Организации, принявшие стандарт Domain-based Message Authentication, Reporting, and Conformance (DMARC), обеспечивают проверку и аутентификацию электронной почты, отправленной от имени их домена. Серверы и средства безопасности, получающие электронную почту, могут выполнять проверку DMARC и быстро обнаруживать поддельные электронные письма, пытающиеся выдать себя за организацию. Устранение таких поддельных писем может значительно сократить количество фишинговых писем и атак вымогательского ПО.
Ransomware и фишинг
В 2022 году на долю атак с использованием программ-вымогателей ПО пришлось около 1 к 5 киберпреступлений, хотя количество атак с использованием выкупного ПО снизилось на 23% по сравнению с 2021 годом. Однако влияние ransomware продолжает расти по мере увеличения выкупа и усиления угрозы со стороны злоумышленников за счет эксфильтрации данных, вымогательства и распределенных атак типа «отказ в обслуживании» (DDoS).
Стоимость атак ransomware может быть огромной, включая время простоя, потерю данных, ущерб деловой репутации, расходы на восстановление, судебную экспертизу и значительный психологический ущерб. В большинстве случаев атаки Ransomware зависят от фишинга, однако фишинг обеспечивает и другие виды атак. Фишинг, в свою очередь, часто зависит от подделки электронной почты, чтобы обмануть пользователей и заставить их поддаться фишинговой атаке.
Ransomware зависит от фишинга
Атака ransomware может возникнуть из одного письма, и фишинг является наиболее распространенной точкой входа для ransomware. Однако в большинстве случаев нажатие на плохую фишинговую ссылку не приводит к запуску ransomware. Атаки, которые запускаются немедленно, обычно могут зашифровать только компьютер жертвы фишинга, что ограничивает возможности получения выкупа.
Для достижения более широких целей 63% фишинговых атак направлены на компрометацию учетных данных. Похитив учетные данные, банда ransomware может проникнуть в сеть, расширить доступ и атаковать организацию в целом.
Другие атаки с использованием фишинга
Хотя программы-вымогатели попадают в заголовки газет из-за их крайне разрушительного и очевидного воздействия, фишинговые атаки могут нести в себе ряд других крайне опасных атак, таких как компрометация деловой электронной почты (BEC), сбор учетных данных, кейлоггеры, трояны удаленного доступа (RAT), вредоносные программы для криптоджекинга и другие шпионские программы. RAT, как правило, являются наиболее популярными вредоносными программами, поскольку они обеспечивают гибкость будущих вариантов атак, а хакеры могут также перепродавать свой доступ поставщикам ransomware-as-a-service, группам по добыче криптовалюты, бот-фермам и т.д.
Фишинг зависит от спуфинга
Спамеры рассылают по оценкам, 3,4 миллиарда электронных писем каждый день, а Google ежедневно блокирует около 100 миллионов фишинговых писем. Злоумышленники используют фишинг для совершения 47% атак на организации Северной и Южной Америки, 43% атак на азиатские организации и 42% атак на европейские организации. Компания Microsoft даже подсчитала, что 94% кибератак начинаются с вредоносного электронного письма.
Однако никто не нажимает на неубедительное письмо. Большинство людей будут обмануты письмами, которые кажутся естественными и отправленными знакомым. LinkedIn, Microsoft, Adobe и Google являются ведущими брендами, используемыми в широких фишинговых атаках, но более мелкие бренды также используются в более целенаправленных атаках.
Подделать электронное письмо не так уж сложно. Злоумышленники подделывают адрес «From», чтобы направить жертве мошенническое, «поддельное» письмо, которое кажется, что оно от законного отправителя.
Например, администратор юридической фирмы нажимает на фишинговую ссылку, и злоумышленники проверяют фирму. Злоумышленники могут посчитать, что фирма слишком мала, чтобы стоить атаки с целью получения выкупа, но при этом они понимают, что фирма выполняет локальную работу для десятков крупных корпораций.
