[[405889]]

以電子郵件作為媒介的攻擊近幾年已經(jīng)愈演愈烈，這種不斷發(fā)展的網(wǎng)絡(luò)犯罪形式目前已經(jīng)有了一個專門的稱呼——商務(wù)電子郵件(Business Email Compromise,簡稱BEC)。

BEC針對商業(yè)、政府和非營利組織，可能導(dǎo)致大量數(shù)據(jù)丟失、安全漏洞和金融資產(chǎn)受損。BEC攻擊愈演愈烈，一年增長130%

一個普遍的誤解是，攻擊者通常把他們的重點放在跨國公司和企業(yè)級別的組織。如今，中小企業(yè)和大型行業(yè)參與者一樣，都是電子郵件欺詐的目標。最易受攻擊的是中小型企業(yè)，因為它們在保護自己的計算系統(tǒng)和信息方面的投入通常比大型企業(yè)少得多，這使得攻擊者能很輕易的入侵他們的系統(tǒng)。

BEC如何發(fā)起對組織的攻擊?

BEC的攻擊包括復(fù)雜的社會工程攻擊，例如網(wǎng)絡(luò)釣魚、CEO欺詐、偽造發(fā)票和電子郵件欺騙等，這種攻擊也可以被稱為冒名頂替攻擊，其攻擊者旨在通過偽造某個職位上的負責(zé)人來欺騙公司，比如冒充CFO或CEO、業(yè)務(wù)合作伙伴或任何你會盲目信任或服從的人，這是推動BEC攻擊成功的關(guān)鍵因素。

2021年6月，Agari的安全研究人員發(fā)現(xiàn)了有史以來第一個浮出水面的俄羅斯BEC網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)，該犯罪網(wǎng)絡(luò)也是Nigerian Scammer的幕后黑手。這個俄羅斯BEC團伙被代號Cosmic Lynx，自2019年7月以來，已經(jīng)針對46個國家/地區(qū)的200多個高級管理人員發(fā)動BEC郵件詐騙攻擊。與其他常規(guī)的BEC騙局不同，Cosmic Lynx的電子郵件內(nèi)容非常逼真，以沒有部署DMARC郵件安全策略的受害者為目標，并利用偽造的“合并并購”方案來竊取更大額資金。據(jù)Agari的研究人員說，這是向全球電子郵件攻擊趨勢的歷史性轉(zhuǎn)變，預(yù)示著全球CISO必須立即應(yīng)對的新型復(fù)雜的社交網(wǎng)絡(luò)釣魚攻擊。研究人員說，大多數(shù)BEC詐騙團伙團體都沒有特定的攻擊目標，但Cosmic Lynx則具有明確的針對性，它專門尋找具有重要全球影響力的大型跨國組織，其中包括許多財富500強或全球,000強公司。Agari表示，Cosmic Lynx的目標員工通常是高級管理人員，其中75%擔(dān)任副總裁、總經(jīng)理或常務(wù)董事的頭銜。調(diào)查發(fā)現(xiàn)，幾乎所有攻擊事件的理由都是受害者的公司正準備與一家亞洲公司達成收購協(xié)議。Cosmic Lynx聲稱自己是這家亞洲公司的首席執(zhí)行官，并要求目標員工與“外部法律顧問”合作，以協(xié)調(diào)完成收購所需的付款。由于其敏感的性質(zhì)，要求目標員工對交易的細節(jié)保密，直到交易完成為止，這使欺詐行為更容易被發(fā)現(xiàn)而不被發(fā)現(xiàn)。根據(jù)分析，Cosmic Lynx電子郵件的內(nèi)容非常“規(guī)范和專業(yè)”，與通常使用錯誤百出的其他BEC攻擊迥然不同，它們使人們無法區(qū)分真實郵件和虛假郵件。。

隨著新冠疫情的加劇，視頻會議應(yīng)用程序已成為遠程攻擊所必須的工具。網(wǎng)絡(luò)攻擊者正利用這種情況發(fā)送欺騙性的電子郵件，假冒來自視頻會議平臺Zoom的通知，這旨在竊取登錄憑據(jù)以進行大規(guī)模的公司數(shù)據(jù)盜取。

顯而易見，近年來BEC的攻擊趨勢愈演愈烈，并且不斷增加，攻擊者更是創(chuàng)造出了更復(fù)雜和創(chuàng)新的方法來逃避安全監(jiān)測。目前BEC影響了全球70%以上的組織，并導(dǎo)致每年數(shù)十億美元的損失。

這就是行業(yè)專家提出諸如DMARC之類的電子郵件身份驗證協(xié)議的原因，以提供高級別的假冒攻擊保護。

什么是電子郵件驗證?

