中国邮箱网讯 3月9日消息 以电子邮件为潜在媒介的欺诈行为正快速且肆虐地发展,这会导致企业电子邮件泄密(Business Email Compromise,简称BEC)。
BEC攻击主要针对商业、政府以及非营利性组织,这种攻击产生的影响巨大,可导致大量的企业信息数据丢失、发生安全事件甚至造成财产损失。
或许人们常常会陷入一种误区,认为网络犯罪分子将目光瞄准跨国公司和企业级组织上,然而,事实是中小企业也“难逃魔爪”。
BEC攻击对企业安全的影响
BEC攻击方式包括复杂的社会工程攻击,如网络钓鱼、CEO欺诈、伪造发票和电子邮件欺骗等。这一方式也称为冒名顶替攻击,即冒充公司高层人员进行欺诈活动,比如CFO、CEO等,也有些攻击者冒充业务合作伙伴或任何其他较为信任亲近的人,这些都是BEC攻击成功的重要因素。
2021年2月,俄罗斯网络组织Cosmic Lynx进行了成熟的布局,以开展BEC攻击。自2019年7月以来,该组织已进行了200次BEC攻击,目标是全球46个国家/地区,重点关注具有全球业务的大型跨国公司。攻击者利用的网络钓鱼电子邮件具有高度混淆性,让人难以分辨真假。
新冠疫情后,远程办公进一步推动了视频会议应用程序的火热。在这种情况下,网络犯罪分子伪装成视频会议程序Zoom的官方平台,并发送虚假电子邮件以窃取登录凭据,并进一步窃取企业的大量数据。
显而易见,近来BEC的关注度正在迅速凸显,并且相关事件不断增加,攻击者也在不断地创新作案手法和工具。BEC影响全球70%以上的组织,并导致每年数十亿美元的损失。这就是行业专家提出诸如DMARC之类的邮件认证协议的原因,用以提供更高级别的模拟保护。
邮件认证方法抵御BEC攻击
电子邮件认证,即部署可提供电子邮件来源可信度的各种技术,通过验证邮件传输中的邮件传输代理的域名所有权来检测其安全性。
简单邮件传输协议(SMTP)是电子邮件传输的行业标准,但是却没有用于消息身份验证的内置功能。这就是为什么黑客机器容易发起邮件网络钓鱼并发动域名欺骗攻击的原因。
利用缺乏安全性使网络罪犯极其容易发起电子邮件网络钓鱼和域欺骗攻击的原因。因此,DMARC(Domain-based Message Authentication, Reporting and Conformance,电子邮件认证系统)应运而生。利用DMARC防止BEC的具体步骤如下。
步骤1:实施
实际上,对抗BEC攻击的第一步是为用户的域配置DMARC。
DMARC使用SPF和DKIM认证标准来验证从所属域发送的电子邮件。具体指,接收服务器如何响应未通过SPF和DKIM两项认证的电子邮件,并让域名所有者可以控制接受者的响应方式。因此,如何实施DMARC?
识别为用户域授权的所有有效电子邮件来源;
在用户的DNS中发布SPF记录,并进行SPF域配置;
在用户的DNS中发布DKIM记录,并进行DKIM域配置;
在用户的DNS中发布DMARC记录,并进行DMARC域配置。
步骤2:执行
DMARC规则策略可以设置为:
p = none(DMARC仅处于监视状态;未通过认证的邮件仍会传递)
p =quarantine(DMARC处于执行状态;未通过认证的邮件将被隔离)
p = reject(DMARC处于强制执行状态;未通过认证的邮件将完全终止)
当DMARC与仅启用监视的策略一起使用,用户可以随时查看电子邮件流和传递问题,但是,这无法为BEC提供任何保护。因此,DMARC需要向执行状态进行转变,隔离那些利用域所有者的恶意邮件向客户传播的电子邮件。
步骤3:监控与报告
当用户将DMARC策略设置为强制执行,是否就完全可以抵御BEC了呢?非也,后续的监控和报告流程也十分重要,采取的平台具体功能如下:
掌控用户域名;
直观监控注册的每封电子邮件、用户和域的身份验证结果;
删除试图假冒用户的滥用IP地址。
DMARC报告主要包含DMARC汇总报告和DMARC取证报告。DMARC实施,执行和报告的结合有助于进一步防范企业BEC攻击,减小中招的机会。
DMARC和反垃圾邮件过滤器的区别
或许有些人会问这和反垃圾邮件过滤器有何不同?
