В этом материале мы рассмотрим распространенные варианты кибератак с использованием электронной почты – Spoofing и Phishing - и возможные методы защиты от них. В первую очередь договоримся о терминах.
Spoofing (подмена) — это злонамеренное использование технической возможности в протоколе SMTP по подмене адреса в поле «From (От кого)». Тогда получатель думает, что письмо от одного адресата, а на самом деле было отправлено от другого.
Phishing (подделка) – это процесс создания и рассылки поддельного письма, созданного со злым умыслом, в котором поля: Тема, От кого, Тело письма, вводят в заблуждение получателя и выглядят как вызывающее доверие.
Цель атак Spoofing и Phishing - разослать жертвам фейковые электронные письма с целью причинения вреда со знакомых им электронных адресов, но на самом деле поддельных. В качестве отправителя указывается коллега по работе, друг, сотрудник банка, служба поддержки любой известной организации и т.д. Текст письма, как правило, составлен в соответствии с требованиями социальной инженерии и призван побудить получателя письма выполнить действия, нужные отправителю: открыть вложение, перейти по ссылке на поддельный сайт и оставить там свои учетные данные. В итоге компьютер может быть заражен, а учетная запись скомпрометирована.
Атаки Spoofing и Phishing могут быть нацелены на отдельных лиц, на целые организации, на огромное число организаций. Поскольку получатель сообщения полностью ему доверяет, то такие атаки ведут к имиджевым и финансовым потерям, могут вызвать непоправимые последствия для бизнеса и для отдельных лиц.
Наиболее распространенные варианты атак:
Подделывается письмо от имени незащищенного домена и рассылается внешним адресатам, которые считают, что письмо пришло от знакомого им надежного домена. На самом деле в нем может быть вредоносный код, вредоносные фишинговые ссылки, какая-то ложная информация (например, о банкротстве отправителя). Все упирается в фантазии и цели злоумышленника.
Подделывается письмо от любого сотрудника организации, даже от директора и рассылается в пределах организации, получатели доверяют источнику и могут выполнить неправильные действия.
Если почтовый домен не защищен, то у него будет занижен рейтинг. Вследствие этого, легитимные письма c реально существующего адреса могут попадать в СПАМ. Это ведет к потере времени на поиск письма, проблемам в бизнесе из-за пропажи информации, дополнительной нагрузке на ИТ и другим негативным последствиям.
Для защиты от таких атак можно сделать следующее:
Настроить базовые инструменты защиты - SPF/DKIM/DMARC технологии. Это базовые инструменты, которые доступны в абсолютном большинстве почтовых решений и систем защиты от СПАМа;
Внедрить решения, которые умеют бороться с фишинговыми ссылками и вирусами нулевого дня;
Внедрять решения, которые позволяют регулярно обучать сотрудников в автоматическом режиме, путем симуляции атак или в ручном режиме обучать пользователей на постоянной основе;
Так как нет идеального 100-% решения от всех вирусов и атак на свете, то стоит рассмотреть внедрение методик и инструментов для проведения расследований, которые помогут купировать проблему, в случае если пользователь кликнул-таки по вредоносным ссылкам. Такой случай наступит, к нему надо быть готовым заранее.
Что может предложить наша организация:
Провести цикл консультаций по основным аспектам защиты корпоративных почтовых систем.
Продемонстрировать, как легко подделывается незащищенный домен, на примере вашего или других доменов.
Настроить или помочь настроить базовые компоненты SPF/DKIM/DMARC.
Рассказать про различные инструменты защиты почты от основных поставщиков таких решений (от базовых, доступных из коробки, до самых продвинутых) и помочь в их настройке.