暴露欺骗性网络钓鱼邮件攻击|为什么我们的邮件系统会遭受欺骗和网络钓鱼邮件攻击 |第 5 部分#9 .com

首先声明一个奇怪的现象：欺骗邮件攻击和钓鱼邮件攻击，都是众所周知的攻击方式，被认为是“敌对分子”中流行的攻击方式。大多数现有组织都没有针对上述攻击的有效防御机制，并且很有可能在某个时刻，您的组织将经历欺骗或网络钓鱼攻击的苦涩滋味！

为什么我们的邮件系统会遭受欺骗和网络钓鱼邮件攻击

所以最明显的问题可能是：

1. 这个说法正确吗？
2. 而如果这个说法是正确的话，怎么可能没有人关注这个问题，并按照规定去做一些事情呢？

在这篇文章中，我想就这个奇怪的现象给大家一些“深思”，我们宁愿忽略欺骗邮件攻击和钓鱼邮件攻击的危险，闭上眼睛，继续宣称“我们是尽最大努力保护我们的邮件基础设施！”

导致我们忽视欺骗邮件攻击和网络钓鱼邮件攻击威胁的常见误解

1.这不会发生在我身上。

有时，我们会读到一些关于一家公司受到网络钓鱼邮件攻击的故事，以及一个悲伤的故事，例如 - 关于首席执行官的故事，他被引诱将大量资金转入攻击者的银行账户，但我们不知道真的不相信这会发生在我们身上。

我的回答是，这不是“如果”的问题，而只是“何时”的问题。

大多数情况下，您的组织可能会在某个时候遭遇欺骗电子邮件攻击和网络钓鱼邮件攻击。

2.我脑子里想的太多

每个普通 IT 成员或 IT 经理都会有这样的感觉：“我脑子里想的太多了。”
每天都会“带来”新的挑战和新的危机。

“我知道欺骗邮件攻击和网络钓鱼邮件攻击的主题很重要，但我现在有更关键的问题需要处理。”

这个小秘密很可能是这样的；你永远不会有所需的时间！

如果你没有找到所需的时间，接下来的欺骗邮件攻击和网络钓鱼邮件攻击会让你措手不及，结果可能会变得非常关键！

只有当你能够认识到这种风险的重要性时，你才能“腾出时间”。

3.我的组织受到了很好的保护，免受欺骗邮件和网络钓鱼邮件攻击。

我们所有人都强烈需要相信有人监视我们并在需要时保护我们。

这是人类非常基本的需求。

当涉及欺骗电子邮件攻击和网络钓鱼邮件攻击的风险时，大多数时候，我们宁愿不现实。

相反，我们更愿意坚持这样一种普遍想法：“他们”（我的 IT、我的邮件提供商等）正在做他们知道要做的事情，并且“他们”正在尽一切努力保护我们的组织免受攻击。欺骗电子邮件攻击和网络钓鱼邮件攻击。

现实要复杂得多！

大多数时候，“IT”不包括专门从事“邮件安全”主题的专业权威，或者不知道与现代邮件基础设施相关的独特威胁是什么，具体特征是什么针对欺骗邮件攻击和网络钓鱼邮件攻击，可用的解决方案是什么？等等。

托管邮件基础设施，例如 Office 365 (Exchange Online) |我的邮件基础设施自动受到保护！

在您的邮件基础设施托管在“外部邮件提供商”（例如 Office 365 和 Exchange Online）的情况下，这种不正确的假设最为明显。

大多数邮件提供商（例如 Office 365）都拥有处理和防止欺骗电子邮件攻击和网络钓鱼邮件攻击所需的所有工具和基础设施。

我们没有意识到这些“防御机制”默认情况下不会激活的简单事实。相反，它们只是坐在那里等待我们使用它们！

该防御机制不会自动启动的主要原因是——因为该防御机制可能意外拦截合法电子邮件。

我们大多数人都没有意识到的重要事情是——使用现有防御机制的责任是我们的责任！

例如，当涉及欺骗邮件攻击时，Exchange Online 支持三种邮件标准，即实现发件人验证+支持创建可识别欺骗邮件攻击事件的 Exchange 规则的选项。

了解每个发件人验证邮件标准的具体字符、每个标准所需的配置设置、如何配置适合我们特定组织需求的所需调整是我们的责任！

敌对分子利用欺骗邮件攻击和钓鱼邮件攻击的弱点是什么？

欺骗邮件攻击和网络钓鱼邮件攻击的基础依赖于两个主要弱点：

1. SMTP协议的弱点
2. 人为因素的弱点

欺骗电子邮件攻击和 SMTP 作为无辜协议

当我们听到或经历欺骗电子邮件攻击时，我们脑海中出现的第一个问题可能是：

问题1：为什么邮件服务器不知道如何保护自己免受欺骗电子邮件攻击和网络钓鱼邮件攻击？

A1：简单的答案是，SMTP协议的“创建者”与“邮件安全”问题无关，而是专注于创建邮件协议，该协议将传递电子邮件消息高效、可靠地从 A 点到 B 点。

“邮件安全”的问题被忽视了，因为当时SMTP协议的普及程度还不是那么大，SMTP协议的使用也不是那么普遍。

在涉及两方的标准邮件通信中，SMTP 协议基于以下概念：目标邮件服务器（B 方）“相信”发件人（A 方）的身份
（电子邮件地址）提供。
发送者（A方），不需要证明自己的身份！

