钓鱼诈骗如何利用Office 365攻击保险公司

电子邮件往往是网络犯罪分子发动时的首选,因为它很容易被利用。与重在处理能力的暴力攻击或需要高水平技能的更复杂的方法不同,域名欺骗可以像写一封假装是别人的电子邮件一样容易。在很多情况下,这个 "别人 "是人们赖以工作的一个主要软件服务平台。

这就是2020年4月15日至30日期间发生的事情,当时我们PowerDMARC的安全分析师发现了一波针对中东地区主要保险公司的新的钓鱼邮件。这次攻击只是最近在Covid-19危机期间增加的网络钓鱼和欺骗案件中的一个。早在2020年2月,另一个重大的网络钓鱼骗局竟然冒充世界卫生组织,向成千上万的人发送电子邮件,要求他们为冠状病毒救援捐款。

在最近的这一系列事件中,微软的Office 365服务的用户收到了似乎是关于其用户账户状态的常规更新邮件。这些邮件来自他们组织自己的域名,要求用户重新设置密码或点击链接查看待定通知。

我们已经汇编了一份我们观察到的一些正在使用的电子邮件标题的清单。

*为保护用户隐私,账户信息被更改

你也可以查看一个发送至保险公司的欺骗性电子邮件中使用的邮件标题样本。

收到:来自[恶意的_ip] (helo=恶意域名)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

收到:来自 [xxxx] (port=58502 helo=xxxxx)。

通过恶意域名使用esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

来自。"微软账户团队" 

致。 [email protected]

题目:微软办公室通知[email protected] 在 4/1/2020 23:46 的Microsoft Office通知书

日期:2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8"。

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse:这个标题是为了跟踪滥用情况而添加的,请在任何滥用报告中包括这个标题。

X-AntiAbuse:主要主机名 - 恶意域名

X-AntiAbuse:原有域名 - domain.com

X-AntiAbuse:发起人/呼叫者UID/GID - [47 12] / [47 12] 。

X-AntiAbuse:发件人地址 域名 - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-Source。 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain.com的域名没有指定 malicious_ip_address 作为允许的发件人) client-ip=malicious_ip_address ; envelope-from=[email protected]; helo=恶意域名;

X-SPF-Result: domain.com的域名不指定。 malicious_ip_address 为允许的发件人

X-Sender-Warning:反向DNS查询失败的 恶意的ip_address (失败)

X-DKIM-Status: none / / domain.com / / /

X-DKIM-Status: pass / / 恶意域名 / 恶意域名/ / 默认

 

我们的安全运营中心追踪到电子邮件链接到针对微软Office 365用户的钓鱼网址。这些URL重定向到世界各地不同地点的被攻击网站。

只要看一下这些电子邮件的标题,就不可能看出它们是由某人假冒你的组织的域名发送的。我们已经习惯了源源不断的工作或账户相关的电子邮件,提示我们登录各种在线服务,就像Office 365。域名欺骗利用了这一点,使他们的假的、恶意的电子邮件与真正的电子邮件无法区分。如果不对电子邮件进行彻底的分析,几乎没有办法知道它是否来自一个可信赖的来源。而每天都有几十封邮件进来,没有人有时间仔细检查每一封。唯一的解决办法是采用一种认证机制,检查所有从你的域名发出的电子邮件,并只阻止那些由未经授权的人发出的电子邮件。

这种认证机制被称为DMARC。作为世界上领先的电子邮件安全解决方案供应商之一,我们在PowerDMARC已经把让你了解保护你的组织的域名的重要性作为我们的使命。不仅仅是为了你自己,而是为了每一个信任和依赖你的人,在他们的收件箱中提供安全、可靠的电子邮件,每一次都是如此。

你可以在这里阅读关于欺骗的风险:https://powerdmarc.com/stop-email-spoofing/

了解如何保护你的域名免受欺骗并提升你的品牌,请点击:https://powerdmarc.com/what-is-dmarc/

/作者

攻击者如何利用冠状病毒对你进行诈骗

当世界各地的组织设立慈善基金来对抗Covid-19时,一场不同的战斗正在互联网的电子渠道中展开。在冠状病毒大流行期间,世界各地数以千计的人已经成为电子邮件欺骗和Covid-19电子邮件诈骗的受害者。看到网络犯罪分子在他们的电子邮件中使用这些组织的真实域名以显示合法,已经变得越来越普遍。

在最近备受瞩目的冠状病毒骗局中,一封据称来自世界卫生组织(WHO)的电子邮件被发送到世界各地,要求向团结响应基金捐款。发件人的地址是 "[email protected]",其中 "who.int "是世界卫生组织的真实域名。这封电子邮件被证实是一个网络钓鱼骗局,但乍一看,所有迹象都表明发件人是真的。毕竟,该域名属于真正的世卫组织。

捐献响应基金

然而,这只是越来越多的网络钓鱼骗局中的一个,这些骗局利用与冠状病毒有关的电子邮件来窃取人们的金钱和敏感信息。但是,如果发件人使用的是真实的域名,我们如何区分合法的电子邮件和虚假的电子邮件?为什么网络犯罪分子能够如此轻易地对如此大的组织采用电子邮件域名欺骗?

而像世卫组织这样的实体如何发现有人利用其域名发起网络钓鱼攻击?

