根据网络杀伤链(Kill Chain)分析,勒索者进行勒索,首先要侦查,获取情报,利用漏洞,获取权限。而采取人为因素的弱点(human error),利用钓鱼邮件,是最容易和成本最低,最高效(最搞笑)的手段,也是黑客最常使用的方式之一。甚至比利用漏洞来的更直接。
业界对勒索软件有很多关注。几乎每隔几天,它就会成为头条新闻。全球各地的企业都屏住呼吸,担心自己可能会成为下一次重大勒索软件攻击的受害者,提前采取行动比亡羊补牢损失会更小,否则没有“补牢”的意义了。电子邮件钓鱼,采取 DMARC 实施会带来多种好处,包括提高电子邮件的可传递性以及更高的域声誉。DMARC 也被称为抵御勒索软件的第一道防线。
一 ,什么是DMRAC
1.什么是DMARC记录?
DMARC(Domain-based Message Authentication, Reporting & Conformance)是txt记录中的一种,是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,其核心思想是邮件的发送方通过特定方式(DNS)公开表明自己会用到的发件服务器(SPF)、并对发出的邮件内容进行签名(DKIM),而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理,如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件,保障用户个人信息安全。
2.如何设置DMARC记录
设置DMARC记录,防止他人伪造贵司域名,还可以获取到他人尝试伪造贵司域名的情况。
当Mail Receiver方(其MTA需支持DMARC协议)收到该域发送过来的邮件时,则进行DMARC校验,若校验失败会发送一封report到DMARC设置的邮箱。
第一步:
在设置DMARC记录之前,贵司必须保证已经设置如下SPF记录:
“v=spf1 include:spf.domain.com -all”
第二步:
当设置了SPF记录后,推荐贵司设置如下DMARC记录:
_dmarc.yourdomain.com TXT “v=DMARC1; p=quarantine;rua=mailto:[email protected];ruf=mailto:[email protected]”
注意:Dmarc记录里,有两个值可由您来自定义:
p:用于告知收件方,当检测到某邮件存在伪造发件人的情况,收件方要做出什么处理,reject为拒绝该邮件;none为不作任何处理;quarantine为将邮件标记为垃圾邮件。
ruf:用于当检测到伪造邮件,收件方须将检测结果发送到哪个邮箱地址。
建议:p值最优设置方式是第一次设置选择none,观察发信情况一个月,再改为quarantine,再观察一个月,最后再设为reject。
3. 有那些好处:
降低您的域被攻击者欺骗的机会
防止将虚假电子邮件发送给您的收件人并提高与合作伙伴的信任度
大幅降低勒索软件攻击您客户的成功率
提高电子邮件送达率和域声誉
为您提供针对您的品牌发起的任何攻击的早期指标
二 与勒索软件相关的风险有哪些?
勒索软件是一种恶意软件,它会在未经您许可的情况下自行安装在您的计算机上。然后它会加密您的数据,您只能通过付费才能取回。
一旦勒索软件程序获得了对您系统的访问权限,它就会造成巨大的破坏,并且解决赎金要求的成本很高。对于依赖访问存储在其计算机上的关键数据的企业来说,这是灾难性的。
三 组织中缺乏 DMARC 保护可能会导致以下情况:
当电子邮件身份验证协议没有到位时,网络犯罪分子可以轻松冒充您并向您的客户、合作伙伴甚至内部员工发送虚假电子邮件。
欺诈性电子邮件可能包含包含勒索软件的附件或文件。
如果您的任何员工打开该消息,您的整个组织将面临被拒绝访问的敏感信息存在于您的组织系统中的风险,您的数据将被扣为人质以获取巨额资金。
此外,如果网络钓鱼电子邮件包含勒索软件,并且发送给您的客户和合作伙伴并由他们打开,他们认为它来自您,这将损害您公司的声誉。
使用虚假电子邮件实施勒索软件攻击的威胁源于在您的域中使用欺骗策略,无论哪种方式都可能导致您的业务破产、您的客户失去信任以及数据和金融资产的丢失。
支付赎金并不能保证您将重新获得对数据的访问权限,因为攻击者通常不会在信息加密后解密,即使在收到付款后也是如此。
在您的组织中实施 DMARC 时,您确保电子邮件接收者只接收从合法来源发送并由您授权的电子邮件。DMARC 允许您指示您的电子邮件接收服务器阻止看似可疑或来自未经批准来源的邮件。通过这种方式,恶意软件通过虚假电子邮件传播的风险大大降低。
立即行动,加固电子邮件系统,防伪造,防钓鱼,定期对全员进行安全意识教育和考核。
来源:freebuf.com 2021-06-29 10:53:58 by: eisoo021
请登录后发表评论
注册