网易企业邮箱,中国企业邮箱第一品牌
  • 咨询电话: 400-999-7163
    当前位置: 首页 >> 常见问题 >> 行业问题

    网易企业邮箱:通过DMARC认证抵御BEC攻击

    时间:2021.03.11

    以电子邮件为潜在媒介的欺诈行为正快速且肆虐地发展,这会导致企业电子邮件泄密(Business Email Compromise,简称BEC)。


    BEC攻击主要针对商业、政府以及非营利性组织,这种攻击产生的影响巨大,可导致大量的企业信息数据丢失、发生安全事件甚至造成财产损失。

    或许人们常常会陷入一种误区,认为网络犯罪分子将目光瞄准跨国公司和企业级组织上,然而,事实是中小企业也“难逃魔爪”。


    近年来,商业邮件欺诈  (Business Email Compromise, BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同,但它们一般都有一个共同点,就是瞄准那些拥有金融控制权的工作人员(无论其是在大型或小型组织中),然后对其实施有针对性的鱼叉式网络钓鱼攻击。最常使用的手段就是电子邮件账户接管或欺骗,欺诈者会冒充目标的同事或老板,有时候还会冒充 CEO、供应商甚至是另一个部门中职位很高的人。BEC攻击非常容易成功,因为欺诈者通常会谨慎选择攻击目标,例如可靠的业务合作伙伴或公司的CEO。2018年FBI报告称,公司商业因BEC攻击而损失的资金,高达30亿美元以上。另外, BEC攻击也越来越复杂,其目的就是利用关键主管人员对公司资源的更广泛访问以及更大的支付权限。


     然后,攻击者会试图说服受害者将资金转移给他们,或是更改现有金融交易中的细节来使自己受益。根据 Proofpoint在2019年的一份研究报告,在 2018 年第四季度中,每家目标组织遭遇的 BEC 攻击数量同比增长了 476%。与此同时,Mimecast 也在其发布的《2019年电子邮件安全年度报告》中指出,假冒和 BBEC 攻击增长了67%,且其中 73% 的受害组织遭受了直接损失。

    与勒索软件相比,商业邮件欺诈在每次攻击中的净收益至少高出17倍。因为 BEC 攻击所造成的伤害并不是系统攻击、停机或是生产力损失。相反地,它带来的都是直接的损失。

    从技术层面来讲,商业邮件欺诈是一种相对技术含量较低的金融欺诈,可为诈骗者带来高回报,而风险却最小。在这篇文章中,我们将研究商业电子邮件攻击骗局的工作原理,以及预防措施。



    商业电子邮件攻击的危害有多严重?

    商业电子邮件攻击是2019年互联网犯罪领域内,造成财务损失最大的攻击,并且这个趋势还在增加。FBI的统计数据显示,平均来看,勒索软件造成的损失在每次事件中约为4400美元,在整个2019年总计约为900万美元。相比之下,BEC造成的损失约为勒索软件造成损失的17倍,每次事件约为75000美元,总财务损失超过17亿美元。

    FBI在2019年记录的因互联网犯罪造成的所有财务损失(总计约35亿美元)中,奇热BEC约占总损失的50%。

    BEC攻击愈演愈烈,怎样才能根除这种攻击?

    什么是商业电子邮件攻击?



    商业电子邮件攻击准确地说是一种欺诈行为,总的来说,在这种欺诈中,攻击者会诱骗第三方向自己转账。

    邮件攻击首先是攻击或欺骗能够授权其他员工(例如财务或应付账款员工)进行转账的高管或高级经理的电子邮件帐户。

    骗局的第一部分通常涉及有针对性的网络钓鱼(又称鱼叉式网络钓鱼)攻击或通过键盘记录程序进行的凭证盗窃。例如,C-Suite高管可能会受到网络钓鱼攻击的攻击,该攻击会安装远程访问木马(RAT)来收集凭据和其他有用的业务信息。

    之后,该帐户将用于指示其他员工完成来自假冒供应商的转账请求。例如C-Suite高管的欺骗或劫持帐户可用于发送内部电子邮件,内容类似于以下内容

    BEC攻击愈演愈烈,怎样才能根除这种攻击?