Злоумышленники могут подменить их почтовый домен и отправить фишинговые письма на украденные контактные имена крупных корпораций с PDF-файлами «просроченный счет», зараженными вредоносным ПО. Имея рабочие отношения с этой компанией корпоративные клиенты с большей вероятностью нажмут на фишинговые письма и позволят осуществить будущие атаки вымогателей.
Как DMARC работает, чтобы остановить Ransomware
К счастью, DMARC предоставляет способ остановить электронную почту, использующую поддельные адреса «From», и уменьшить атаки поддельных писем. DMARC обеспечивает аутентификацию электронной почты не только для проверки официальных писем, но и для уничтожения самозваных писем, улучшая другие стандарты аутентификации электронной почты.
h3 Как работает аутентификация электронной почты
DMARC публикуется с помощью службы доменных имен (DNS) организации и зависит от предварительного установления двух других стандартов аутентификации электронной почты. Стандарт Sender Policy Framework (SPF) содержит список всех доменов, уполномоченных отправлять электронную почту от имени организации. Стандарт DomainKeys Identified Mail (DKIM) позволяет организации подписывать электронную почту из своего домена цифровой подписью, используя криптографию с открытым ключом, чтобы убедиться, что письмо доставлено без изменений.
DMARC основывается на SPF и DKIM для:
- Проверки соответствия, или согласованности, между полем «от» в теле письма и доменами SPF и DKIM
- Указания почтовому серверу, как обрабатывать (игнорировать, помещать в карантин или отбрасывать) письма, которые не прошли проверку SPF, DKIM или DMARC
Пример выравнивания DMARC
Продолжая приведенный выше пример, хакеры могут подделать поддельное электронное письмо, указав в поле «От» текста, который видит читатель, отдел кредиторской задолженности GenericContracts.com. Однако само письмо будет отправлено с их собственного домена SpammyPhishing.com, который отображается только в заголовке письма (обычно скрытом от читателя).
Однако, если GenericContracts.com развернул эффективную политику DMARC, почтовый сервер их клиентов выполнит проверку DMARC. В результате проверки DMARC письмо будет отклонено, поскольку оно отправлено с неавторизованного домена и имеет несоответствие (или несовпадение) заголовка и полей «От» электронной почты. Получающий почтовый сервер будет уведомлен о том, что поддельные письма являются мошенническими, и, скорее всего, отправит выдающие себя за таковые письма в папку SPAM или даже отбросит их.
Кроме того, GenericContracts.com получает отчет с серверов электронной почты своих клиентов, в котором подробно описывается кампания фишинговых писем от SpammyPhishing.com. Затем GenericContracts может проактивно предупредить клиентов о фишинговой атаке, найти утечку данных и сообщить о SpammyPhishing.com как о вредоносном URL.
Как использовать DMARC
Специалисты по безопасности рекомендуют использовать DMARC для защиты от атак вымогателей в качестве основного инструмента безопасности электронной почты. Хотя DMARC в первую очередь защищает другие организации от получения писем, пытающихся выдать себя за организацию, DMARC значительно усложняет задачу подделки писем для хакеров и помогает сохранить имидж бренда организации.
Конечно, это не конечная защита, поскольку существует множество других методов, которые могут использовать хакеры. Кроме того, организациям необходимо внедрить DMARC на своих серверах получения электронной почты для выполнения проверки DMARC. Однако каждая развернутая защита добавляет дополнительный уровень обороны, а развертывание DMARC также дает организации другие преимущества, например, улучшает доставку маркетинговых писем.
Итог
DMARC может быть сложным для правильной настройки; однако он обеспечивает мощную защиту электронной почты от подделки, фишинга и связанных с ними атак, таких как ransomware. Организациям необходимо внедрить DMARC, чтобы защитить себя и других от атак подделки и помочь уменьшить угрозу спама, на который в 2022 году пришлось 48% всех отправленных электронных писем
Комментарии (0)