简单的 DMARC 配置或防网络钓鱼 MFA 就可以防止 Dropbox 泄露！ - Office 365 报告

昨天（2022 年 11 月 1 日），Dropbox 承认其 130 个代码存储库暴露给攻击者，并透露这是通过冒充代码集成和交付平台 CircleCI 的网络钓鱼电子邮件发生的。您认为缺乏 DMARC 配置是否是造成此漏洞的潜在原因？是的，让我们看看它如何影响组织。首先，当我看到这个新闻时，我发现

Dropbox 员工、当前和过去的客户、销售线索和供应商的数千个姓名和电子邮件地址被泄露。

10 月 14 日，攻击者通过冒充 CircleCI 的网络钓鱼活动破坏了该帐户。网络钓鱼链接将员工重定向到虚假的 CircleCI 登录页面，并要求他们提供 GitHub 用户名和密码。此外，它还要求用户使用硬件身份验证密钥来传递 OTP。

多么有威胁啊！请记住

并非所有类型的多重身份验证都是一样的，有些类型比其他类型更容易受到网络钓鱼的攻击。

如今，威胁攻击者的范围已不仅仅局限于帐户收集。他们也可以收集 MFA 代码！因此，我想告诉每个组织都应该配置防网络钓鱼的 MFA，以提高安全性。我们需要考虑到 MFA 疲劳攻击也在增加。 Dropbox 透露，使用不太安全的 MFA 是攻击者获得其存储库访问权限的原因之一。因此，他们将在不久的将来重新配置 MFA 设置。

关注 Dropbox 客户...

Dropbox 表示，攻击者从未访问过客户的帐户、密码或支付信息，其核心应用程序和基础设施也没有受到影响。因此，客户无需担心这一点。

那么，CircleCI 怎么样？

IMO，CircleCI 中应该存在某种安全滞后，导致攻击者冒充他们。于是我就这样研究了一下，发现

缺少 Dmarc 配置成为攻击者的一张王牌。

DMARC 是必须具备的配置，特别是对于像 CircleCI 这样的第三方提供商。当我上网时，我发现 CircleCI 已将 DMARC 配置为“无”策略。这就是为什么攻击者能够成功地冒充他们。

现在，他们使用拒绝策略更改了 DMARC 配置。因为域名声誉是每个域名所有者最关心的事情。我们应该采用电子邮件身份验证方法，不仅可以保护域的安全，还可以确保我们的域不被用于此类攻击并维护我们的域声誉。详细了解如何为您的域实施电子邮件身份验证方法。

防网络钓鱼 MFA 方法已经到位！

所有主要的身份提供商都已为防网络钓鱼 MFA 方法提供支持。最近，微软还增加了对通过条件访问策略实施防网络钓鱼 MFA 的支持。如果您使用的是 Microsoft 365，则应避免使用安全性较低的 MFA 方法。您应该采用防网络钓鱼的 MFA。

另外，请注意，在这个网络安全意识月期间，AdminDroid 发布了一系列博客，为 Microsoft 365 提供了必要的安全检查表，以确保您的组织保持安全。在本系列中，我们介绍了 DMARC 配置和防网络钓鱼 MFA 实施。该活动帮助数千个组织采取了必要的安全设置。您可以在我们关于 Microsoft 365 安全强化以减少攻击面的最后一篇博客中探索 Microsoft 365 所有基本安全设置的编译。在所谓的现代但充满威胁的世界中更加安全！