    由于攻击者需要说服受害者通过转账请求,因此其中必然要用到社会工程。另外,另外,还可以使用社交工程来窃取密码并攻击或欺骗最初的帐户。

    如何缓解BEC?

    如上所述,商业电子邮件攻击的完成必须具备三个相互关联的因素 电子邮件、人员和转账。

    1.确认转账

    综上所述,你的公司应该始终通过电子邮件以外的其他方式来确认转账请求,比如通过电话或通过已知的合法公司号码(电子邮件中未提供)或工作中常用的聊天软件(例如Slack),不过最好的还是面对面验证转账请求。

    理想情况下,你的公司应该制定一个政策,对转账进行二次确认,这样就更安全了。另外,要求不要通过电子邮件以外的其他任何方式发起的转账请求(电子邮件本身几乎不是一种保密的交流方式)应引起你的怀疑。

    2.启用多重身份验证

    保护你的用户的电子邮件帐户不受攻击也应该是你的优先事项,虽然不完美,双因素认证(2FA)和多因子身份验证(MFA)将防止到目前为止的大多数帐户接管企图。在某些用例中,Yubikey(一个小型的USB设备)等硬件安全密钥值得考虑一下。

    3.如何检测恶意电子邮件

    免遭恶意电子邮件攻击的策略是防御策略的第三个也是绝对至关重要的一部分,长期以来,电子邮件一直是攻击者最爱用的攻击媒介。据估计,80%到95%的商业邮件攻击都是通过电子邮件传播的,所以这绝对是你需要集中精力的地方。

    攻击者除了使用电子邮件的实际文本内容来进行诈骗之外,与电子邮件相关的还有两个主要的技术风险:恶意附件和链接。

    3.1缓解恶意附件的策略

    在商业电子邮件攻击中,攻击者可能会使用附件来运行可执行代码,这些代码可能会安装一个RAT病毒,以便安装键盘记录程序、后门和其他利用后工具来帮助窃取凭证和有用的数据,如联系人和以前的电子邮件通信。BEC的攻击者通常会花一些时间来分析他们的受害者,以便尽可能地写出令人信服的内容,从而让社会工程成功发挥作用。因此,查看防止附件执行代码的一系列选项非常重要。

    附件过滤可以用多种方式来帮助缓解代码执行,例如,电子邮件扫描软件可以用来改变附件的文件格式,使它们不能执行隐藏的代码。

    尽管这可能在一定程度上是有效的,但是它也具有以下缺点:它可能会阻止用户使用需要以其原始格式进行编辑或返回的文档来执行普通业务任务。鉴于这种影响,用户可能会非常排斥这种预防方式。

    更好的解决方案将涉及内容撤防和重建(content disarm and reconstruction ,CDR),以解构附件并删除有害内容。这样做的好处是既高效预防又能满足用户的普通业务处理需要,因为该过程在用户级是透明的。

    3.2处理宏、压缩文件和白名单

    禁用或限制宏也是一个明智的主意,因为许多攻击都利用Microsoft Office的VBA脚本语言调用C2服务器并下载恶意载荷。

    另外,请确保你的电子邮件扫描软件可以正确处理压缩文件。如果压缩文件没有完全解压缩文件,则可以绕过某些不复杂的扫描引擎。众所周知,攻击者会将压缩文件附加到其他文件(例如映像)上,而一些安全软件可能会忽略这一点。

    另外,小心或避免使用扩展白名单文件,因为攻击者会通过使用不可执行的文件扩展名重命名可执行文件来绕过此类白名单规则。如果必须将附件列入白名单,至少要使用一种策略,即通过文件输入(扫描文件以检查其格式)白名单,以避免最简单的绕过。

