BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
security

Business Email Compromise (BEC): lista kontrolna uwierzytelniania poczty, która naprawdę ogranicza ryzyko

Business email compromise to nie jeden atak, lecz trzy: podszywanie się pod dokładny adres domeny, podszywanie się przez domenę bliźniaczą oraz faktycznie przejęte konto. DMARC ustawiony na reject powstrzymuje tylko pierwszy z nich. Ta lista kontrolna przypisuje każdemu zabezpieczeniu atak, który ono rzeczywiście blokuje, a następnie porządkuje je tak, abyś najpierw usunął luki o największym znaczeniu - zaczynając od bezpłatnego sprawdzenia uwierzytelniania własnej domeny.

Zaktualizowano 5 lip 20268 min czytania

Business email compromise (BEC) to oszustwo, w którym atakujący wykorzystuje pocztę e-mail, aby nakłonić kogoś w Twojej firmie do przekazania pieniędzy lub danych. Niewygodna prawda dla każdego, kto próbuje temu zapobiec: BEC nie jest pojedynczym atakiem, który da się zamknąć jednym ustawieniem. Przybiera trzy różne postacie, a każda z nich wymaga innego zabezpieczenia. Zrób dobrze uwierzytelnianie poczty, a całkowicie wyeliminujesz jedną z kategorii. Dwie pozostałe wymagają MFA, higieny przekierowań oraz procesu płatności, który w ogóle nie ufa poczcie e-mail.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Ten przewodnik rozkłada BEC na trzy rzeczywiste formy, uczciwie mówi, które zabezpieczenie powstrzymuje którą z nich, i podaje uporządkowaną listę kontrolną, dzięki której skierujesz wysiłek tam, gdzie zmienia on wynik.

Trzy postacie BEC (i dlaczego to rozróżnienie ma znaczenie)

Dostawcy sprzedają "ochronę przed BEC", jakby był to jeden problem. Nie jest. Jeśli potraktujesz go jak jeden, przeinwestujesz w część, którą łatwo naprawić, i zostawisz dwie trudne części całkowicie odsłonięte.

Postać 1: podszywanie się pod dokładny adres domeny. Atakujący wysyła wiadomość z Twoją prawdziwą domeną w polu From, na przykład From: ceo@yourcompany.com, z serwera, który nie ma z Tobą nic wspólnego. To klasyczny e-mail typu "prezes prosi dział rozliczeń o przelew" z użyciem Twojej dosłownej domeny. Właśnie to zostało stworzone do powstrzymywania uwierzytelnianie poczty.

Postać 2: podszywanie się przez domenę bliźniaczą. Atakujący rejestruje łudząco podobną domenę, yourcompany-payments.com lub yourc0mpany.com, i wysyła z niej w pełni uwierzytelnioną pocztę. Jego SPF, DKIM i DMARC przechodzą pomyślnie, ponieważ to jego domena i skonfigurował ją poprawnie. Człowiek widzi wiarygodną nazwę i zielony wynik uwierzytelniania. Nic w Twoich rekordach DNS tego nie dotyczy.

Postać 3: przejęte prawdziwe konto. Atakujący wykrada dane logowania do skrzynki prawdziwego pracownika, zwykle przez phishing lub ponownie użyte hasło, i wysyła z rzeczywistego konta. Każda kontrola uwierzytelniania przechodzi pomyślnie, ponieważ wiadomość faktycznie pochodzi z Twojej domeny, z Twojego serwera, od tego użytkownika. To najszybciej rosnąca i najbardziej niszcząca postać.

Miej te trzy postacie na uwadze przez resztę listy kontrolnej. Każde poniższe zabezpieczenie powstrzymuje niektóre z nich i jest bezużyteczne wobec innych.

Krok pierwszy: zablokuj podszywanie się pod dokładną domenę za pomocą DMARC reject

To jedyna postać BEC, którą rekordy DNS mogą w pełni zamknąć, więc ją zamknij. Potrzebujesz SPF, DKIM i DMARC, przy czym DMARC musi być ustawiony na p=reject i egzekwowany.

Opublikowany, egzekwujący rekord wygląda tak:

v=DMARC1; p=reject; rua=mailto:dmarc@yourcompany.com; adkim=s; aspf=s

Gdy Twoja domena publikuje p=reject, a odbierający serwer pocztowy respektuje DMARC (Google, Microsoft, Yahoo i większość dużych dostawców to robi), wiadomość podająca się za pochodzącą od ceo@yourcompany.com, która nie przechodzi wyrównanego SPF ani DKIM, zostaje odrzucona, zanim dotrze do skrzynki odbiorczej. Postać 1 jest martwa.

