标签存档： DMARC

钓鱼诈骗如何利用Office 365攻击保险公司

电子邮件往往是网络犯罪分子发动时的首选，因为它很容易被利用。与重在处理能力的暴力攻击或需要高水平技能的更复杂的方法不同，域名欺骗可以像写一封假装是别人的电子邮件一样容易。在很多情况下，这个 "别人 "是人们赖以工作的一个主要软件服务平台。

这就是2020年4月15日至30日期间发生的事情，当时我们PowerDMARC的安全分析师发现了一波针对中东地区主要保险公司的新的钓鱼邮件。这次攻击只是最近在Covid-19危机期间增加的网络钓鱼和欺骗案件中的一个。早在2020年2月，另一个重大的网络钓鱼骗局竟然冒充世界卫生组织，向成千上万的人发送电子邮件，要求他们为冠状病毒救援捐款。

保险公司

在最近的这一系列事件中，微软的Office 365服务的用户收到了似乎是关于其用户账户状态的常规更新邮件。这些邮件来自他们组织自己的域名，要求用户重新设置密码或点击链接查看待定通知。

我们已经汇编了一份我们观察到的一些正在使用的电子邮件标题的清单。

微软账户异常登录活动
您的电子邮件 [email protected]* 门户网站上有(3)条等待发送的信息 !
user@domain 你有待处理的微软Office UNSYNC消息
[email protected] 的重新激活摘要通知。

*为保护用户隐私，账户信息被更改

你也可以查看一个发送至保险公司的欺骗性电子邮件中使用的邮件标题样本。

收到：来自[恶意的_ip] (helo=恶意域名)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

收到：来自 [xxxx] (port=58502 helo=xxxxx)。

通过恶意域名使用esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

来自。"微软账户团队"

致。 [email protected]

题目：微软办公室通知[email protected] 在 4/1/2020 23:46 的Microsoft Office通知书

日期：2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8"。

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse:这个标题是为了跟踪滥用情况而添加的，请在任何滥用报告中包括这个标题。

X-AntiAbuse:主要主机名 - 恶意域名

X-AntiAbuse:原有域名 - domain.com

X-AntiAbuse:发起人/呼叫者UID/GID - [47 12] / [47 12] 。

X-AntiAbuse:发件人地址 域名 - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Source。

X-Source-Args:

X-Source-Dir:

Received-SPF: fail ( domain.com的域名没有指定 malicious_ip_address 作为允许的发件人） client-ip=malicious_ip_address ; envelope-from=[email protected]; helo=恶意域名;

X-SPF-Result: domain.com的域名不指定。 malicious_ip_address 为允许的发件人

X-Sender-Warning:反向DNS查询失败的 恶意的ip_address (失败)

X-DKIM-Status: none / / domain.com / / /

X-DKIM-Status: pass / / 恶意域名 / 恶意域名/ / 默认

我们的安全运营中心追踪到电子邮件链接到针对微软Office 365用户的钓鱼网址。这些URL重定向到世界各地不同地点的被攻击网站。

只要看一下这些电子邮件的标题，就不可能看出它们是由某人假冒你的组织的域名发送的。我们已经习惯了源源不断的工作或账户相关的电子邮件，提示我们登录各种在线服务，就像Office 365。域名欺骗利用了这一点，使他们的假的、恶意的电子邮件与真正的电子邮件无法区分。如果不对电子邮件进行彻底的分析，几乎没有办法知道它是否来自一个可信赖的来源。而每天都有几十封邮件进来，没有人有时间仔细检查每一封。唯一的解决办法是采用一种认证机制，检查所有从你的域名发出的电子邮件，并只阻止那些由未经授权的人发出的电子邮件。

这种认证机制被称为DMARC。作为世界上领先的电子邮件安全解决方案供应商之一，我们在PowerDMARC已经把让你了解保护你的组织的域名的重要性作为我们的使命。不仅仅是为了你自己，而是为了每一个信任和依赖你的人，在他们的收件箱中提供安全、可靠的电子邮件，每一次都是如此。

