microsoft Office 365 inte kan skydda dig från

Microsoft Office 365:s säkerhetslösning fungerar som ett skräppostfilter med hjälp av algoritmer för att avgöra om ett e-postmeddelande liknar andra skräppost- eller phishing-e-postmeddelanden. Men vad händer när du drabbas av en mycket mer sofistikerad attack med hjälp av social ingenjörskonst, eller riktad mot en specifik anställd eller grupp av anställda?

Det här är inte dina vanliga skräppostmeddelanden som skickas ut till tiotusentals människor på en gång. Business Email Compromise (BEC) och Vendor Email Compromise (VEC) är exempel på hur angripare noggrant väljer ett mål, lär sig mer information om sin organisation genom att spionera på sina e-postmeddelanden och vid en strategisk tidpunkt skicka en falsk faktura eller begäran via e-post och be om att pengar ska överföras eller data delas.

Denna taktik, allmänt känd som spear phishing, gör att det verkar som om e-post kommer från någon inom din egen organisation eller en betrodd partner eller leverantör. Även under noggrann inspektion kan dessa e-postmeddelanden se mycket realistiska ut och är nästan omöjliga att upptäcka, även för erfarna cybersäkerhetsexperter.

Om en angripare låtsas vara din chef eller VD för din organisation och skickar dig ett e-postmeddelande är det osannolikt att du kontrollerar om e-postmeddelandet ser äkta ut eller inte. Det är precis det som gör BEC- och VD-bedrägerier så farliga. Office 365 kommer inte att kunna skydda dig mot den här typen av attacker eftersom dessa skenbart kommer från en riktig person, och algoritmerna kommer inte att betrakta det som ett skräppostmeddelande.

Hur skyddar du Office 365 mot BEC och Spear Phishing?

Domänbaserad meddelandeautentisering, rapportering & konformation eller DMARC är ett e-postsäkerhetsprotokoll som använder information från domänägaren för att skydda mottagare från förfalskad e-post. När du implementerar DMARC på organisationens domänkontrollerar mottagande servrar varje e-postmeddelande som kommer från din domän mot de DNS-poster som du publicerade.

Men om Office 365 ATP inte kunde förhindra riktade förfalskningsattacker, hur gör DMARC det?

Tja, DMARC fungerar mycket annorlunda än ett anti-spam filter. Medan skräppostfilter markerar inkommande e-post som kommer in i inkorgen autentiserar DMARC utgående e-post som skickas av organisationens domän. Vad detta innebär är att om någon försöker utge sig för att vara din organisation och skicka phishing-e-postmeddelanden till dig, så länge du är DMARC-verkställd, kommer dessa e-postmeddelanden att dumpas i skräppostmappen eller blockeras helt.

Och få detta - det betyder också att om en cyberbrottstjuv använde ditt betrodda varumärke för att skicka phishing-e-postmeddelanden, skulle inte ens dina kunder behöva ta itu med dem heller. DMARC hjälper faktiskt till att skydda ditt företag också.

Men det finns mer: Office 365 ger faktiskt inte din organisation någon synlighet vid en phishing-attack, det blockerar bara skräppost. Men om du vill skydda din domän ordentligt måste du veta exakt vem eller vad som försöker utge sig för att vara ditt varumärke och vidta omedelbara åtgärder. PowerDMARC tar detta till nästa nivå med avancerad DMARC-analys direkt på instrumentpanelen.

Läs mer om vad PowerDMARC kan göra för ditt varumärke.

 

När organisationer inrättar välgörenhetsfonder runt om i världen för att bekämpa Covid-19 utkämpas en annan typ av strid i internets elektroniska kanaler. Tusentals människor runt om i världen har fallit offer för e-postförfalskning och covid-19-e-postbedrägerier under coronapandemin. Det har blivit allt vanligare att se cyberbrottslingar använda riktiga domännamn för dessa organisationer i sina e-postmeddelanden för att verka legitima.

I den senaste uppmärksammade coronavirusbluffen skickades ett e-postmeddelande från Världshälsoorganisationen (WHO) runt om i världen och begärde donationer till Solidaritetsinsatsfonden. Avsändarens adress var "[email protected]", där "who.int" är det verkliga domännamnet för WHO. E-postmeddelandet bekräftades vara en phishing-bedrägeri, men vid första anblicken pekade alla tecken på att avsändaren var äkta. När allt kommer kommer runt tillhörde domänen den riktiga WHO.

donera svarsfond

Detta har dock bara varit en i en växande serie phishing-bedrägerier som använder e-postmeddelanden relaterade till coronavirus för att stjäla pengar och känslig information från människor. Men om avsändaren använder ett riktigt domännamn, hur kan vi skilja ett legitimt e-postmeddelande från ett falskt? Varför är cyberbrottslingar så lätta att använda e-postdomänförfalskning på en så stor organisation?

Och hur tar entiteter som WHO reda på när någon använder sin domän för att starta en phishing-attack?

E-post är det mest använda affärskommunikationsverktyget i världen, men det är ett helt öppet protokoll. På egen hand finns det väldigt lite att övervaka vem som skickar vilka e-postmeddelanden och från vilken e-postadress. Detta blir ett stort problem när angripare döljer sig som ett pålitligt varumärke eller offentlig person och ber människor att ge dem sina pengar och personlig information. Faktum är att över 90% av alla företags dataöverträdelser under de senaste åren har involverat e-postfiske i en eller annan form. Och e-postdomänförfalskning är en av de främsta orsakerna till det.