電子郵件身份驗證是一組旨在通過驗證參與傳輸和可能修改消息的任何消息傳輸代理(MTA)的域所有權(quán)技術(shù)，來提供有關(guān)電子郵件消息來源的可驗證信息。

網(wǎng)絡(luò)電子郵件的原始基礎(chǔ)簡單郵件傳輸協(xié)議(SMTP)沒有這種功能，因此電子郵件中的偽造發(fā)件人地址(一種稱為電子郵件欺騙的做法)已廣泛用于網(wǎng)絡(luò)釣魚，電子郵件垃圾郵件和各種類型的欺詐。為了解決這個問題，許多競爭電子郵件身份驗證方案已經(jīng)制定，但是只有到了最近有三種被廣泛采用——SPF，DKIM和DMARC。此類驗證的結(jié)果可以用于自動電子郵件過濾中，或者可以在選擇適當(dāng)?shù)牟僮鲿r幫助收件人。

這就突顯了對有效的電子郵件身份驗證協(xié)議(如DMARC)的實際需求。

使用DMARC防止BEC的步驟

步驟1：實施

防止BEC的第一步實際上是為你的域配置DMARC，基于域的郵件身份驗證、報告和一致性(DMARC)使用SPF和DKIM身份驗證標準來驗證從你的域發(fā)送的電子郵件。

它向接收服務(wù)器指定如何響應(yīng)未通過這兩項身份驗證檢查的電子郵件，從而使域所有者可以控制接收者的響應(yīng)。因此，為了實現(xiàn)DMARC，你需要進行以下操作：

1.確定所有有效的電子郵件來源授權(quán)為你信任的域;

2.在你的DNS中發(fā)布SPF記錄以為你的域配置SPF;

3.在你的DNS中發(fā)布DKIM記錄以為你的域配置DKIM;

4.在你的DNS中發(fā)布DMARC記錄以為你的域配置DMARC;

為避免復(fù)雜性，你可以使用PowerDMARC的免費工具(免費的SPF記錄生成器、免費的DKIM記錄生成器、免費的DMARC記錄生成器)立即生成具有正確語法的記錄，并將其發(fā)布在你的域名的DNS中。

步驟2：執(zhí)行

你的DMARC政策可以設(shè)置為：

p=none(僅監(jiān)測DMARC，身份驗證失敗的消息仍然會被傳遞);

p=quarantine (執(zhí)行時的DMARC，身份驗證失敗的郵件將被隔離);

p = reject(DMARC處于最大強制執(zhí)行階段，驗證失敗的消息將根本不會傳遞);

研究人員建議你在開始使用DMARC時，設(shè)置一個只允許監(jiān)控的策略，這樣你就可以查看電子郵件流程和發(fā)送的問題。然而，這樣的政策不會提供任何針對BEC的保護。

這就是你最終需要使用DMARC執(zhí)行的原因，PowerDMARC通過p=reject的策略可以幫助你立即從監(jiān)視立馬過渡到強制執(zhí)行，這將幫助接收服務(wù)器指定使用你的域的惡意源發(fā)送的電子郵件，其根本不會發(fā)送到收件人的收件箱。

步驟3：監(jiān)控與報告

現(xiàn)在你已將DMARC策略設(shè)置為強制執(zhí)行，并且已成功將BEC最小化，但這就足夠安全了嗎?當(dāng)然不是了。你仍然需要一個廣泛而有效的報告機制來監(jiān)控電子郵件流并響應(yīng)任何傳遞過來的問題。 PowerDMARC的多租戶SaaS平臺可幫助你：

1.保持對你的域的控制;

2.直觀地監(jiān)控為你注冊的每封電子郵件、用戶和域的身份驗證結(jié)果;

3.刪除試圖假冒你身份的濫用IP地址;

DMARC報告在PowerDMARC儀表板上有兩種主要格式：

1.DMARC匯總報告(提供7種不同視圖);

2.DMARC分析報告(具有加密功能，可增強隱私性);

DMARC的實施、執(zhí)行和報告將大大降低你被BEC誘騙和假冒的機會。

使用反垃圾郵件過濾器后，還需要DMARC嗎?

