乍一看,微软的Office 365套件似乎很......甜蜜,对吗?你不仅可以得到一大堆生产力应用程序、云存储和电子邮件服务,而且你还可以通过微软自己的电子邮件安全解决方案免受垃圾邮件的影响。难怪它是目前最广泛采用的企业电子邮件解决方案,拥有54%的市场份额和超过1.55亿活跃用户。你可能也是他们中的一员。

但是,如果一家网络安全公司写了一篇关于Office 365的博客,那就一定会有更多的东西,对吗?嗯,是的。有的。因此,让我们谈谈Office 365的安全选项到底有什么问题,以及为什么你真的需要了解这个问题。

微软Office 365的安全性有哪些优势

在我们谈论它的问题之前,首先让我们迅速把这个问题说清楚。微软Office 365高级威胁保护(好大的口气)在基本电子邮件安全方面相当有效。它将能够阻止垃圾邮件、恶意软件和病毒进入你的收件箱。

如果你只是在寻找一些基本的反垃圾邮件保护,这已经很好了。但这就是问题所在:像这样的低级别的垃圾邮件通常不构成最大的威胁。大多数电子邮件供应商通过阻止来自可疑来源的电子邮件提供某种形式的基本保护。真正的威胁--那种可以使你的组织失去金钱、数据和品牌完整性的威胁--是精心设计的电子邮件,让你意识不到它们是假的。

这时你就进入了严重的网络犯罪领域。

微软Office 365无法保护你的东西

微软Office 365的安全解决方案像反垃圾邮件过滤器一样工作,使用算法来确定一封电子邮件是否与其他垃圾邮件或网络钓鱼邮件相似。但是,当你遇到使用社交工程的更复杂的攻击,或针对特定员工或员工群体的攻击时,会发生什么?

这些不是你的普通的垃圾邮件,而是一次性发送给成千上万的人。商业电子邮件破坏(BEC)供应商电子邮件破坏(VEC)是攻击者精心选择目标的例子,通过监视他们的电子邮件来了解他们组织的更多信息,并在一个战略点上,通过电子邮件发送假发票或请求,要求转移资金或分享数据。

这种策略,广义上称为鱼叉式网络钓鱼,使电子邮件看起来是来自你自己组织内的某个人,或一个值得信赖的合作伙伴或供应商。即使在仔细检查的情况下,这些电子邮件也可能看起来非常逼真,而且几乎不可能被发现,即使是经验丰富的网络安全专家。

如果一个攻击者假装是你的老板或你的组织的首席执行官,并向你发送电子邮件,你不太可能检查该电子邮件看起来是否真实。这正是BEC和CEO欺诈的危险之处。Office 365将无法保护你免受这种攻击,因为这些表面上是来自一个真实的人,而且算法不会认为它是一封垃圾邮件。

如何保护Office 365免受BEC和 "鱼叉式 "网络钓鱼的侵害?

基于域的信息验证、报告和一致性,或称DMARC,是一个电子邮件安全协议,它使用域名所有者提供的信息来保护接收者免受欺骗的电子邮件。当你在你的组织的域名上实施DMARC时,接收服务器将根据你发布的DNS记录检查每一封来自你的域名的电子邮件。

但是,如果Office 365 ATP不能防止有针对性的欺骗攻击,那么DMARC是如何做到的?

嗯,DMARC的功能与反垃圾邮件过滤器非常不同。垃圾邮件过滤器检查进入你收件箱的邮件,而DMARC是认证由你的组织的域名发送的外发邮件。这意味着,如果有人试图冒充你的组织并向你发送钓鱼邮件,只要你有DMARC认证,这些邮件就会被扔进垃圾邮件文件夹或完全被阻止。

而且,这也意味着,如果网络犯罪分子利用你信任的品牌来发送钓鱼邮件,甚至你的客户也不必与他们打交道。DMARC实际上也有助于保护你的业务。

但还有更多。Office 365实际上并没有让你的组织对网络钓鱼攻击有任何了解,它只是阻止了垃圾邮件。但是,如果你想适当地保护你的域名,你需要确切地知道谁或什么在试图冒充你的品牌,并立即采取行动。DMARC提供了这些数据,包括滥用发送源的IP地址,以及他们发送的邮件数量。PowerDMARC通过在你的仪表板上进行高级的DMARC分析,将这一点提升到了一个新的水平。

了解更多关于PowerDMARC可以为你的品牌做什么。

 