你可以在这里阅读关于欺骗的风险：https://powerdmarc.com/stop-email-spoofing/

了解如何保护你的域名免受欺骗并提升你的品牌，请点击：https://powerdmarc.com/what-is-dmarc/

2020年5月13日/作者阿霍纳-鲁德拉

PowerDMARC与CyberSecOn合作，在澳大利亚和新西兰开展新业务

新闻发布

位于特拉华州的电子邮件安全供应商PowerDMARC已经与澳大利亚的一家主要信息安全公司携手合作。PowerDMARC与CyberSecOn的合作预计将提高澳大利亚和新西兰的DMARC合规率，此举有望使电子邮件安全意识成为主流。

"这是一个巨大的机会，"PowerDMARC的联合创始人Faisal Al Farsi说，"不仅仅是对CyberSecOn和我们来说，对整个DMARC来说也是如此。我们真的希望看到越来越多的公司采取反对电子邮件网络钓鱼的立场，而DMARC是他们能够做到这一点的方法。CyberSecOn和我们一样对此充满热情，我们迫不及待地想看到未来的发展。"

CyberSecOn总部位于澳大利亚墨尔本，一直在为企业和政府部门的大公司提供安全解决方案。作为全球网络联盟的积极成员，两家公司在网络安全领域一直在推动其共同使命，即保护企业和用户数据不被滥用。这种伙伴关系是他们努力缩小地理差距的最新成果，以便世界各地的公司能够更自由地分享和合作。

"CyberSecOn主任Shankar Arjunan说："我们想把这看作是网络安全书中的新一页。"这是一个机会，让我们写一些我们可以共同自豪的东西。我们对他们的加入感到无比兴奋，我们希望这种合作关系对他们和对我们一样有效。"

2020年5月11日/作者阿霍纳-鲁德拉

电子邮件网络钓鱼攻击的类型

博客

多年来，电子邮件网络钓鱼已经从游戏玩家发送恶作剧电子邮件发展到成为全世界黑客的一项高利润活动。

事实上，在90年代初至中期，美国在线经历了一些最早的大型电子邮件钓鱼攻击。随机信用卡生成器被用来窃取用户凭证，这使得黑客能够更广泛地进入美国在线的全公司数据库。

由于美国在线升级了他们的安全系统以防止进一步破坏，这些攻击被关闭了。这导致黑客开发了更复杂的攻击，使用了至今仍被广泛使用的冒充战术。

如果我们跳到今天，最近影响白宫和世卫组织的冒名攻击证明，任何实体在某些时候都容易受到电子邮件攻击。

根据Verizon的《2019年数据泄露调查报告》，在2019年经历的数据泄露事件中，约有32%分别包括电子邮件网络钓鱼和社交工程。

考虑到这一点，我们要看看不同类型的网络钓鱼攻击，以及为什么它们今天会对你的企业构成巨大威胁。

让我们开始吧。

1.电子邮件欺骗

电子邮件欺骗攻击是指黑客伪造电子邮件的标题和发件人地址，使其看起来像是来自他们信任的人。这种攻击的目的是哄骗收件人打开邮件，甚至可能点击一个链接或开始与攻击者对话。

这些攻击在很大程度上依赖于社会工程技术，而不是使用传统的黑客方法。

这可能看起来是一种相当不成熟或 "低技术 "的网络攻击方式。但在现实中，他们通过向毫无戒心的员工发送有说服力的电子邮件来引诱人们，非常有效。社会工程利用的不是一个系统的安全基础设施的缺陷，而是人类错误的不可避免性。