电子邮件是世界上使用最广泛的商业通信工具,但它是一个完全开放的协议。就其本身而言,几乎没有什么可以监控谁发送了什么电子邮件,以及从哪个电子邮件地址发送。当攻击者把自己伪装成一个值得信赖的品牌或公众人物,要求人们把钱和个人信息交给他们时,这就成为一个巨大的问题。事实上,近年来90%以上的公司数据泄露事件都涉及到这种或那种形式的电子邮件钓鱼。而电子邮件域名欺骗是其中的主要原因之一。

为了保证电子邮件的安全,开发了诸如发件人政策框架(SPF)域名密钥识别邮件(DKIM)等协议。SPF将发件人的IP地址与批准的IP地址列表进行交叉检查,而DKIM使用加密的数字签名来保护电子邮件。虽然这些都是单独有效的,但它们都有自己的一套缺陷。DMARC于2012年开发,是一个同时使用SPF和DKIM认证来保护电子邮件的协议,并有一个机制,每当电子邮件未能通过DMARC验证时,就会向域名所有者发送一份报告。

这意味着只要有未经授权的第三方发送的电子邮件,域名所有者就会得到通知。最重要的是,他们可以告诉电子邮件接收者如何处理未经认证的邮件:让它进入收件箱,隔离它,或直接拒绝它。从理论上讲,这应该可以阻止不良邮件充斥人们的收件箱,并减少我们面临的网络钓鱼攻击的数量。那么,为什么它没有呢?

DMARC能否防止域名欺骗和Covid-19电子邮件诈骗?

电子邮件认证要求发件人域名向DNS发布其SPF、DKIM和DMARC记录。根据一项研究,2018年只有44.9%的Alexa前100万个域名发布了有效的SPF记录,而只有5.1%的域名有有效的DMARC记录。而这是尽管没有DMARC认证的域名遭受欺骗的程度是有安全保障的域名的近四倍。整个商业领域缺乏认真的DMARC实施,而且这些年来也没有得到什么改善。甚至像联合国儿童基金会这样的组织也还没有在他们的域名中实施DMARC,而白宫和美国国防部的DMARC政策都是p = none,这意味着他们没有被执行。

弗吉尼亚理工大学的专家进行的一项调查揭示了尚未使用DMARC认证的大公司和企业所提到的一些最严重的问题。

  1. 部署困难。严格执行安全协议往往意味着在大型机构中需要高度的协调,而他们往往没有这样的资源。除此之外,许多机构对他们的DNS没有太多的控制,所以发布DMARC记录变得更加具有挑战性。
  2. 利益不超过成本。DMARC认证通常对电子邮件的收件人有直接的好处,而不是对域名所有者。由于缺乏采用新协议的严肃动机,许多公司没有将DMARC纳入其系统。
  3. 破坏现有系统的风险。DMARC的相对新颖性使得它更容易被不当实施,这就带来了合法邮件无法通过的真实风险。依靠电子邮件流通的企业无法承受这种情况的发生,因此根本不屑于采用DMARC。

认识到我们为什么需要DMARC

虽然企业在调查中表达的担忧有明显的道理,但这并不意味着DMARC的实施对电子邮件安全的重要性有所降低。企业在没有DMARC认证域名的情况下继续运作的时间越长,我们所有人就越容易暴露在电子邮件钓鱼攻击的真实危险中。正如冠状病毒邮件欺骗骗局告诉我们的那样,没有人可以避免被攻击或被冒充。把DMARC看作是一种疫苗--随着使用它的人越来越多,感染的几率就会急剧下降。

这个问题有真正的、可行的解决方案,可以克服人们对DMARC采用的担忧。以下是一些可以极大地促进实施的方案。

  1. 减少实施中的摩擦。阻碍公司采用DMARC的最大障碍是与之相关的部署成本。经济不景气,资源匮乏。这就是为什么PowerDMARC与我们的行业伙伴全球网络联盟(GCA)一起自豪地宣布在Covid-19大流行期间的限时优惠--3个月的全套应用、DMARC实施和反欺骗服务,完全免费。在几分钟内设置好你的DMARC解决方案,现在就开始使用PowerDMARC监控你的电子邮件。
  2. 提高感知的有用性。为了使DMARC对电子邮件安全产生重大影响,它需要有足够数量的用户来发布他们的SPF、DKIM和DMARC记录。通过奖励DMARC认证的域名的 "信任 "或 "验证 "图标(就像在网站中推广HTTPS一样),可以激励域名所有者为他们的域名获得一个积极的声誉。一旦达到一定的门槛,受DMARC保护的域名将比未受保护的域名更受青睐。
  3. 简化部署。通过使部署和配置反欺骗协议变得更容易,更多的领域将同意DMARC认证。一种方法是允许协议在 "监控模式 "下运行,允许电子邮件管理员在全面部署之前评估它对其系统的影响。

每一项新的发明都会带来新的挑战。每一个新的挑战都迫使我们找到一个新的方法来克服它。DMARC已经存在了一些年头了,然而网络钓鱼存在的时间要长得多。在最近几周,Covid-19的流行只是给了它一个新的面孔。在PowerDMARC,我们将帮助您迎战这一新的挑战。请在此注册您的免费DMARC分析器,这样,当您呆在家里不受冠状病毒影响时,您的域名也不会受到电子邮件欺骗。

/作者