网络钓鱼邮件攻击与我们作为人类

关于网络钓鱼邮件攻击，这种攻击的基础是——利用使我们成为“人类”的“事物”的能力。

Q1：为什么钓鱼邮件攻击这么难应对？或者说，为什么有这么多人成为网络钓鱼邮件攻击的受害者？

A1：

标准网络钓鱼邮件攻击基于两个利用人性的“部分”：

网络钓鱼邮件攻击从“信任部分”开始，其中敌对分子使用我们信任的人的电子邮件地址或看起来像从受人尊敬和信任的来源发送的电子邮件的电子邮件地址。

“发件人信任部分”依赖于 SMTP 协议的“清白”，该协议不包含用于验证“另一方”身份的内置机制。

网络钓鱼邮件攻击的第二部分基于电子邮件中出现的“内容”。

正如迈克尔·杰克逊的著名歌曲《人性》一样，执行网络钓鱼邮件攻击的敌对分子知道可以按下和操纵的不同“人类按钮”。

网络钓鱼邮件的内容旨在针对人类的常见性格，如怜悯、恐惧、贪婪、好奇等。

攻击者解决了这种“人为失误”之一，操纵受害者“做某事”，例如打开特定文件（恶意软件）或单击网络钓鱼邮件中的特定链接，将受害者引导至网络钓鱼网站。

欺骗邮件攻击和钓鱼邮件攻击问题意识的觉醒额外的障碍

假设您认为欺骗邮件攻击和网络钓鱼邮件攻击对您的组织构成巨大风险，并且您愿意付出努力并认真对待这一威胁。

在本节中，我想回顾一下可能出现的其他障碍。
为了能够开始处理欺骗邮件攻击和网络钓鱼邮件攻击威胁，您将需要克服这些障碍。

1.公平地避免做一些会损害组织邮件流的事情。

让我们谈谈最突出的障碍：担心将实施的解决方案会破坏常规邮件流的情况。

误报场景，其中发送给我们用户的合法电子邮件被错误地识别为欺骗电子邮件或网络钓鱼邮件，因此将被特定的欺骗电子邮件保护机制“阻止”或删除我们使用的。

在实施处理欺骗电子邮件的安全机制时，我们面临两个有问题的情况：

收到邮件

在标准邮件流中，只要目标收件人存在，我们就欢迎发送给我们用户的每一封电子邮件。换句话说，我们不关心发起电子邮件消息的元素（发件人），而是代表我们组织的邮件服务器只负责验证有关目标收件人（他托管电子邮件）的信息。目标收件人的邮箱）。

当我们实施一种防御机制来保护我们免受欺骗邮件攻击时，我们可以将其与在我们的基地（我们的邮件基础设施）入口处放置“守卫”的场景进行比较。

对比。当我们强制使用发件人验证时，欢迎每位客人进入我们的周边，我们实施了一个流程，尝试验证每个想要“进入我们的基地”的实体的身份。

当我们使用这个额外的安全层时，我们很有可能会遇到误报的情况。

在这种情况下，我们的一些“合法客人”将不被允许进入我们的基地，并将被拒绝，因为他们没有所需的身份证明或与他们的身份证据相关的任何技术问题（他们的电子邮件将被拒绝）。

外发邮件

实施发件人验证机制的另一个方面是能够对我们的合法用户发送的合法电子邮件进行“标记”，因此，“另一方”将能够验证我们的身份，并且能够区分我们的合法发件人与欺骗我们组织身份的敌对分子发送的电子邮件。

当涉及外发邮件流（即由我们的用户发送到外部目标收件人的电子邮件）的场景时，也可能会出现“误报”问题。

在复杂的邮件基础设施中，能够以“正确”的方式完全“标记”从我们的邮件基础设施发送的所有电子邮件是一项相当具有挑战性的任务！

如果我们未能正确地“标记”每封使用我们组织身份的电子邮件（发件人使用我们的域名的电子邮件），这可能会导致一种情况，即合法的 E - 从我们的用户发送的邮件消息将被“其他”邮件基础设施拒绝。

