以电子邮件为潜在媒介的欺诈行为正快速且肆虐地发展,这会导致企业电子邮件泄密(Business Email Compromise,简称BEC)。
BEC攻击主要针对商业、政府以及非营利性组织,这种攻击产生的影响巨大,可导致大量的企业信息数据丢失、发生安全事件甚至造成财产损失。
或许人们常常会陷入一种误区,认为网络犯罪分子将目光瞄准跨国公司和企业级组织上,然而,事实是中小企业也“难逃魔爪”。
BEC攻击方式包括复杂的社会工程攻击,如网络钓鱼、CEO欺诈、伪造发票和电子邮件欺骗等。这一方式也称为冒名顶替攻击,即冒充公司高层人员进行欺诈活动,比如CFO、CEO等,也有些攻击者冒充业务合作伙伴或任何其他较为信任亲近的人,这些都是BEC攻击成功的重要因素。
2021年2月,俄罗斯网络组织Cosmic Lynx进行了成熟的布局,以开展BEC攻击。自2019年7月以来,该组织已进行了200次BEC攻击,目标是全球46个国家/地区,重点关注具有全球业务的大型跨国公司。攻击者利用的网络钓鱼电子邮件具有高度混淆性,让人难以分辨真假。
新冠疫情后,远程办公进一步推动了视频会议应用程序的火热。在这种情况下,网络犯罪分子伪装成视频会议程序Zoom的官方平台,并发送虚假电子邮件以窃取登录凭据,并进一步窃取企业的大量数据。
显而易见,近来BEC的关注度正在迅速凸显,并且相关事件不断增加,攻击者也在不断地创新作案手法和工具。BEC影响全球70%以上的组织,并导致每年数十亿美元的损失。这就是行业专家提出诸如DMARC之类的邮件认证协议的原因,用以提供更高级别的模拟保护。
电子邮件认证,即部署可提供电子邮件来源可信度的各种技术,通过验证邮件传输中的邮件传输代理的域名所有权来检测其安全性。
简单邮件传输协议(SMTP)是电子邮件传输的行业标准,但是却没有用于消息身份验证的内置功能。这就是为什么黑客机器容易发起邮件网络钓鱼并发动域名欺骗攻击的原因。
利用缺乏安全性使网络罪犯极其容易发起电子邮件网络钓鱼和域欺骗攻击的原因。因此,DMARC(Domain-based Message Authentication, Reporting and Conformance,电子邮件认证系统)应运而生。利用DMARC防止BEC的具体步骤如下。
实际上,对抗BEC攻击的第一步是为用户的域配置DMARC。
DMARC使用SPF和DKIM认证标准来验证从所属域发送的电子邮件。具体指,接收服务器如何响应未通过SPF和DKIM两项认证的电子邮件,并让域名所有者可以控制接受者的响应方式。因此,如何实施DMARC?
识别为用户域授权的所有有效电子邮件来源;
在用户的DNS中发布SPF记录,并进行SPF域配置;
在用户的DNS中发布DKIM记录,并进行DKIM域配置;
在用户的DNS中发布DMARC记录,并进行DMARC域配置。
DMARC规则策略可以设置为:
p = none(DMARC仅处于监视状态;未通过认证的邮件仍会传递)
p =quarantine(DMARC处于执行状态;未通过认证的邮件将被隔离)
p = reject(DMARC处于强制执行状态;未通过认证的邮件将完全终止)
当DMARC与仅启用监视的策略一起使用,用户可以随时查看电子邮件流和传递问题,但是,这无法为BEC提供任何保护。因此,DMARC需要向执行状态进行转变,隔离那些利用域所有者的恶意邮件向客户传播的电子邮件。
当用户将DMARC策略设置为强制执行,是否就完全可以抵御BEC了呢?非也,后续的监控和报告流程也十分重要,采取的平台具体功能如下:
掌控用户域名;
直观监控注册的每封电子邮件、用户和域的身份验证结果;
删除试图假冒用户的滥用IP地址。
DMARC报告主要包含DMARC汇总报告和DMARC取证报告。DMARC实施,执行和报告的结合有助于进一步防范企业BEC攻击,减小中招的机会。
或许有些人会问这和反垃圾邮件过滤器有何不同?
事实上,DMARC的工作方式与普通的反垃圾邮件过滤器和电子邮件安全网关完全不同。虽然这些解决方案通常与云电子邮件交换器服务集成在一起,但它们只能提供针对入站网络钓鱼尝试的保护。
所以,从用户域发送的邮件仍存在被冒充的风险的角度来说,这才是DMARC派得上用场的地方。
超过10个DNS查找记录则会让用户的SPF完全失效,甚至导致正常的邮件也无法认证成功。在这种情况下,如果将DMARC设置为“reject”,那么常规的电子邮件将无法发送。
尽管DMARC可以保护用户免受社会工程攻击和BEC的侵害,但仍然需要做好准备应对诸如中间人(MITM)之类的普遍存在的监视攻击。可以通过确保每次将电子邮件发送到用户的域时,在SMTP服务器之间协调通过TLS安全连接来完成。
借助BIMI(邮件识别的品牌指标)进行划分,帮助收件人更直观地在收件箱中识别对方身份,让企业邮件的安全性提升到一个新的水平。