以電子郵件為潛在媒介的欺詐行為正快速且肆虐地發(fā)展，這會導(dǎo)致企業(yè)電子郵件泄密(Business Email Compromise，簡稱BEC)。

BEC攻擊主要針對商業(yè)、政府以及非營利性組織，這種攻擊產(chǎn)生的影響巨大，可導(dǎo)致大量的企業(yè)信息數(shù)據(jù)丟失、發(fā)生安全事件甚至造成財產(chǎn)損失。

或許人們常常會陷入一種誤區(qū)，認為網(wǎng)絡(luò)犯罪分子將目光瞄準(zhǔn)跨國公司和企業(yè)級組織上，然而，事實是中小企業(yè)也“難逃魔爪”。

BEC攻擊對企業(yè)安全的影響

BEC攻擊方式包括復(fù)雜的社會工程攻擊，如網(wǎng)絡(luò)釣魚、CEO欺詐、偽造發(fā)票和電子郵件欺騙等。這一方式也稱為冒名頂替攻擊，即冒充公司高層人員進行欺詐活動，比如CFO、CEO等，也有些攻擊者冒充業(yè)務(wù)合作伙伴或任何其他較為信任親近的人，這些都是BEC攻擊成功的重要因素。

2021年2月，俄羅斯網(wǎng)絡(luò)組織Cosmic Lynx進行了成熟的布局，以開展BEC攻擊。自2019年7月以來，該組織已進行了200次BEC攻擊，目標(biāo)是全球46個國家/地區(qū)，重點關(guān)注具有全球業(yè)務(wù)的大型跨國公司。攻擊者利用的網(wǎng)絡(luò)釣魚電子郵件具有高度混淆性，讓人難以分辨真假。

新冠疫情后，遠程辦公進一步推動了視頻會議應(yīng)用程序的火熱。在這種情況下，網(wǎng)絡(luò)犯罪分子偽裝成視頻會議程序Zoom的官方平臺，并發(fā)送虛假電子郵件以竊取登錄憑據(jù)，并進一步竊取企業(yè)的大量數(shù)據(jù)。

顯而易見，近來BEC的關(guān)注度正在迅速凸顯，并且相關(guān)事件不斷增加，攻擊者也在不斷地創(chuàng)新作案手法和工具。BEC影響全球70%以上的組織，并導(dǎo)致每年數(shù)十億美元的損失。這就是行業(yè)專家提出諸如DMARC之類的郵件認證協(xié)議的原因，用以提供更高級別的模擬保護。

郵件認證方法抵御BEC攻擊

電子郵件認證，即部署可提供電子郵件來源可信度的各種技術(shù)，通過驗證郵件傳輸中的郵件傳輸代理的域名所有權(quán)來檢測其安全性。

簡單郵件傳輸協(xié)議(SMTP)是電子郵件傳輸?shù)男袠I(yè)標(biāo)準(zhǔn)，但是卻沒有用于消息身份驗證的內(nèi)置功能。這就是為什么黑客機器容易發(fā)起郵件網(wǎng)絡(luò)釣魚并發(fā)動域名欺騙攻擊的原因。

利用缺乏安全性使網(wǎng)絡(luò)罪犯極其容易發(fā)起電子郵件網(wǎng)絡(luò)釣魚和域欺騙攻擊的原因。因此，DMARC(Domain-based Message Authentication, Reporting and Conformance，電子郵件認證系統(tǒng))應(yīng)運而生。利用DMARC防止BEC的具體步驟如下。

(1) 步驟1：實施

實際上，對抗BEC攻擊的第一步是為用戶的域配置DMARC。

DMARC使用SPF和DKIM認證標(biāo)準(zhǔn)來驗證從所屬域發(fā)送的電子郵件。具體指，接收服務(wù)器如何響應(yīng)未通過SPF和DKIM兩項認證的電子郵件，并讓域名所有者可以控制接受者的響應(yīng)方式。因此，如何實施DMARC?

• 識別為用戶域授權(quán)的所有有效電子郵件來源;
• 在用戶的DNS中發(fā)布SPF記錄，并進行SPF域配置;
• 在用戶的DNS中發(fā)布DKIM記錄，并進行DKIM域配置;
• 在用戶的DNS中發(fā)布DMARC記錄，并進行DMARC域配置。

(2) 步驟2：執(zhí)行

DMARC規(guī)則策略可以設(shè)置為：

• p = none(DMARC僅處于監(jiān)視狀態(tài);未通過認證的郵件仍會傳遞)
• p =quarantine(DMARC處于執(zhí)行狀態(tài);未通過認證的郵件將被隔離)
• p = reject(DMARC處于強制執(zhí)行狀態(tài);未通過認證的郵件將完全終止)

當(dāng)DMARC與僅啟用監(jiān)視的策略一起使用，用戶可以隨時查看電子郵件流和傳遞問題，但是，這無法為BEC提供任何保護。因此，DMARC需要向執(zhí)行狀態(tài)進行轉(zhuǎn)變，隔離那些利用域所有者的惡意郵件向客戶傳播的電子郵件。

(3) 步驟3：監(jiān)控與報告

當(dāng)用戶將DMARC策略設(shè)置為強制執(zhí)行，是否就完全可以抵御BEC了呢?非也，后續(xù)的監(jiān)控和報告流程也十分重要，采取的平臺具體功能如下：

• 掌控用戶域名;
• 直觀監(jiān)控注冊的每封電子郵件、用戶和域的身份驗證結(jié)果;
• 刪除試圖假冒用戶的濫用IP地址。

DMARC報告主要包含DMARC匯總報告和DMARC取證報告。DMARC實施，執(zhí)行和報告的結(jié)合有助于進一步防范企業(yè)BEC攻擊，減小中招的機會。

DMARC和反垃圾郵件過濾器的區(qū)別

或許有些人會問這和反垃圾郵件過濾器有何不同?

事實上，DMARC的工作方式與普通的反垃圾郵件過濾器和電子郵件安全網(wǎng)關(guān)完全不同。雖然這些解決方案通常與云電子郵件交換器服務(wù)集成在一起，但它們只能提供針對入站網(wǎng)絡(luò)釣魚嘗試的保護。

所以，從用戶域發(fā)送的郵件仍存在被冒充的風(fēng)險的角度來說，這才是DMARC派得上用場的地方。

增強電子郵件安全性的其他方式

(1) 始終保持小于10 個的DNS查找記錄

超過10個DNS查找記錄則會讓用戶的SPF完全失效，甚至導(dǎo)致正常的郵件也無法認證成功。在這種情況下，如果將DMARC設(shè)置為“reject”，那么常規(guī)的電子郵件將無法發(fā)送。

(2) 確保傳輸中的電子郵件的TLS加密

盡管DMARC可以保護用戶免受社會工程攻擊和BEC的侵害，但仍然需要做好準(zhǔn)備應(yīng)對諸如中間人(MITM)之類的普遍存在的監(jiān)視攻擊?？梢酝ㄟ^確保每次將電子郵件發(fā)送到用戶的域時，在SMTP服務(wù)器之間協(xié)調(diào)通過TLS安全連接來完成。

(3) 使用BIMI提升郵件安全

借助BIMI(郵件識別的品牌指標(biāo))進行劃分，幫助收件人更直觀地在收件箱中識別對方身份，讓企業(yè)郵件的安全性提升到一個新的水平。

參考來源：Thehackernews