2.担心损害商业活动

任何解决方案安全机制的每次实施都可能会对业务活动造成一些干扰，至少在采用和同化的第一阶段是这样。

对这种预期破坏的恐惧导致我们采取这样的态度：不要破坏现状！

或者说，如果没有人抱怨的话，到现在为止，我想一切都还好！

如果到目前为止一切都很好，那么将来一切都会好起来的错误感觉最终会在我们面前爆发。

换句话说——如果你无法忍受高温，就离开厨房。

3.资源问题
为了能够清楚地了解“敌人”，我们需要提出（并回答）许多问题，例如：

• 敌人如何思考和运作？
• 您的邮件基础设施存在哪些漏洞？
• 针对现有邮件基础设施漏洞有哪些可能的解决方案？
• SPF、DKIM、DMARC 等不同解决方案有何区别？

您需要有耐心并愿意投入所需的时间来阅读和内化信息。

4.虚荣综合症

您是资深 IT 专业人员这一事实并不意味着您是安全专业人员，也不意味着您熟悉威胁邮件环境的当前风险以及该风险的可能解决方案。

5.对未知的恐惧综合症

与任何“未知领域”一样，邮件安全标准领域对于我们大多数人来说也是一个“未知领域”。

在实施针对欺骗电子邮件攻击和网络钓鱼邮件攻击问题的特定解决方案的过程中，您无疑会遇到许多疑问和问题。
没关系；这是该过程的一部分。

6.需要简单综合症

大多数时候，我们都在寻找简单的解决方案，并尽量避免需要理解和实现复杂的解决方案。

简单的答案是 - 对于处理欺骗电子邮件攻击和网络钓鱼邮件攻击的任务，没有简单的解决方案。

7.军事方法综合症

这是许多管理者的显着特征之一。

这种方法的潜台词是——我不在乎如何，只要让它发挥作用！
好吧，我们可以让它发挥作用，但是，前提是“管理层”对流程有义务，并且愿意分配需求实施可能的解决方案的资源。

为什么对于欺骗电子邮件攻击和网络钓鱼邮件攻击问题没有简单的解决方案？

简单的答案是网络钓鱼邮件攻击并不简单！

网络钓鱼邮件攻击是一种复杂的攻击，它结合了多种攻击，我们必须分别处理每种攻击。

而且，应对网络钓鱼邮件攻击的基础设施——欺骗邮件攻击也不是那么简单！

欺骗邮件攻击与网络钓鱼邮件攻击之间的常见混淆

关于“处理欺骗电子邮件攻击和网络钓鱼邮件攻击的场景”这一任务，我想提到的一个重要观察是，我们应该区分欺骗邮件攻击和网络钓鱼邮件攻击。

每种类型的攻击都有不同的特点，因此需要不同的解决方案。

大多数网络钓鱼邮件攻击在攻击的初始阶段都会使用欺骗邮件攻击。

因此，有理由假设，如果我们识别并阻止
欺骗电子邮件；该衍生产品将阻止网络钓鱼邮件攻击。

然而，重要的是，我们不能基于这个假设来建设我们的国防基础设施，原因如下：

• 并非所有网络钓鱼邮件攻击都使用欺骗发件人身份的选项。
  有一个合理的选择，其中网络钓鱼邮件攻击将仅使用来自知名邮件提供商（例如 Gmail、Hotmail）的标准电子邮件地址或雅虎。
• 可以非常合理地假设，即使我们使用某种保护机制来识别欺骗邮件攻击，我们也无法 100% 识别并阻止欺骗邮件攻击。

注意：网络钓鱼攻击的另一个方面是，并非所有网络钓鱼攻击都是“网络钓鱼邮件攻击”。确实，大多数网络钓鱼攻击都是通过“邮件通道”执行的。同时，重要的是我们要知道，某些网络钓鱼攻击可以通过使用电话或电话短信、发送给即时消息用户的消息、通过发送给社交网络用户的消息以及很快。

当我们想要对抗欺骗电子邮件攻击时，我们需要面对哪些挑战？

关于我们保护邮件基础设施免受欺骗邮件攻击的能力，有几个众所周知的邮件标准；通过完成 SMTP 协议创建的“缺失部分”含义，验证发件人身份的能力。

在当前的文章系列中，我们将详细回顾不同的发件人验证邮件标准，例如 SPF、DKIM 和 DMARC，以及其他可选解决方案，例如我们可以在基于 Exchange 的环境中实施的解决方案。