    3.3处理链接并验证发件人

    对于包含恶意链接的电子邮件,一些组织使用的一种缓解策略是取消电子邮件中的超链接,使其无法点击。这迫使用户将链接复制并粘贴到浏览器中,这是一个有意识处理链接的过程,为用户提供了暂停和考虑他们在做什么的机会。

    但是,问题再次在于,每当安全性影响生产效率和便利性时,你都会遇到用户的抵制。这种安全措施有两个缺点,既不方便,也容易出错,因为引入延迟仍然不能保证用户不会访问链接,所以请谨慎执行此策略。

    处理电子邮件时要考虑的另一个因素是验证发件人,比如通过DMARC和SPF/DKIM验证。这些技术可以帮助标记出伪造的发送者身份。但当该帐户属于某个组织的合法成员,但已被攻击者攻击时,该措施可能没有帮助。

    SPF:校验发件端IP地址,防止邮件诈骗。DKIM:校验邮件签名信息,防止邮件诈骗和邮件反向散射。MDARC基于SPF/DKIM,按照真实发件端的声明进行真实性验证及异常报告

    DMARC(Domain-based Message Authentication, Reporting & Conformance)是txt记录中的一种,是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,其核心思想是邮件的发送方通过特定方式(DNS)公开表明自己会用到的发件服务器(SPF)、并对发出的邮件内容进行签名(DKIM),而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理,如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件,保障用户个人信息安全。

    最后,通过使用一个AI驱动的安全解决方案来武装你的使用终端,确保你使用的设备终端不受恶意附件和恶意链接的影响,该安全解决方案可以在恶意代码试图执行时检测并阻止它,而不管它的来源是什么:文件或无文件、链接或宏。在这里,我推荐使用SentinelOne的产品,SentinelOne提供的端点保护平台已经被3500多家公司采用,该软件广泛支持各种环境。SentinelOne表示,该平台可可以保护员工的笔记本电脑、联网设备、公有云部署、容器化工作负载以及其他数字资产。该平台还能够处理各种威胁。据SentinelOne称,他们的算法不仅可以发现常规恶意软件,还可以发现将企业现有应用变成攻击武器的无文件攻击。像许多产品一样,SentinelOne在后台使用人工智能来捕获恶意行为。不过,其他平台通常是将潜在威胁相关数据发送到云中进行评估,而SentinelOne的软件是在设备本地进行分析的。


    验证转账并启用多因素身份验证是一种简单有效的方法,可以防止诈骗者进行商业电子邮件攻击的意图。最重要的是,分层的纵深防御方法也是一直一种实用性的防御技术。

    不过防御商业电子邮件攻击的最薄弱环节,还是那些追求工作效率的员工,有时为了工作效率,员工会牺牲安全性。


    BEC攻击对企业安全的影响

    BEC攻击方式包括复杂的社会工程攻击,如网络钓鱼、CEO欺诈、伪造发票和电子邮件欺骗等。这一方式也称为冒名顶替攻击,即冒充公司高层人员进行欺诈活动,比如CFO、CEO等,也有些攻击者冒充业务合作伙伴或任何其他较为信任亲近的人,这些都是BEC攻击成功的重要因素。

    2021年2月,俄罗斯网络组织Cosmic Lynx进行了成熟的布局,以开展BEC攻击。自2019年7月以来,该组织已进行了200次BEC攻击,目标是全球46个国家/地区,重点关注具有全球业务的大型跨国公司。攻击者利用的网络钓鱼电子邮件具有高度混淆性,让人难以分辨真假。

    新冠疫情后,远程办公进一步推动了视频会议应用程序的火热。在这种情况下,网络犯罪分子伪装成视频会议程序Zoom的官方平台,并发送虚假电子邮件以窃取登录凭据,并进一步窃取企业的大量数据。