看一看。

2019年9月，丰田公司因电子邮件骗局损失了3700万美元。

黑客能够欺骗一个电子邮件地址，并说服一名有财务权限的员工更改账户信息进行电子资金转账。

导致公司的巨大损失。

2.商业电子邮件破坏（BEC

根据联邦调查局的2019年互联网犯罪报告，BEC诈骗导致超过170万美元，占2019年经历的网络犯罪损失的一半以上。

BEC是指攻击者获得对商业电子邮件账户的访问权，并被用来冒充该账户的所有者，以对公司及其雇员造成损害。

这是因为BEC是一种非常有利可图的电子邮件攻击形式，它为攻击者带来高额回报，这就是为什么它仍然是一种流行的网络威胁。

科罗拉多州的一个小镇因BEC骗局而损失超过100万美元。

袭击者在当地网站上填写了一份表格，他们要求当地一家建筑公司接收电子付款，而不是接收他们目前在该镇所做工作的通常支票。

一名员工接受了该表格并更新了付款信息，结果向攻击者发送了超过一百万美元。

3.供应商电子邮件破坏（VEC

2019年9月，日经公司。日本最大的媒体机构损失了2900万美元。

日经公司美国办事处的一名员工根据骗子的指示将钱转走，而骗子则冒充管理干部。

VEC攻击是一种危害供应商公司员工的电子邮件骗局。如我们上面的例子。当然，也给企业带来了巨大的经济损失。

什么是电子邮件网络钓鱼？

电子邮件钓鱼是一种社会工程，欺诈者通过发送电子邮件来欺骗人们提供机密信息。这些电子邮件通常看起来像是来自你信任的组织或个人，如你的银行、政府机构，甚至是你自己公司里的某个人。

由于人们花在网上的时间越来越多，而阅读实体邮件的时间越来越少，电子邮件网络钓鱼也变得越来越普遍。这使得欺诈者更容易通过电子邮件接触和联系他们的受害者。

如何识别网络钓鱼？

如果你不确定一封邮件是否是真的，有几种方法可以检查。首先，看一下发件人的地址。如果它与你习惯在该公司或政府机构的官方通信上看到的地址不一致，那么它可能是不合法的。

你还应该检查电子邮件的主题行和正文是否有拼写错误或其他可能是假的警告标志。例如，如果有人向你发送电子邮件，声称有关于你账户的 "信息"，但他们把 "信息 "错写成 "infomation"，那么这可能是一个迹象，表明他们没有自己写电子邮件，不知道他们在说什么

如何利用DMARC防止电子邮件网络钓鱼？

世界各地的企业正在增加他们的网络安全预算，以限制我们上面列出的例子。根据IDC的预测，2022年全球安全解决方案的支出将达到1337亿美元。

但事情的真相是，像DMARC这样的电子邮件安全解决方案的吸收速度很慢。

DMARC技术于2011年问世，有效地防止了有针对性的BEC攻击，正如我们所知，这对全世界的企业都是一种公认的威胁。

DMARC与SPF和DKIM一起工作，允许你决定对未经认证的电子邮件采取哪些行动，以保护你的域名的完整性。

阅读：什么是DMARC，为什么你的企业今天需要加入？

上述每个案例都有一些共同点......可见性。

这项技术可以减少电子邮件网络钓鱼活动对你的业务的影响。下面是方法。

增加可视性。DMARC技术发送报告，为您提供整个企业的电子邮件活动的详细洞察力。PowerDMARC使用一个强大的威胁情报引擎，帮助产生欺骗性攻击的实时警报。这与完整的报告相结合，使你的企业对用户的历史记录有更大的洞察力。
增加电子邮件的安全性。你将能够跟踪你公司的电子邮件，以发现任何欺骗和网络钓鱼的威胁。我们相信，预防的关键是快速行动的能力，因此，PowerDMARC拥有24/7的安全运营中心。他们有能力立即拉下滥用您的电子邮件的域名，为您的企业提供更高的安全水平。
全球正处于COVID-19大流行的阵痛之中，但这只是为黑客提供了一个广泛的机会，让他们利用脆弱的安全系统。

最近对白宫和世卫组织的冒名攻击确实突出了更多使用DMARC技术的必要性。

鉴于COVID-19的流行和电子邮件钓鱼的增加，我们想为您提供3个月的免费DMARC保护。只需点击下面的按钮，就可以马上开始了

申请您的优惠

2020年5月8日/作者阿霍纳-鲁德拉

PowerDMARC扩大了执行咨询委员会，欢迎最新成员的加入

新闻发布

作为公司的一项创举，PowerDMARC已经聘请了一位新的战略专家顾问，他将支持和指导公司未来在数据和电子邮件安全、认证、反欺骗措施和DMARC合规方面的所有项目。

PowerDMARC是电子邮件认证安全和DMARC合规性方面发展最快的公司之一，日前宣布了其最新成员，他将加入其执行顾问委员会，这是一个由网络安全和数据保护领域的专家组成的小组。微软亚太区首席网络安全顾问和迪肯大学的行业教授Abbas Kudrati将在与电子邮件安全和DMARC合规性有关的所有问题上向这家年轻的初创公司提供支持。

