以電子郵件為潛在媒介的欺詐行為正快速且肆虐地發(fā)展����,這會導(dǎo)致企業(yè)電子郵件泄密(Business Email Compromise,簡稱BEC)���。
我們提供的服務(wù)有:成都網(wǎng)站建設(shè)��、網(wǎng)站制作�����、微信公眾號開發(fā)�、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證�����、望花ssl等����。為上千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)�,是有科學(xué)管理、有技術(shù)的望花網(wǎng)站制作公司
BEC攻擊主要針對商業(yè)�����、政府以及非營利性組織����,這種攻擊產(chǎn)生的影響巨大,可導(dǎo)致大量的企業(yè)信息數(shù)據(jù)丟失�、發(fā)生安全事件甚至造成財產(chǎn)損失����。
或許人們常常會陷入一種誤區(qū)����,認(rèn)為網(wǎng)絡(luò)犯罪分子將目光瞄準(zhǔn)跨國公司和企業(yè)級組織上����,然而�����,事實(shí)是中小企業(yè)也“難逃魔爪”�����。
[[383707]]
BEC攻擊對企業(yè)安全的影響
BEC攻擊方式包括復(fù)雜的社會工程攻擊�,如網(wǎng)絡(luò)釣魚、CEO欺詐�����、偽造發(fā)票和電子郵件欺騙等�。這一方式也稱為冒名頂替攻擊����,即冒充公司高層人員進(jìn)行欺詐活動,比如CFO、CEO等����,也有些攻擊者冒充業(yè)務(wù)合作伙伴或任何其他較為信任親近的人,這些都是BEC攻擊成功的重要因素�。
2021年2月,俄羅斯網(wǎng)絡(luò)組織Cosmic Lynx進(jìn)行了成熟的布局���,以開展BEC攻擊��。自2019年7月以來���,該組織已進(jìn)行了200次BEC攻擊,目標(biāo)是全球46個國家/地區(qū)�,重點(diǎn)關(guān)注具有全球業(yè)務(wù)的大型跨國公司。攻擊者利用的網(wǎng)絡(luò)釣魚電子郵件具有高度混淆性�����,讓人難以分辨真假����。
新冠疫情后,遠(yuǎn)程辦公進(jìn)一步推動了視頻會議應(yīng)用程序的火熱���。在這種情況下���,網(wǎng)絡(luò)犯罪分子偽裝成視頻會議程序Zoom的官方平臺����,并發(fā)送虛假電子郵件以竊取登錄憑據(jù)�,并進(jìn)一步竊取企業(yè)的大量數(shù)據(jù)。
顯而易見��,近來BEC的關(guān)注度正在迅速凸顯���,并且相關(guān)事件不斷增加���,攻擊者也在不斷地創(chuàng)新作案手法和工具。BEC影響全球70%以上的組織����,并導(dǎo)致每年數(shù)十億美元的損失。這就是行業(yè)專家提出諸如DMARC之類的郵件認(rèn)證協(xié)議的原因���,用以提供更高級別的模擬保護(hù)�����。
郵件認(rèn)證方法抵御BEC攻擊
電子郵件認(rèn)證�,即部署可提供電子郵件來源可信度的各種技術(shù)����,通過驗(yàn)證郵件傳輸中的郵件傳輸代理的域名所有權(quán)來檢測其安全性。
簡單郵件傳輸協(xié)議(SMTP)是電子郵件傳輸?shù)男袠I(yè)標(biāo)準(zhǔn)����,但是卻沒有用于消息身份驗(yàn)證的內(nèi)置功能。這就是為什么黑客機(jī)器容易發(fā)起郵件網(wǎng)絡(luò)釣魚并發(fā)動域名欺騙攻擊的原因�。
利用缺乏安全性使網(wǎng)絡(luò)罪犯極其容易發(fā)起電子郵件網(wǎng)絡(luò)釣魚和域欺騙攻擊的原因。因此���,DMARC(Domain-based Message Authentication, Reporting and Conformance���,電子郵件認(rèn)證系統(tǒng))應(yīng)運(yùn)而生。利用DMARC防止BEC的具體步驟如下�����。
(1) 步驟1:實(shí)施
實(shí)際上����,對抗BEC攻擊的第一步是為用戶的域配置DMARC����。
DMARC使用SPF和DKIM認(rèn)證標(biāo)準(zhǔn)來驗(yàn)證從所屬域發(fā)送的電子郵件���。具體指��,接收服務(wù)器如何響應(yīng)未通過SPF和DKIM兩項(xiàng)認(rèn)證的電子郵件����,并讓域名所有者可以控制接受者的響應(yīng)方式�。因此,如何實(shí)施DMARC?