I ett försök att skydda e-post utvecklades protokoll som Sender Policy Framework (SPF) och Domain Keys Identified Mail (DKIM). SPF dubbelkontrollerar avsändarens IP-adress med en godkänd lista över IP-adresser, och DKIM använder en krypterad digital signatur för att skydda e-postmeddelanden. Även om dessa båda är individuellt effektiva, har de sin egen uppsättning brister. DMARC, som utvecklades 2012, är ett protokoll som använder både SPF- och DKIM-autentisering för att skydda e-post och har en mekanism som skickar domänägaren en rapport när ett e-postmeddelande misslyckas med DMARC-validering.

Detta innebär att domänägaren meddelas när ett e-postmeddelande skickas av en obehörig tredje part. Och avgörande är att de kan berätta för e-postmottagaren hur man hanterar oautentiserad post: låt den gå till inkorgen, sätta den i karantän eller avvisa den direkt. I teorin bör detta stoppa dålig e-post från att översvämma människors inkorgar och minska antalet phishing-attacker vi står inför. Så varför gör det inte det?

Kan DMARC förhindra domänförfalskning och Covid-19-e-postbedrägerier?

E-postautentisering kräver att avsändardomäner publicerar sina SPF-, DKIM- och DMARC-poster i DNS. Enligt en studie hade endast 44,9% av Alexa topp 1 miljon domäner en giltig SPF-post publicerad 2018, och så lite som 5,1% hade en giltig DMARC-post. Och detta trots att domäner utan DMARC-autentisering lider av att förfalska nästan fyra gånger så mycket som domäner som är säkrade. Det finns en brist på seriös DMARC-implementering i hela affärslandskapet, och det har inte blivit mycket bättre med åren. Även organisationer som UNICEF har ännu inte implementerat DMARC med sina domäner, och Vita huset och USA: s försvarsdepartement har båda en DMARC-policy av p = ingen, vilket innebär att de inte upprätthålls.

En undersökning utförd av experter på Virginia Tech har visat några av de allvarligaste problemen som nämns av stora företag och företag som ännu inte har använda DMARC-autentisering:

  1. Driftsättningssvårigheter: Strikt tillämpning av säkerhetsprotokoll innebär ofta en hög grad av samordning i stora institutioner, vilket de ofta inte har resurser för. Utöver det har många organisationer inte mycket kontroll över sin DNS, så att publicera DMARC-poster blir ännu mer utmanande.
  2. Fördelar som inte uppväger kostnaderna: DMARC-autentisering har vanligtvis direkta fördelar för mottagaren av e-postmeddelandet snarare än domänägaren. Bristen på seriösa motiv för att anta det nya protokollet har gjort att många företag inte har införlivat DMARC i sina system.
  3. Risk för att bryta det befintliga systemet: DMARC: s relativa nyhet gör det mer benägna att felaktigt genomföra, vilket ökar den mycket verkliga risken för att legitima e-postmeddelanden inte går igenom. Företag som förlitar sig på e-postcirkulation har inte råd att få det att hända, och så bry dig inte om att anta DMARC alls.

Erkänna varför vi behöver DMARC

Även om de farhågor som uttryckts av företag i undersökningen har uppenbara fördelar, gör det inte DMARC-implementering mindre absolut nödvändigt för e-postsäkerhet. Ju längre företag fortsätter att fungera utan en DMARC-autentiserad domän, desto mer utsätter vi oss alla för den mycket verkliga faran med phishing-attacker via e-post. Som coronavirusets e-postförfalskningsbedrägerier har lärt oss är ingen säker från att bli måltavla eller utge sig för att vara måltavla. Tänk på DMARC som ett vaccin - när antalet människor som använder det växer minskar chanserna att få en infektion dramatiskt.

Det finns verkliga, genomförbara lösningar på detta problem som kan övervinna människors oro över antagandet av DMARC. Här är bara några få som kan öka implementeringen med stor marginal:

  1. Minska friktionen i implementeringen: Det största hindret för ett företag som antar DMARC är de distributionskostnader som är förknippade med det. Ekonomin är i skymundan och resurserna knappa. Därför är PowerDMARC tillsammans med våra industripartner Global Cyber Alliance (GCA) stolta över att kunna presentera ett tidsbegränsat erbjudande under Covid-19-pandemin – 3 månader av vår fullständiga uppsättning appar, DMARC-implementering och anti-spoofing-tjänster, helt gratis. Konfigurera DMARC-lösningen på några minuter och börja övervaka dina e-postmeddelanden med PowerDMARC nu.
  2. Förbättra upplevd användbarhet: För att DMARC ska ha en stor inverkan på e-postsäkerheten behöver den en kritisk massa av användare för att publicera sina SPF-, DKIM- och DMARC-poster. Genom att belöna DMARC-autentiserade domäner med en "Betrodd" eller "Verifierad" ikon (som med marknadsföringen av HTTPS bland webbplatser) kan domänägare uppmuntras att få ett positivt rykte för sin domän. När detta når ett visst tröskelvärde kommer domäner som skyddas av DMARC att ses mer gynnsamt än de som inte är det.
  3. Strömlinjeformad distribution: Genom att göra det enklare att distribuera och konfigurera anti-spoofing-protokoll kommer fler domäner att vara angenäma för DMARC-autentisering. Ett sätt att göra detta är att tillåta protokollet att köras i ett "övervakningsläge", vilket gör det möjligt för e-postadministratörer att bedöma vilken inverkan det har på deras system innan de går för en fullständig distribution.

Varje ny uppfinning medför nya utmaningar. Varje ny utmaning tvingar oss att hitta ett nytt sätt att övervinna den. DMARC har funnits i några år nu, men phishing har funnits mycket längre. Under de senaste veckorna har Covid-19-pandemin bara gett den ett nytt ansikte. På PowerDMARC är vi här för att hjälpa dig att möta den här nya utmaningen rakt på. Registrera dig här för din gratis DMARC-analysator, så att medan du stannar hemma säkert från coronavirus är din domän säker från e-postförfalskning.