"PowerDMARC联合创始人Faisal Al Farsi说："能有Kudrati先生这样具有专业水平和经验的人加入我们的顾问委员会，真是令人难以置信。"我们正在寻找行业中最优秀的人才的指导。有他加入是我们的荣幸"。

Abbas Kudrati拥有超过二十年的经验，在全球超过10个不同的机构担任监督和咨询职位，参与网络安全，技术风险服务和网络安全。他还在拉筹伯大学和迪肯大学担任了两年多的兼职教授和行政顾问，并担任EC-Council东盟的顾问。目前，他在位于澳大利亚墨尔本的微软APJ公司担任首席网络安全顾问。

在经济放缓和网络安全威胁不断增加的情况下，预计库德拉蒂将帮助PowerDMARC在行业中站稳脚跟，同时扩展到电子邮件安全的新领域。他将在为公司的未来计划和产品路线图提供建议方面发挥重要作用。

2020年5月1日/作者阿霍纳-鲁德拉

什么是DMARC，为什么你需要它？

博客

根据Ponemon研究所和IBM安全公司的《2019年数据泄露成本报告》，全球数据泄露的平均成本为392万美元!

这种网络攻击业务是一个有利可图的业务。

事实上，商业电子邮件破坏产生的投资回报率比任何其他网络攻击都高。根据《2019年互联网犯罪报告》，它报告的损失超过17亿美元。

网络安全措施和协议对于业务连续性来说，现在比以往任何时候都更加重要。

根据Verizon 2019年数据泄露调查报告，94%的恶意软件是通过电子邮件传递的。

进入基于域的消息认证、报告和一致性（DMARC）。

是的，这是一个相当大的口号。但现在是保护你的商业电子邮件的时候了。

什么是DMARC？ DMARC是一项相对较新的技术。它是一种技术验证策略，其设置是为了帮助保护电子邮件发送者和接收者免受所有电子邮件垃圾邮件的影响。

DMARC是一个建立在发件人政策框架（SPF）和域名密钥识别邮件（DKIM）解决方案之上的解决方案。这项技术允许你的组织围绕你的电子邮件认证过程发布一个特定的安全政策，然后指示你的邮件服务器如何执行这些政策。

DMARC有三个主要的策略设置。

监控策略 - p=none。这个策略意味着在DMARC检查失败的情况下，将不采取任何行动。
隔离政策 - p=quarantine。这个策略意味着所有未能通过DMARC检查的邮件都需要被视为可疑邮件，这可能会看到一些邮件落入你的垃圾邮件文件夹。
拒绝策略 - p=reject.这个策略被设置为拒绝所有没有通过你的DMARC检查的邮件。

这些政策的设置方式完全取决于你的组织以及你想如何处理未经认证的电子邮件。

根据2019年全球DMARC采用报告，只有20.3%的域名发布了某种程度的DMARC政策，其中只有6.1%制定了拒绝政策。

为什么DMARC对你的业务很重要？

在这一点上，你会想，如果你已经有了SPF和DKIM，你是否真的需要DMARC。

简短的回答是肯定的。

但还有更多...

截至2019年，有超过39亿个电子邮件账户，当你考虑到94%的恶意软件攻击是通过电子邮件发生的，尽最大努力保护你的电子邮件绝对有商业意义。

虽然企业对DMARC的接受程度很慢，但必须注意到，Facebook和PayPal等数字巨头已经采用了DMARC技术。

报告。DMARC提供的报告使你的组织能够更深入地了解你的电子邮件渠道。他们将帮助你的组织监控你的组织正在发送和接收什么电子邮件。DMARC报告将使你深入了解你的域名是如何被使用的，并能在开发更强大的电子邮件通信中发挥作用。
加强控制。DMARC允许你完全控制从你的域名发送的电子邮件。如果滥用电子邮件，你将立即在报告中看到它，使你能够纠正任何认证问题。

主要收获

我们生活在一个网络攻击成为每个企业现实的时代。

如果不有效地保护你的电子邮件，你就会让你的企业面临各种漏洞。

不要让你的人成为下一个。

看看PowerDMARC今天如何帮助你保护你的商业电子邮件。

只需点击下面的按钮，今天就可以与电子邮件安全专家交谈。

安排一个演示

2020年4月13日/作者阿霍纳-鲁德拉