你知道什么是最糟糕的网络钓鱼骗局吗?就是那种你不能简单地忽视的:如CEO欺诈。据称是来自政府的电子邮件,告诉你要支付那笔与税收有关的款项,否则将面临法律诉讼。看起来像你的学校或大学发出的电子邮件,要求你支付你错过的那笔学费。甚至是来自你的老板或CEO的信息,告诉你给他们转一些钱,"作为一个忙"。

像这样的电子邮件的问题是,他们在冒充权威人士,无论是政府、你的大学董事会,还是你工作中的老板。这些都是重要人物,忽视他们的信息几乎肯定会产生严重后果。所以你不得不看他们,如果它看起来足够有说服力,你可能真的会上当。

但是,让我们来看看CEO欺诈。它到底是什么?它能发生在你身上吗?如果会,你应该怎么做来阻止它?

你对CEO的欺诈行为没有免疫力

每年23亿美元的骗局就是这样的。你可能会想,"什么东西能让公司因一个简单的电子邮件骗局而损失那么多钱?"但你会惊讶于CEO欺诈邮件的说服力。

2016年,美泰公司在一次网络钓鱼攻击中几乎损失了300万美元,当时一位财务主管收到了一封来自首席执行官的电子邮件,指示她向他们在中国的一个供应商发送一笔款项。但在后来与首席执行官核实后,她才意识到他根本就没有发送过这封邮件。值得庆幸的是,该公司与中国和美国的执法部门合作,在几天后拿回了他们的钱,但这种攻击几乎从未发生。

人们往往相信这些骗局不会发生在他们身上......直到它发生在他们身上。而这是他们最大的错误:没有为CEO的欺诈行为做好准备。

网络钓鱼诈骗不仅会使你的组织损失数百万美元,而且会对你的品牌的声誉和信誉产生持久的影响。你有可能被视为因电子邮件诈骗而损失金钱的公司,并失去你的客户的信任,因为你储存了敏感的个人信息。

与其事后慌忙进行损害控制,不如保护你的电子邮件渠道,防止像这样的鱼叉式网络钓鱼诈骗,这样做更有意义。这里有一些你可以确保你的组织不会成为FBI关于BEC的报告中的一个统计数字的最好方法

如何防止CEO欺诈。6个简单的步骤

  1. 你的员工进行安全教育
    这一点绝对关键。你的员工--尤其是那些财务人员--需要了解商业电子邮件入侵是如何运作的。我们并不只是指一个无聊的2小时的演讲,关于不要在便条上写下你的密码。你需要对他们进行培训,让他们知道如何注意可疑的迹象,即电子邮件是假的,注意欺骗性的电子邮件地址,以及其他工作人员似乎通过电子邮件提出的异常要求。
  2. 留意欺骗的蛛丝马迹
    电子邮件诈骗者使用各种策略来让你满足他们的要求。这些手段包括紧急要求/指示转账,以此让你不假思索地迅速行动,甚至要求你获取 "秘密项目 "的机密信息,而上级领导还没有准备好与你分享。这些都是严重的危险信号,在采取任何行动之前,你需要反复检查。
  3. 通过DMARC获得保护
    防止网络诈骗的最简单方法是,首先不要收到电子邮件。DMARC是一个电子邮件认证协议,它可以在发送电子邮件之前对来自你的域名的电子邮件进行验证。当你在你的域名上执行DMARC时,任何冒充你自己组织的人的攻击者都会被检测为未经授权的发件人,他们的电子邮件将被阻止在你的收件箱中。你根本不需要处理欺骗性的电子邮件。
  4. 获得电汇的明确批准
    这是最简单和最直接的方法之一,以防止向错误的人转移资金。在承诺进行任何交易之前,强制要求使用电子邮件以外的其他渠道向要求汇款的人寻求明确批准。对于大额电汇,强制要求收到口头确认。
  5. 标记具有类似扩展名的电子邮件
    联邦调查局建议你的组织建立系统规则,自动标记那些使用与你的扩展名过于相似的电子邮件。例如,如果你的公司使用 "123-business.com",系统可以检测并标记使用 "123_business.com "等扩展名的电子邮件。
  6. 购买类似的域名
    攻击者经常使用外观相似的域名来发送网络钓鱼邮件。例如,如果你的组织名称中有小写的 "i",他们可能会使用大写的 "I",或者用数字 "3 "代替字母 "E"。这样做将帮助你降低有人使用极其相似的域名向你发送电子邮件的几率。

 

作为一个DMARC服务提供商,我们经常被问到这个问题。"如果DMARC只是使用SPF和DKIM认证,我们为什么要为DMARC费心?这不是没有必要吗?"