事实上,DMARC的工作方式与普通的反垃圾邮件过滤器和电子邮件安全网关完全不同。虽然这些解决方案通常与云电子邮件交换器服务集成在一起,但它们只能提供针对入站网络钓鱼尝试的保护。
所以,从用户域发送的邮件仍存在被冒充的风险的角度来说,这才是DMARC派得上用场的地方。
增强电子邮件安全性的其他方式
1、始终保持小于10 个的DNS查找记录
超过10个DNS查找记录则会让用户的SPF完全失效,甚至导致正常的邮件也无法认证成功。在这种情况下,如果将DMARC设置为“reject”,那么常规的电子邮件将无法发送。
2、确保传输中的电子邮件的TLS加密
尽管DMARC可以保护用户免受社会工程攻击和BEC的侵害,但仍然需要做好准备应对诸如中间人(MITM)之类的普遍存在的监视攻击。可以通过确保每次将电子邮件发送到用户的域时,在SMTP服务器之间协调通过TLS安全连接来完成。
3、使用网易企业邮箱提升邮件安全
网易企业邮箱反垃圾系统率先支持DMARC协议后,将大大增加那些通过伪造发件人地址手段的网络钓鱼者的难度。企业客户使用了DMARC,可以很方便地告诉邮件接收方如何认证发件人的邮件、如何处理伪造发件人的邮件、如何把伪造邮件的数据反馈给发件人。对于顺利通过DMARC验证的邮件,则会像往常一样接受邮件服务商的反垃圾邮件系统等过滤器的检查,并最终投递到收件人的邮箱中。DMARC协议的使用,将进一步协助网易企业邮箱有效保护广大企业客户的信息安全。
最先进反垃圾协议DMARC获得国际巨头共同支持,保护全球60%邮箱用户
“DMARC结合了商业价值和技术价值,正逐步成为一条安全性要求基线,以及基本的品牌和用户保护手段。未对自己的顶级域名部署DMARC的企业品牌,这是把他们的客户和员工置身于令人无法忍受的诈骗邮件和恶意邮件的危险中。” OTA执行董事及主席Craig Spiezle如是说。
DMARC协议诞生后,就联手全球知名品牌和邮箱服务商,共同持续打击垃圾邮件、钓鱼邮件等猖獗的邮件诈骗和邮件伪造行为。在美国,占据8成市场的数家邮件服务商都已经支持了DMARC协议,包括包括亚马逊、苹果、暴雪娱乐、eBay、Facebook、联邦快递、谷歌、Paypal等等。与此同时,拥有亿万用户的中国网易公司及俄罗斯、荷兰等国的大型服务商也都纷纷支持这份协议,保护全球60%的邮箱用户。
网易公司作为中国目前DMARC官方成员,在国内积极推广DMARC,为国内领军电商企业和第三方支付企业提供支持,提升反垃圾邮件、反钓鱼邮件的能力。
网易企业邮箱结合DMARC,保护企业用户邮箱安全
除全面支持SPF、DKIM和DMARC协议外,网易邮箱自主研发的智能反垃圾技术也为用户拦截各种干扰。网易企业邮箱对垃圾邮件的拦截率高达98%以上,长期占据国内首位。垃圾邮件误判率仅为十万分之一,优于国际十万分之三的业界标准,更优于国内大部分邮件服务商万分之一的标准。网易企业邮箱的反垃圾技术与DMARC协议结合使用,将更有效打击钓鱼邮件,进一步保护企业用户邮箱安全。
具体DMARC设置方法,可参考网易企业邮箱官网DNS设置类目下的内容(http://qiye.163.com/mail/help-dns.htm)或是联系对应经销商进行协助处理,企业用户只需输入企业域名、选择域名提供商,上述DNS设置界面会自动演示正确的设置方法。