當(dāng)然需要了，微軟開發(fā)的一個安全功能就是DMAR，可以防止用戶受到釣魚郵件的攻擊，保護用戶的個人信息。DMARC可以幫助你查看發(fā)過來的郵件是否是合法的，是否存在風(fēng)險，幫助您截住垃圾郵件和網(wǎng)絡(luò)釣魚郵件。

DMARC的工作方式與普通的反垃圾郵件過濾器和電子郵件安全網(wǎng)關(guān)完全不同，雖然這些解決方案通常與基于云的電子郵件交換器服務(wù)集成在一起，但它們只能提供針對入站網(wǎng)絡(luò)釣魚嘗試的保護。

從你的域發(fā)送的郵件仍然受到假冒的威脅，這就是DMARC發(fā)揮安全的地方。

增強電子郵件安全性的其他提示

始終保持在10個DNS解析限制之下

超過SPF 10查找限制可能會使你的SPF記錄完全無效，甚至導(dǎo)致合法電子郵件也無法通過身份驗證。

在這種情況下，如果你將DMARC設(shè)置為拒絕，那么真實的電子郵件將無法發(fā)送。 PowerSPF是你的自動和動態(tài)SPF記錄平滑器，它通過幫助你保持在SPF硬性限制范圍內(nèi)來緩解SPF的錯誤。

它會自動更新網(wǎng)絡(luò)數(shù)據(jù)塊，并不斷掃描你的電子郵件服務(wù)提供商對其IP地址所做的更改，而無需你的任何干預(yù)。

確保傳輸中的電子郵件的TLS加密

盡管DMARC可以保護你免受社會工程攻擊和BEC的侵害，但你仍然需要做好準備應(yīng)對諸如中間人(MITM)之類的普遍監(jiān)視攻擊。

可以通過確保每次將電子郵件發(fā)送到你的域時，在SMTP服務(wù)器之間協(xié)商通過TLS保護的連接來完成。

PowerDMARC的托管MTA-STS在SMTP中強制使用TLS加密，并附帶一個簡單的實現(xiàn)過程。

獲取有關(guān)電子郵件收到問題的報告

在為你的域配置MTA-STS之后，還可以啟用SMTP TLS報告以獲取有關(guān)電子郵件收到問題的診斷報告。 TLS-RPT可幫助你了解電子郵件生態(tài)系統(tǒng)并更好地響應(yīng)協(xié)商安全連接導(dǎo)致發(fā)送失敗的問題。

你可以在PowerDMARC儀表板上的兩個視圖中查看TLS報告(每個結(jié)果和每個發(fā)送源的匯總報告)。

使用郵件識別品牌標志(BIMI)

郵件識別品牌標志(BIMI)是一種電子郵件標準，它將改變?nèi)藗兺ㄟ^電子郵件與自己喜歡的品牌廠商進行交互的方式。郵件識別品牌標志(BIMI)提供了一個框架，組織可以通過該框架提供授權(quán)徽標，以在收件人的收件箱中顯示該組織的身份驗證電子郵件。

預(yù)測郵件識別品牌標志(BIMI)將會越來越受歡迎，尤其是在嚴重依賴客戶信任和參與的大型企業(yè)和知名廠商中。實際上，谷歌公司將在2020年啟動郵件識別品牌標志(BIMI)試點，這將有助于刺激采用率。Verizon Media公司的研究表明，郵件識別品牌標志(BIMI)可以提高開放率并提高客戶參與度。

BIMI通過將你獨特的品牌徽標附加到你從域中發(fā)出的每封電子郵件中來工作。 用戶僅需3個簡單步驟，PowerDMARC即可輕松實現(xiàn)BIMI。

PowerDMARC是一系列電子郵件身份驗證協(xié)議的一站式安全保護平臺，包括DMARC，SPF，DKIM，BIMI，MTA-STS和TLS-RPT。

本文翻譯自：https://thehackernews.com/2021/02/how-to-fight-business-email-compromise.html如若轉(zhuǎn)載，請注明原文地址。