一种简单的技术,可显著改善电子邮件保护。
我们最近通过在电子邮件安全产品中添加一项微小但重要的检查,提高了检测鱼叉式网络钓鱼和商业电子邮件泄露 (BEC) 攻击的准确性。现在,如果我们的邮件保护引擎出于任何原因将电子邮件标记为可疑,我们会将“发件人”标题中的域与“回复”标题中的域进行匹配。而且它的效果令人惊讶;这个简单的检查成功地清除了大部分相当复杂的攻击。其工作原理如下。
如何检测复杂的电子邮件攻击?
传统上,执行有针对性的电子邮件攻击的鱼叉式网络钓鱼者会不遗余力地使他们的电子邮件被视为合法。这些人不是那种通过电子邮件发送包含特洛伊木马的附件的坏人;相反,他们倾向于将网络钓鱼链接隐藏在多层诡计之下。这就是为什么能够检测目标电子邮件的安全解决方案很少根据单一标准做出判断,而是根据可疑迹象的组合做出判断。匹配“发件人”和“回复”字段是这些条件之一。
匹配标题有何帮助?
大多数攻击者,即使破坏了商业通信,也不会费心去攻击合法域名。取而代之的是,他们利用了邮件服务器管理员通常有限的“专业知识”。事实上,在大量的域上,邮件身份验证方法——如发件人策略框架 (SPF),尤其是基于域的消息认证、报告和一致性 (DMARC)——并不能非常有效地工作(如果有的话)。在最好的情况下,这些机制在技术上是启用的,但配置为避免误报,以至于它们实际上变得毫无用处。
这种松懈性使威胁行为者(有时包括那些全面的 APT 攻击背后的人)可以简单地获取目标组织的域,并将其放入 From,甚至 SMTP From 标头中。但是,由于他们不仅想发送电子邮件,还想直接回复电子邮件,因此他们必须在“回复”字段中放置自己的地址。这往往是一次性电子邮件地址或托管在免费电子邮件服务上的地址。这就是让他们失去的原因。
可疑信件中的“发件人”和“回复”标题
为什么不一直匹配标题?
从
和 回复 到并不总是必须匹配。在许多情况下,电子邮件可能从一个邮件服务器发送,但需要回复另一个邮件服务器。最简单的例子是时事通讯和营销电子邮件:一个专门的邮件服务提供商发送它们,但其客户是对回复感兴趣的人。因此,如果始终启用“发件人”和“回复至”检查,则会生成误报。
技术部署在哪里?
该检查已集成到我们所有的企业电子邮件安全产品中:卡巴斯基网络安全解决方案 - Microsoft Exchange Server、卡巴斯基网络安全解决方案 for Office 365、卡巴斯基网络安全解决方案 - Linux 邮件服务器和卡巴斯基安全邮件网关。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...