从表面上看,这似乎没有什么区别,但现实是非常不同的。DMARC不仅仅是SPF和DKIM技术的组合,它本身是一个全新的协议。它有几个特点,使它成为世界上最先进的电子邮件认证标准之一,并且是企业的绝对必需品。

但是,等一下。我们还没有准确回答你为什么需要DMARC。它提供了什么SPF和DKIM没有的东西?嗯,这是个相当长的答案;对于一篇博文来说,太长了。所以让我们把它分开,先谈谈SPF。如果你对它不熟悉,这里有一个简单的介绍。

什么是SPF?

SPF,即发件人政策框架,是一个电子邮件认证协议,可以保护电子邮件接收者免受欺骗性的电子邮件。它本质上是一个授权通过你(域名所有者)的渠道发送电子邮件的所有IP地址的列表。当接收服务器看到来自你的域名的邮件时,它会检查你的DNS上公布的SPF记录。如果发件人的IP在这个 "列表 "中,邮件就会被传送。如果不是,服务器会拒绝该邮件。

正如你所看到的,SPF做得很好,把很多不怀好意的电子邮件拒之门外,这些电子邮件可能会损害你的设备或破坏你组织的安全系统。但是,SPF并不像一些人可能认为的那样好。这是因为它有一些非常重要的缺点。让我们来谈谈这些问题中的一些。

SPF的局限性

SPF记录不适用于发件人地址

电子邮件有多个地址来识别它们的发件人:你通常看到的发件人地址,以及隐藏的返回路径地址,需要点击一到两次才能看到。在启用SPF的情况下,接收电子邮件的服务器会查看Return Path,并检查来自该地址的域名的SPF记录。

这里的问题是,攻击者可以利用这一点,在他们的返回路径地址中使用一个假域名,而在发件人部分使用一个合法(或看起来合法)的电子邮件地址。即使接收者要检查发件人的电子邮件ID,他们也会先看到发件人地址,而通常不会去检查返回路径。事实上,大多数人甚至不知道有返回路径地址这种东西。

通过使用这种简单的技巧,SPF可以很容易地被规避,而且它甚至使有SPF保护的域名在很大程度上受到伤害。

SPF记录有一个DNS查询限制

SPF记录包含一个由域名所有者授权发送电子邮件的所有IP地址的列表。然而,它们有一个关键的缺点。接收服务器需要检查该记录,看发件人是否被授权,为了减少服务器的负荷,SPF记录有10次DNS查询的限制。

这意味着,如果你的组织使用多个第三方供应商,通过你的域名发送电子邮件,那么 SPF 记录最终会超过这个限制。除非进行适当的优化(自己做起来并不容易),否则 SPF 记录会有一个非常有限的限制。当你超过这个限制时,SPF的实现就会被认为是无效的,你的邮件就无法通过SPF。这有可能损害你的邮件发送率。

 

当电子邮件被转发时,SPF并不总是起作用

SPF还有一个关键的故障点,会损害你的邮件送达能力。当你在你的域名上实施了SPF,而有人转发你的邮件时,转发的邮件会因为你的SPF政策而被拒绝。

这是因为转发的信息改变了电子邮件的收件人,但电子邮件发件人的地址却保持不变。这就成了一个问题,因为邮件包含了原发件人的From地址,但是接收服务器看到的是一个不同的IP。转发邮件服务器的IP地址并不包括在原发件人的域名的SPF记录中。这可能导致邮件被接收服务器拒绝。

DMARC是如何解决这些问题的?

DMARC使用SPF和DKIM的组合来验证电子邮件。一封电子邮件需要通过SPF或DKIM,才能通过DMARC并被成功传递。而且,它还增加了一个关键功能,使它比单独的SPF或DKIM有效得多。报告。

通过DMARC报告,你每天都能得到关于你的电子邮件渠道状态的反馈。这包括有关你的DMARC调整的信息,认证失败的电子邮件的数据,以及潜在的欺骗企图的细节。

如果你想知道如何做才能不被欺骗,请查看我们关于避免电子邮件欺骗的5大方法的便捷指南。

说到网络犯罪和安全威胁,供应商电子邮件破坏(VEC)是电子邮件欺诈的大佬。这是大多数组织最没有准备的攻击类型,也是他们最可能受到的攻击。在过去的三年里,VEC已经给企业带来了超过260亿美元的损失。而且,它可以令人震惊地容易执行。

与VEC类似,BEC攻击涉及攻击者冒充组织中的高层管理人员,向新聘用的员工(通常是财务部门)发送电子邮件。他们要求资金转移或支付假发票,如果执行得足够好,可以说服一个经验不足的员工启动交易。

