全球资讯

世界上最好的电子邮件欺骗防御,HMRC被欺骗

即使有最先进的电子邮件保护措施和一个整个政府机构来支持他们,恶作剧也能够欺骗陛下的收入和海关(HMRC)电子邮件,将一个基于Java的远程管理工具传播给不知情的英国收件人。

2017年9月,  Trustwave发现一个  假冒来自HMRC 的诈骗运动。不好的演员注册了  表兄弟域名  “ hmirc-gov.co.uk ”,并发送电子邮件给无知的英国公民,其主题为“增值税回报查询”。消息体向用户发出警告,说明他们的在线增值税退税有误。在附件里。额外的棘手部分是消息中没有附件。什么似乎是一个附件实际上是一个嵌入的HTML图像与一个Microsoft OneDrive位置的链接。点击“附件”的用户将从OneDrive下载一个名为“VAT RETURN QUERY.ZIP”的文件,该文件又包含一个名为“VAT Return Query.pdf.jar”的文件。此Jar文件包含Java RAT恶意软件 jRAT  是广泛使用的坏角色的流行远程管理工具。但HMRC声称拥有最先进的电子邮件欺骗保护。这怎么发生的?
最好的电子邮件防御是防止恶意电子邮件永远达到预期收件人的。大数据算法成功地限制了将传统攻击​​发送给数百万人的电子邮件。这种类型的垃圾邮件在整体查看时是非常明显的,现在很难在收件箱中找到它。但是,有很多钓鱼者花费了大量时间找到围绕这些大数据驱动防御的方法。将电子邮件发送给较小的人群是一种可行的方式,因为它开始看起来像可信发件人和收件人之间的合法邮件流量。如果自动化工具来自可疑域(例如@ J8eZY5FzPJ.net),那么这些自动化工具可能会捕获电子邮件,所以坏的演员想要冒充一个合法域名。他们能够使电子邮件看起来,但他们想要,它很简单,它似乎来自一个合法的域,如你的银行,或税务局。如果你不能信任你的电子邮件怎么办?
人力资源管理系统经过多年的准备和实验,于2016年着手实施基于域的消息认证,报告和一致性 (DMARC)。在第一年,他们将欺骗性电子邮件的数量减少了3亿!在这一点上,犯罪分子几乎不可能从官方的人力资源管理部门发送电子邮件。而在2017年,不良行为者在HRMC上以增值税退税问题的幌子分发了jRAT恶意软件。他们是如何实现的?DMARC非常有效地验证来自合法领域的电子邮件,但是它不能防御看似与合法领域相似的表弟领域来愚弄人们。要理解这一限制,必须首先了解DMARC的工作原理。要了解DMARC,必须了解SPF和DKIM。
发件人策略框架(SPF)和DomainKeys识别邮件(DKIM),为电子邮件收件人提供了一种区分合法和欺骗性电子邮件的方法。SPF记录由域的授权所有者定义,并标识有权代表该域发送电子邮件的电子邮件服务器。钓鱼者不应该访问这些授权的电子邮件服务器,所以如果收件人的电子邮件系统检查SPF记录,并将其与消息中注明的IP地址进行比较,则可以识别欺骗的邮件。不幸的是,在某些情况下,SPF也可能会阻止合法的电子邮件消息。例如,如果转发电子邮件,则电子邮件服务器的IP地址会发生更改,并且SPF记录检查将失败,尽管它不是恶意邮件。同样,如果授权的发件人尚未实施SPF保护,收件人没有SPF记录来验证。因此,很少的收件人将自动阻止SPF验证失败的所有邮件。所以这是一个不完整的解决方案
除了SPF,授权发件人可以利用DomainKeys Identified Mail(DKIM)将其电子邮件标示为合法的。使用DKIM,发件人对消息进行数字签名,允许收件人验证该消息是否来自授权发件人 - 与正在验证特定授权电子邮件服务器的SPF略有不同。与SPF一样,DKIM实现不完整,因此收件人不能仅依靠DKIM证书来区分合法和不需要的电子邮件。他们成为自动化工具的一个信息,作为决策而不是一个全面的工具。
由于SPF和DKIM的实施不一致,授权的发件人和收件人完全依赖这些工具很慢。授权发件人不知道配置如何保护品牌免受欺骗,收件人也不知道他们的过滤工具会丢弃多少合法的电子邮件。基于域的消息认证,报告和一致性(DMARC)旨在解决这些缺点。启用DMARC后,授权的发件人能够向收件人提供在收到消息时如何处理邮件的方向。例如,如果发件人已实施SPF,则DMARC记录可以指示收件人的电子邮件过滤器删除任何未通过SPF验证的邮件。此外,
从HMRC的例子中,我们看到,DMARC对于保护合法的 电子邮件域是非常有效的  ,但是它仍然没有解决可能欺骗不知情的接收者的表兄弟域名的威胁。
“人们永远不会离开HMRC,因为我们有5000万客户。但是,我们可以使这些罪犯的工作尽可能困难,并迫使他们为此目的使用更多的虚假域名,让我们的客户有更好的机会发现网络钓鱼。可悲的是,你永远不会结束网络钓鱼,因为它对于罪犯来说太赚钱了。”,我们只需要刁难,影响他们的投资回报率  埃德·塔克,在税务及海关总署的网络安全负责人  及  年奖的2016年英国安全专家的收件人
即使有最新的DMARC保护措施来验证HMRC合法领域的电子邮件,犯罪分子也能够将人们的电子邮件从类似于合法的域名的电子邮件欺骗给人类。预先授权所有电子邮件发件人是不切实际的,因为电子邮件是新公司最常用的介绍方式,因此我们需要收到一封初步电子邮件,以确定我们希望信任收件人。我们期望我们的自动化工具允许可信赖的电子邮件通过并阻止不必要的电子邮件 - 但是我们并不总是知道自己的差异,直到我们收到消息。与工具一样好,他们永远不会是100%,所以我们将永远不得不依靠人类的接力者进行最后一道防线。
(0)

本文由 安全周 作者:追梦 发表,转载请注明来源!

热评文章

发表评论