如果您认为您可以坐下来，放松并喝一杯清爽的鸡尾酒，因为您找到了所有欺骗电子邮件问题的完美解决方案，那么您就错了！

确实，有一些标准和解决方案是为处理欺骗电子邮件现象而创建的，但是，该解决方案远非提供完美的解决方案。

1.发送者识别机制的实现并不是那么简单。

每个不同的标准都有优点、缺点和“盲点”。点”。

这个标准的实施并不是那么简单，需要前期的评估、规划和不断的陪伴。

例如，目前，我们可以提到三个邮件标准，这些标准是为了处理验证发件人身份的需要而创建的。

该标准的每一项都使用不同的方法来验证发送者身份，并且该标准的每一项都需要实施不同的准备和配置设置。

在包括许多邮件服务器、许多站点等的复杂邮件环境中，该标准（发件人验证标准）的实施变得相当复杂和具有挑战性。

诸如 SPF 之类的标准被认为是一种易于适应的标准，但具有内置的“盲点”，可以被敌对分子利用，从而绕过现有的“SPF 墙”。

DKIM 标准可以提供出色的保护，但由于该解决方案基于公钥基础设施（证书、数字签名等），因此在包含许多不同的实体发送邮件的复合邮件环境中实现该标准并不容易。代表组织。

2.并非所有组织都使用发件人识别机制。

另一个重要问题是我们不应该忘记——“欺骗电子邮件”问题的完整解决方案的实施取决于一个“逻辑电路”，该电路将包括两个方面：发送邮件基础设施和接收邮件基础设施。目的地）邮件基础设施。

如果“我方”正在实施应对欺骗电子邮件现象的所有必要解决方案，但“对方”没有实施任何欺骗电子邮件防护解决方案，结果就是每个敌对分子都可以使用我们的身份并利用我们的组织身份攻击“另一方”。

当我们想要对抗网络钓鱼电子邮件攻击时，需要面对哪些挑战？

关于网络钓鱼邮件攻击问题的现有解决方案，与欺骗电子邮件解决方案的状况相比，情况要差得多。

网络钓鱼邮件攻击被视为复杂的攻击。识别和阻止网络钓鱼邮件攻击的能力比处理欺骗邮件攻击要复杂得多。

“令人兴奋的消息”是，目前没有正式的标准或众所周知的保护机制，可以直接应对和阻止所有类型的网络钓鱼邮件攻击。

如果您使用诸如“网络钓鱼电子邮件攻击的解决方案”之类的问题执行简单搜索，出现的大多数结果都会涉及提示和技巧、指南和最佳实践，指导用户如何避免或识别网络钓鱼邮件的情况。

“缺失的部分”是答案和解决方案与“端点”含义、用户相关，而不是与“服务器端”含义我们的邮件基础设施相关。

该信息与可以在“服务器端”实现的特定技术或标准无关。 ”

有些链接将引导您到一家提供服务的公司，该公司提供用于测试您的邮件基础设施（通过模拟网络钓鱼邮件攻击）以及用户对网络钓鱼邮件攻击的反应的服务。
但是，痛苦的事实是 - 存在没有“有形”标准，承诺保护您的邮件基础设施免受所有网络钓鱼邮件攻击。

我对以下问题的回答：“为什么没有正式的解决方案来应对网络钓鱼邮件攻击的威胁？ ”，即网络钓鱼邮件攻击由“不同部分”组成。
我们不能将网络钓鱼邮件攻击视为“一个问题”，而是将其视为“问题的集合”。

例如-

• 网络钓鱼邮件攻击的组成部分之一是欺骗邮件攻击。
  为了能够成功处理网络钓鱼邮件攻击，我们需要为欺骗邮件攻击问题找到一个好的解决方案，例如 - 实施发件人验证标准 - SPF、DKIM、DMARC 等。
• 网络钓鱼邮件攻击的组成部分之一是用恶意软件感染用户桌面（大多数情况下，是注入合法文件的“智能恶意软件”）。
  为了能够成功处理网络钓鱼邮件攻击，我们将需要找到一个好的解决方案来解决恶意软件的问题，例如——“发送盒”解决方案。
• 网络钓鱼邮件攻击的组成部分之一是社会工程。
  为了能够成功处理网络钓鱼邮件攻击，我们需要找到解决社会工程问题的良好解决方案，例如 - 指导和指导我们的用户浅谈网络钓鱼邮件攻击的特点。

问题1：对于网络钓鱼邮件攻击的威胁没有正式的解决方案，我是否应该感到绝望？

A1：不！尽管没有“神奇按钮”可以用来应对网络钓鱼邮件攻击，但我们可以使用多种解决方案，这些“解决方案”的组合可以为大多数邮件提供良好且有效的保护。网络钓鱼邮件攻击场景。

在文章中 - 使用发件人验证来识别欺骗邮件 | SPF、DKIM、DMARC、Exchange 和 Exchange Online |第 8#9 部分，我们将查看可以使用的解决方案列表。

当前文章系列的下一篇文章

应对欺骗和网络钓鱼邮件攻击的威胁 |第 6 部分#9