你可以看到为什么BEC在大型组织中是一个巨大的问题。要监控所有员工的活动是很困难的,而且经验不足的员工更容易上当受骗,因为这封邮件似乎是来自他们的老板或首席财务官。当企业问我们什么是他们需要注意的最危险的网络攻击时,我们的回答总是BEC。

也就是说,直到沉默的斯特林。

有组织的网络犯罪集团

所谓的沉默的椋鸟是一群尼日利亚网络犯罪分子,他们在诈骗和欺诈方面的历史最早可以追溯到2015年。2019年7月,他们与一个大型组织接触,冒充其一个商业伙伴的首席执行官。这封邮件要求在最后一刻突然改变银行信息,要求紧急电汇。

值得庆幸的是,他们在任何交易发生之前就发现了这封电子邮件是假的,但在随后的调查中,该组织的方法令人不安的细节被曝光了。

在现在被称为供应商电子邮件破坏(VEC)的情况下,攻击者发起的攻击比传统的BEC通常更加精细和有组织。该攻击有三个独立的、复杂的计划阶段,似乎比大多数BEC攻击通常需要更多的努力。以下是它是如何工作的。

VEC:如何在3个步骤中欺骗一家公司

第1步:磨合

攻击者首先获得该组织的一个或多个个人的电子邮件账户的访问权。这是一个精心策划的过程:他们找出哪些公司缺乏DMARC认证的域名。这些都是容易被欺骗的目标。攻击者通过向员工发送一封看起来像登录页面的钓鱼邮件来获得访问权,并窃取他们的登录凭证。现在他们可以完全进入该组织的内部工作。

第2步:收集信息

这第二步就像一个监视阶段。犯罪分子现在可以阅读机密电子邮件,并以此来留意参与处理付款和交易的员工。攻击者确定目标组织的最大商业伙伴和供应商。他们收集有关该组织内部运作的信息--如计费方式、付款条件,甚至官方文件和发票的样子。

第3步:采取行动

在收集了所有这些情报之后,骗子就会制作一封极其逼真的电子邮件,并等待合适的机会发送(通常是在交易即将发生之前)。该电子邮件在正确的时间针对正确的人,并通过一个真正的公司账户发送,这使得它几乎不可能被识别。

通过完美地协调这3个步骤,Silent Starling能够破坏其目标组织的安全系统,并几乎成功地窃取了数万美元。他们是第一批尝试这种精心设计的网络攻击的人,不幸的是,他们肯定不会是最后一个。

我不想成为VEC的受害者。我应该怎么做?

VEC真正可怕的地方在于,即使你在骗子窃取任何金钱之前设法发现了它,也不意味着没有造成损害。攻击者仍然设法完全进入你的电子邮件账户和内部通信,并能够详细了解你公司的财务、计费系统和其他内部流程如何运作。信息,特别是像这样的敏感信息,使你的组织完全暴露,而攻击者总是可以尝试另一个骗局。

那么你能做些什么呢?你应该如何防止VEC攻击发生在你身上?

1.保护你的电子邮件渠道

阻止电子邮件欺诈的最有效方法之一是,甚至不让攻击者开始VEC过程的第1步。你可以阻止网络犯罪分子获得初始访问权,只需阻止他们用来窃取你的登录凭证的钓鱼邮件。

PowerDMARC平台让你使用DMARC认证来阻止攻击者冒充你的品牌,向你自己的员工或商业伙伴发送钓鱼邮件。它向你显示你的电子邮件渠道中的一切情况,并在出现问题时立即向你发出警报。

2.教育你的员工

即使是较大的组织也会犯的最大错误之一是没有投入更多的时间和精力来教育他们的员工,让他们了解常见的在线诈骗的背景知识,他们如何工作,以及应该注意什么。

要区分真正的电子邮件和精心制作的假电子邮件可能非常困难,但往往有许多明显的迹象,即使是在网络安全方面没有受过严格训练的人也能识别。

3.制定通过电子邮件开展业务的政策

很多公司只是把电子邮件视为理所当然,而没有真正考虑到在一个开放的、未经审核的沟通渠道中的固有风险。与其默默地信任每一次通信,不如假设另一端的人不是他们声称的那样。

如果你需要完成任何交易或与他们分享机密信息,你可以使用二级验证程序。这可以是给合作伙伴打电话确认,或者让另一个人授权交易。

攻击者总是在寻找新的方法来破坏商业电子邮件渠道。你不能毫无准备。

 

打破DMARC的神话

对于很多人来说,并不清楚DMARC的作用,也不清楚它是如何防止域名欺骗、冒充和欺诈的。这可能导致对DMARC的严重误解,电子邮件认证如何工作,以及为什么它对你有好处。但是,你如何知道什么是正确的,什么是错误的?你又如何确保你的实施是正确的? 