    显而易见,近来BEC的关注度正在迅速凸显,并且相关事件不断增加,攻击者也在不断地创新作案手法和工具。BEC影响全球70%以上的组织,并导致每年数十亿美元的损失。这就是行业专家提出诸如DMARC之类的邮件认证协议的原因,用以提供更高级别的模拟保护。

    邮件认证方法抵御BEC攻击

    电子邮件认证,即部署可提供电子邮件来源可信度的各种技术,通过验证邮件传输中的邮件传输代理的域名所有权来检测其安全性。

    简单邮件传输协议(SMTP)是电子邮件传输的行业标准,但是却没有用于消息身份验证的内置功能。这就是为什么黑客机器容易发起邮件网络钓鱼并发动域名欺骗攻击的原因。

    利用缺乏安全性使网络罪犯极其容易发起电子邮件网络钓鱼和域欺骗攻击的原因。因此,DMARC(Domain-based Message Authentication, Reporting and Conformance,电子邮件认证系统)应运而生。利用DMARC防止BEC的具体步骤如下。

    步骤1:实施

    实际上,对抗BEC攻击的第一步是为用户的域配置DMARC。

    DMARC使用SPF和DKIM认证标准来验证从所属域发送的电子邮件。具体指,接收服务器如何响应未通过SPF和DKIM两项认证的电子邮件,并让域名所有者可以控制接受者的响应方式。因此,如何实施DMARC?

    识别为用户域授权的所有有效电子邮件来源;

    在用户的DNS中发布SPF记录,并进行SPF域配置;

    在用户的DNS中发布DKIM记录,并进行DKIM域配置;

    在用户的DNS中发布DMARC记录,并进行DMARC域配置。

    步骤2:执行

    DMARC规则策略可以设置为:

    p = none(DMARC仅处于监视状态;未通过认证的邮件仍会传递)

    p =quarantine(DMARC处于执行状态;未通过认证的邮件将被隔离)

    p = reject(DMARC处于强制执行状态;未通过认证的邮件将完全终止)

    当DMARC与仅启用监视的策略一起使用,用户可以随时查看电子邮件流和传递问题,但是,这无法为BEC提供任何保护。因此,DMARC需要向执行状态进行转变,隔离那些利用域所有者的恶意邮件向客户传播的电子邮件。

    步骤3:监控与报告

    当用户将DMARC策略设置为强制执行,是否就完全可以抵御BEC了呢?非也,后续的监控和报告流程也十分重要,采取的平台具体功能如下:

    掌控用户域名;

    直观监控注册的每封电子邮件、用户和域的身份验证结果;

    删除试图假冒用户的滥用IP地址。

    DMARC报告主要包含DMARC汇总报告和DMARC取证报告。DMARC实施,执行和报告的结合有助于进一步防范企业BEC攻击,减小中招的机会。

    DMARC和反垃圾邮件过滤器的区别

    或许有些人会问这和反垃圾邮件过滤器有何不同?

    事实上,DMARC的工作方式与普通的反垃圾邮件过滤器和电子邮件安全网关完全不同。虽然这些解决方案通常与云电子邮件交换器服务集成在一起,但它们只能提供针对入站网络钓鱼尝试的保护。

    所以,从用户域发送的邮件仍存在被冒充的风险的角度来说,这才是DMARC派得上用场的地方。

    增强电子邮件安全性的其他方式


    1、始终保持小于10 个的DNS查找记录

    超过10个DNS查找记录则会让用户的SPF完全失效,甚至导致正常的邮件也无法认证成功。在这种情况下,如果将DMARC设置为“reject”,那么常规的电子邮件将无法发送。

    2、确保传输中的电子邮件的TLS加密

    尽管DMARC可以保护用户免受社会工程攻击和BEC的侵害,但仍然需要做好准备应对诸如中间人(MITM)之类的普遍存在的监视攻击。可以通过确保每次将电子邮件发送到用户的域时,在SMTP服务器之间协调通过TLS安全连接来完成。

