以電子郵件為潛在媒介的欺詐行為正快速且肆虐地發(fā)展，這會(huì)導(dǎo)致企業(yè)電子郵件泄密(Business Email Compromise，簡(jiǎn)稱BEC)。

BEC攻擊主要針對(duì)商業(yè)、政府以及非營(yíng)利性組織，這種攻擊產(chǎn)生的影響巨大，可導(dǎo)致大量的企業(yè)信息數(shù)據(jù)丟失、發(fā)生安全事件甚至造成財(cái)產(chǎn)損失。

或許人們常常會(huì)陷入一種誤區(qū)，認(rèn)為網(wǎng)絡(luò)犯罪分子將目光瞄準(zhǔn)跨國(guó)公司和企業(yè)級(jí)組織上，然而，事實(shí)是中小企業(yè)也“難逃魔爪”。

BEC攻擊對(duì)企業(yè)安全的影響

BEC攻擊方式包括復(fù)雜的社會(huì)工程攻擊，如網(wǎng)絡(luò)釣魚、CEO欺詐、偽造發(fā)票和電子郵件欺騙等。這一方式也稱為冒名頂替攻擊，即冒充公司高層人員進(jìn)行欺詐活動(dòng)，比如CFO、CEO等，也有些攻擊者冒充業(yè)務(wù)合作伙伴或任何其他較為信任親近的人，這些都是BEC攻擊成功的重要因素。

2021年2月，俄羅斯網(wǎng)絡(luò)組織Cosmic Lynx進(jìn)行了成熟的布局，以開展BEC攻擊。自2019年7月以來(lái)，該組織已進(jìn)行了200次BEC攻擊，目標(biāo)是全球46個(gè)國(guó)家/地區(qū)，重點(diǎn)關(guān)注具有全球業(yè)務(wù)的大型跨國(guó)公司。攻擊者利用的網(wǎng)絡(luò)釣魚電子郵件具有高度混淆性，讓人難以分辨真假。

新冠疫情后，遠(yuǎn)程辦公進(jìn)一步推動(dòng)了視頻會(huì)議應(yīng)用程序的火熱。在這種情況下，網(wǎng)絡(luò)犯罪分子偽裝成視頻會(huì)議程序Zoom的官方平臺(tái)，并發(fā)送虛假電子郵件以竊取登錄憑據(jù)，并進(jìn)一步竊取企業(yè)的大量數(shù)據(jù)。

顯而易見，近來(lái)BEC的關(guān)注度正在迅速凸顯，并且相關(guān)事件不斷增加，攻擊者也在不斷地創(chuàng)新作案手法和工具。BEC影響全球70%以上的組織，并導(dǎo)致每年數(shù)十億美元的損失。這就是行業(yè)專家提出諸如DMARC之類的郵件認(rèn)證協(xié)議的原因，用以提供更高級(jí)別的模擬保護(hù)。

郵件認(rèn)證方法抵御BEC攻擊

電子郵件認(rèn)證，即部署可提供電子郵件來(lái)源可信度的各種技術(shù)，通過驗(yàn)證郵件傳輸中的郵件傳輸代理的域名所有權(quán)來(lái)檢測(cè)其安全性。

簡(jiǎn)單郵件傳輸協(xié)議(SMTP)是電子郵件傳輸?shù)男袠I(yè)標(biāo)準(zhǔn)，但是卻沒有用于消息身份驗(yàn)證的內(nèi)置功能。這就是為什么黑客機(jī)器容易發(fā)起郵件網(wǎng)絡(luò)釣魚并發(fā)動(dòng)域名欺騙攻擊的原因。

利用缺乏安全性使網(wǎng)絡(luò)罪犯極其容易發(fā)起電子郵件網(wǎng)絡(luò)釣魚和域欺騙攻擊的原因。因此，DMARC(Domain-based Message Authentication, Reporting and Conformance，電子郵件認(rèn)證系統(tǒng))應(yīng)運(yùn)而生。利用DMARC防止BEC的具體步驟如下。

(1) 步驟1：實(shí)施

實(shí)際上，對(duì)抗BEC攻擊的第一步是為用戶的域配置DMARC。

DMARC使用SPF和DKIM認(rèn)證標(biāo)準(zhǔn)來(lái)驗(yàn)證從所屬域發(fā)送的電子郵件。具體指，接收服務(wù)器如何響應(yīng)未通過SPF和DKIM兩項(xiàng)認(rèn)證的電子郵件，并讓域名所有者可以控制接受者的響應(yīng)方式。因此，如何實(shí)施DMARC?