PowerDMARC是来拯救你的!为了帮助你更好地理解DMARC,我们编制了这份关于DMARC的6大最常见误解的清单。

关于DMARC的误解

1.DMARC与垃圾邮件过滤器是一样的

这是人们对DMARC最常犯的错误之一。垃圾邮件过滤器会阻止送入你收件箱的邮件。这些可能是来自任何人的域名的可疑邮件,而不仅仅是你的。另一方面,DMARC告诉接收电子邮件的服务器如何处理从你的域名发出的电子邮件像微软Office 365ATP这样的垃圾邮件过滤器并不能防止这种网络攻击。如果你的域名是DMARC强制的,而电子邮件未能通过认证,接收服务器就会拒绝它。

2.一旦你设置了DMARC,你的电子邮件就永远安全了

DMARC是目前最先进的电子邮件认证协议之一,但这并不意味着它是完全自给自足的。你需要定期监测你的DMARC报告,以确保来自授权来源的电子邮件没有被拒绝。更重要的是,你需要检查未经授权的发件人是否滥用了你的域名。当你看到一个IP地址反复尝试欺骗你的电子邮件时,你需要立即采取行动,将其列入黑名单或取缔。

3.DMARC会降低我的邮件送达率

当你设置DMARC时,重要的是首先将你的策略设置为p=none。这意味着你的所有邮件仍然会被送达,但你会收到DMARC报告,了解它们是通过还是没有通过认证。如果在这个监测期间,你发现你自己的邮件没有通过DMARC,你可以采取行动来解决这些问题。一旦你所有的授权邮件都得到正确的验证,你就可以用p=quarantine或p=reject的策略来强制执行DMARC。

4.我不需要执行DMARC(p=none就够了)。

当你设置了DMARC而不执行它时(政策为p=none),所有来自你的域名的邮件--包括那些失败的DMARC--都会被送达。你会收到DMARC的报告,但却不能保护你的域名免受任何欺骗的尝试。在最初的监测期之后(如上所述),绝对有必要将你的策略设置为p=quarantine或p=reject并强制执行DMARC。

5.只有大品牌需要DMARC

许多小型企业认为,只有最大、最知名的品牌才需要DMARC保护。实际上,网络犯罪分子会利用任何商业域名来发动欺骗性攻击。许多小型企业通常没有专门的网络安全团队,这使得攻击者更容易针对中小型组织。请记住,每一个拥有域名的组织都需要DMARC保护!

6.DMARC报告易于阅读

我们看到许多组织实施了DMARC,并让报告发送到他们自己的电子邮件收件箱。这样做的问题是,DMARC报告是以XML文件格式出现的,如果你不熟悉它,可能会很难阅读。使用一个专门的DMARC平台,不仅可以使你的设置过程更容易,而且PowerDMARC可以将你复杂的XML文件转换成易于阅读的报告,其中包括图表和深度统计。

 

新西兰的前200家公司和政府部门正面临着严重的DMARC合规性问题,使他们在全球范围内排名第36位。

近年来,世界上许多主要国家已经开始认识到电子邮件安全的重要性,以防止网络钓鱼攻击。在这种网络安全实践快速变化的环境下,新西兰在对全球安全趋势的认识和反应水平上一直落后于同行。

我们对公共和私人部门的332个组织领域进行了研究。在我们调查的领域中,有:

  • 德勤200强名单(2019年
  • 新西兰的顶级能源公司
  • 顶级电信公司
  • 新西兰注册银行
  • 新西兰政府(不包括皇家实体)。

通过研究他们的公共DNS记录和收集他们的SPF和DMARC状态的数据,我们能够收集到关于新西兰主要机构对欺骗行为的保护程度的数据。你可以下载我们的研究,了解这些数字背后的细节。

  • 只有37个域名,或11%,在隔离或拒绝级别上执行了DMARC,这是阻止域名欺骗的必要条件。
  • 不到30%的政府领域在任何级别上都正确实施了DMARC。
  • 观察到的14%的组织有无效的SPF记录,4%的组织有无效的DMARC记录--其中许多组织的记录有错误,有些组织甚至为同一个域名有多个SPF和DMARC记录。

我们的完整研究包含了对新西兰公司在有效实施DMARC时面临的最大障碍的深入探讨。