    3、使用网易企业邮箱提升邮件安全

    网易企业邮箱反垃圾系统率先支持DMARC协议后,将大大增加那些通过伪造发件人地址手段的网络钓鱼者的难度。企业客户使用了DMARC,可以很方便地告诉邮件接收方如何认证发件人的邮件、如何处理伪造发件人的邮件、如何把伪造邮件的数据反馈给发件人。对于顺利通过DMARC验证的邮件,则会像往常一样接受邮件服务商的反垃圾邮件系统等过滤器的检查,并最终投递到收件人的邮箱中。DMARC协议的使用,将进一步协助网易企业邮箱有效保护广大企业客户的信息安全。

    最先进反垃圾协议DMARC获得国际巨头共同支持,保护全球60%邮箱用户

    “DMARC结合了商业价值和技术价值,正逐步成为一条安全性要求基线,以及基本的品牌和用户保护手段。未对自己的顶级域名部署DMARC的企业品牌,这是把他们的客户和员工置身于令人无法忍受的诈骗邮件和恶意邮件的危险中。” OTA执行董事及主席Craig Spiezle如是说。

    DMARC协议诞生后,就联手全球知名品牌和邮箱服务商,共同持续打击垃圾邮件、钓鱼邮件等猖獗的邮件诈骗和邮件伪造行为。在美国,占据8成市场的数家邮件服务商都已经支持了DMARC协议,包括包括亚马逊、苹果、暴雪娱乐、eBay、Facebook、联邦快递、谷歌、Paypal等等。与此同时,拥有亿万用户的中国网易公司及俄罗斯、荷兰等国的大型服务商也都纷纷支持这份协议,保护全球60%的邮箱用户。

    网易公司作为中国目前DMARC官方成员,在国内积极推广DMARC,为国内领军电商企业和第三方支付企业提供支持,提升反垃圾邮件、反钓鱼邮件的能力。

    网易企业邮箱结合DMARC,保护企业用户邮箱安全

    除全面支持SPF、DKIM和DMARC协议外,网易邮箱自主研发的智能反垃圾技术也为用户拦截各种干扰。网易企业邮箱对垃圾邮件的拦截率高达98%以上,长期占据国内首位。垃圾邮件误判率仅为十万分之一,优于国际十万分之三的业界标准,更优于国内大部分邮件服务商万分之一的标准。网易企业邮箱的反垃圾技术与DMARC协议结合使用,将更有效打击钓鱼邮件,进一步保护企业用户邮箱安全。

    25年技术沉淀,专注企业邮箱

    

    查看更多+ 热门问题

    查看更多+ 新闻中心

    咨询电话:
    400-999-7163

    在线QQ咨询:
    点击这里给我发消息
    • 网易企业邮箱优秀经销商

      连续多年获得网易优秀经销商

    • 23年只专注于企邮行业

      一心一意专心致力于企业邮箱

    • 一站式服务

      满足企业信息化个性需求

    • 售后保障

      一对一邮箱顾问服务

    网易企业邮箱 - 产品介绍 - 开通邮箱 - 成功案例 - 产品报价 - 优惠活动 - 常见问题 - 关于我们 - 服务范围 - 站点地图 - 核心服务 -
    全部区域: - 上海 - 北京 - 安徽 - 福建 - 甘肃 - 广东 - 广西 - 贵州 - 海南 - 河北 - 河南 - 黑龙江 - 湖北 - 湖南 - 吉林 - 江苏 - 江西 - 辽宁 - 内蒙古 - 宁夏 - 青海 - 山东 - 山西 - 陕西 - 四川 - 天津 - 西藏 - 新疆 - 云南 - 浙江 - 重庆 - 香港 - 澳门 - 台湾 - 企业邮箱申请 -
    Copyright © 2018-2021 网易企业邮箱申请购买中心 客服热线:400-999-7163
    咨询电话
    400-999-7163
    E-mail
    admin@163biz.com