• 識(shí)別為用戶域授權(quán)的所有有效電子郵件來(lái)源;
• 在用戶的DNS中發(fā)布SPF記錄，并進(jìn)行SPF域配置;
• 在用戶的DNS中發(fā)布DKIM記錄，并進(jìn)行DKIM域配置;
• 在用戶的DNS中發(fā)布DMARC記錄，并進(jìn)行DMARC域配置。

(2) 步驟2：執(zhí)行

DMARC規(guī)則策略可以設(shè)置為：

• p = none(DMARC僅處于監(jiān)視狀態(tài);未通過認(rèn)證的郵件仍會(huì)傳遞)
• p =quarantine(DMARC處于執(zhí)行狀態(tài);未通過認(rèn)證的郵件將被隔離)
• p = reject(DMARC處于強(qiáng)制執(zhí)行狀態(tài);未通過認(rèn)證的郵件將完全終止)

當(dāng)DMARC與僅啟用監(jiān)視的策略一起使用，用戶可以隨時(shí)查看電子郵件流和傳遞問題，但是，這無(wú)法為BEC提供任何保護(hù)。因此，DMARC需要向執(zhí)行狀態(tài)進(jìn)行轉(zhuǎn)變，隔離那些利用域所有者的惡意郵件向客戶傳播的電子郵件。

(3) 步驟3：監(jiān)控與報(bào)告

當(dāng)用戶將DMARC策略設(shè)置為強(qiáng)制執(zhí)行，是否就完全可以抵御BEC了呢?非也，后續(xù)的監(jiān)控和報(bào)告流程也十分重要，采取的平臺(tái)具體功能如下：

• 掌控用戶域名;
• 直觀監(jiān)控注冊(cè)的每封電子郵件、用戶和域的身份驗(yàn)證結(jié)果;
• 刪除試圖假冒用戶的濫用IP地址。

DMARC報(bào)告主要包含DMARC匯總報(bào)告和DMARC取證報(bào)告。DMARC實(shí)施，執(zhí)行和報(bào)告的結(jié)合有助于進(jìn)一步防范企業(yè)BEC攻擊，減小中招的機(jī)會(huì)。

DMARC和反垃圾郵件過濾器的區(qū)別

或許有些人會(huì)問這和反垃圾郵件過濾器有何不同?

事實(shí)上，DMARC的工作方式與普通的反垃圾郵件過濾器和電子郵件安全網(wǎng)關(guān)完全不同。雖然這些解決方案通常與云電子郵件交換器服務(wù)集成在一起，但它們只能提供針對(duì)入站網(wǎng)絡(luò)釣魚嘗試的保護(hù)。

所以，從用戶域發(fā)送的郵件仍存在被冒充的風(fēng)險(xiǎn)的角度來(lái)說(shuō)，這才是DMARC派得上用場(chǎng)的地方。

增強(qiáng)電子郵件安全性的其他方式

(1) 始終保持小于10 個(gè)的DNS查找記錄

超過10個(gè)DNS查找記錄則會(huì)讓用戶的SPF完全失效，甚至導(dǎo)致正常的郵件也無(wú)法認(rèn)證成功。在這種情況下，如果將DMARC設(shè)置為“reject”，那么常規(guī)的電子郵件將無(wú)法發(fā)送。

(2) 確保傳輸中的電子郵件的TLS加密

盡管DMARC可以保護(hù)用戶免受社會(huì)工程攻擊和BEC的侵害，但仍然需要做好準(zhǔn)備應(yīng)對(duì)諸如中間人(MITM)之類的普遍存在的監(jiān)視攻擊。可以通過確保每次將電子郵件發(fā)送到用戶的域時(shí)，在SMTP服務(wù)器之間協(xié)調(diào)通過TLS安全連接來(lái)完成。

(3) 使用BIMI提升郵件安全

借助BIMI(郵件識(shí)別的品牌指標(biāo))進(jìn)行劃分，幫助收件人更直觀地在收件箱中識(shí)別對(duì)方身份，讓企業(yè)郵件的安全性提升到一個(gè)新的水平。

參考來(lái)源：Thehackernews