- 識別為用戶域授權(quán)的所有有效電子郵件來源;
- 在用戶的DNS中發(fā)布SPF記錄��,并進(jìn)行SPF域配置;
- 在用戶的DNS中發(fā)布DKIM記錄���,并進(jìn)行DKIM域配置;
- 在用戶的DNS中發(fā)布DMARC記錄����,并進(jìn)行DMARC域配置�。
(2) 步驟2:執(zhí)行
DMARC規(guī)則策略可以設(shè)置為:
- p = none(DMARC僅處于監(jiān)視狀態(tài);未通過認(rèn)證的郵件仍會傳遞)
- p =quarantine(DMARC處于執(zhí)行狀態(tài);未通過認(rèn)證的郵件將被隔離)
- p = reject(DMARC處于強(qiáng)制執(zhí)行狀態(tài);未通過認(rèn)證的郵件將完全終止)
當(dāng)DMARC與僅啟用監(jiān)視的策略一起使用,用戶可以隨時查看電子郵件流和傳遞問題���,但是�����,這無法為BEC提供任何保護(hù)�����。因此�����,DMARC需要向執(zhí)行狀態(tài)進(jìn)行轉(zhuǎn)變���,隔離那些利用域所有者的惡意郵件向客戶傳播的電子郵件。
(3) 步驟3:監(jiān)控與報告
當(dāng)用戶將DMARC策略設(shè)置為強(qiáng)制執(zhí)行���,是否就完全可以抵御BEC了呢?非也����,后續(xù)的監(jiān)控和報告流程也十分重要���,采取的平臺具體功能如下:
- 掌控用戶域名;
- 直觀監(jiān)控注冊的每封電子郵件�����、用戶和域的身份驗(yàn)證結(jié)果;
- 刪除試圖假冒用戶的濫用IP地址�。
DMARC報告主要包含DMARC匯總報告和DMARC取證報告。DMARC實(shí)施�����,執(zhí)行和報告的結(jié)合有助于進(jìn)一步防范企業(yè)BEC攻擊��,減小中招的機(jī)會�。
DMARC和反垃圾郵件過濾器的區(qū)別
或許有些人會問這和反垃圾郵件過濾器有何不同?
事實(shí)上,DMARC的工作方式與普通的反垃圾郵件過濾器和電子郵件安全網(wǎng)關(guān)完全不同�����。雖然這些解決方案通常與云電子郵件交換器服務(wù)集成在一起����,但它們只能提供針對入站網(wǎng)絡(luò)釣魚嘗試的保護(hù)。
所以�,從用戶域發(fā)送的郵件仍存在被冒充的風(fēng)險的角度來說,這才是DMARC派得上用場的地方���。
增強(qiáng)電子郵件安全性的其他方式
[[383708]]
(1) 始終保持小于10 個的DNS查找記錄
超過10個DNS查找記錄則會讓用戶的SPF完全失效����,甚至導(dǎo)致正常的郵件也無法認(rèn)證成功。在這種情況下��,如果將DMARC設(shè)置為“reject”��,那么常規(guī)的電子郵件將無法發(fā)送����。
(2) 確保傳輸中的電子郵件的TLS加密
盡管DMARC可以保護(hù)用戶免受社會工程攻擊和BEC的侵害�,但仍然需要做好準(zhǔn)備應(yīng)對諸如中間人(MITM)之類的普遍存在的監(jiān)視攻擊??梢酝ㄟ^確保每次將電子郵件發(fā)送到用戶的域時,在SMTP服務(wù)器之間協(xié)調(diào)通過TLS安全連接來完成�����。
(3) 使用BIMI提升郵件安全
借助BIMI(郵件識別的品牌指標(biāo))進(jìn)行劃分�����,幫助收件人更直觀地在收件箱中識別對方身份��,讓企業(yè)郵件的安全性提升到一個新的水平����。
參考來源:Thehackernews
新聞標(biāo)題:DMARC:企業(yè)郵件信息泄漏應(yīng)對之道
分享路徑:
http://uogjgqi.cn/article/djpcgdc.html