Dwa uczciwe zastrzeżenia. Po pierwsze, p=none nie daje żadnej ochrony - zbiera jedynie raporty. Jeśli Twój rekord mówi p=none, jesteś dziś niechroniony przed podszywaniem się pod dokładną domenę. Zobacz Polityka DMARC: none, quarantine czy reject, aby poznać różnicę, oraz jak przejść z DMARC none do reject, aby poznać bezpieczną ścieżkę. Po drugie, DMARC chroni tylko dokładną domenę From i, przy odpowiedniej polityce, jej subdomeny. Nie robi absolutnie nic wobec łudząco podobnych domen, których nie jesteś właścicielem.

Zacznij od sprawdzenia, co faktycznie publikujesz teraz:

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Jeśli brakuje Ci elementów, przejdź przez jak skonfigurować SPF, jak skonfigurować DKIM oraz jak skonfigurować DMARC. Jeśli najpierw chcesz zrozumieć podstawy koncepcyjne, SPF, DKIM i DMARC wyjaśnione omawia, jak te trzy elementy łączą się w całość.

Krok drugi: bądź szczery co do tego, czego DMARC nie potrafi

To sekcja, którą większość porad dotyczących BEC pomija, a jest ona najważniejsza.

DMARC reject powstrzymuje postać 1 i nic więcej. Wobec podszywania się przez domenę bliźniaczą (postać 2) domena atakującego przechodzi swój własny DMARC, więc Twoja polityka nie ma znaczenia. Wobec przejętego konta (postać 3) poczta jest naprawdę Twoja i przechodzi uwierzytelnianie, więc DMARC przepuszcza ją prosto dalej. Jeśli ktoś mówi Ci, że DMARC "powstrzymuje BEC", opisuje jedną trzecią problemu. Więcej o tej granicy napisaliśmy w czy DMARC powstrzymuje phishing.

DMARC jest więc krokiem pierwszym, a nie całym planem. To pierwszy ruch o największej dźwigni, ponieważ jest tani, trwały i zamyka całą klasę ataków. Ale jesteś dopiero w jednej trzeciej drogi do celu.

Krok trzeci: podnieś koszt podszywania się przez domenę bliźniaczą

Nie możesz opublikować rekordu DNS, który zablokuje domenę spoza Twojej kontroli. Możesz natomiast zmniejszyć, jak przekonujące i jak łatwe do znalezienia są te łudząco podobne domeny.

Sam zarejestruj oczywiste domeny bliźniacze

Wykup warianty swojej domeny obarczone wysokim ryzykiem: częste literówki, wersje z myślnikiem typu "billing" i "payments" oraz główne alternatywne końcówki TLD. To tania obrona. Nie kupisz każdej permutacji, więc potraktuj to jako podnoszenie kosztu, a nie budowanie muru.

Spraw, by Twoja prawdziwa poczta była widocznie godna zaufania

Gdy Twoja prawdziwa poczta jest konsekwentnie dobrze uwierzytelniona i - tam, gdzie jest to obsługiwane - pokazuje zweryfikowane logo dzięki BIMI, pracownicy budują punkt odniesienia dla tego, jak wygląda prawdziwa poczta firmowa. Dzięki temu goła wiadomość z domeny bliźniaczej się wyróżnia. Zobacz jak skonfigurować BIMI i VMC. BIMI to sygnał zaufania, a nie zabezpieczenie przeciw podszywaniu, więc traktuj je jako wzmocnienie.

Oznaczaj pocztę zewnętrzną na bramie

Skonfiguruj swoją platformę pocztową tak, aby oznaczała wiadomości spoza Twojej organizacji wyraźnym banerem "EXTERNAL". Domena bliźniacza jest z definicji zewnętrzna, więc baner się na niej pojawi. To drobna, trwała podpowiedź, która przełamuje odruch ufania znajomo wyglądającej nazwie wyświetlanej.

Krok czwarty: opanuj przejęte konto (postać 3)

Gdy atakujący jest wewnątrz prawdziwej skrzynki, uwierzytelnianie jest po jego stronie. Wszystko tutaj dotyczy kontroli dostępu i wykrywania.

Egzekwuj MFA odporne na phishing. Same hasła przegrywają z phishingiem danych logowania. Wymagaj MFA na każdej skrzynce, a dla każdego, kto może zatwierdzać płatności, preferuj klucze sprzętowe lub passkeys zamiast SMS. To pojedyncze najważniejsze zabezpieczenie przeciw przejęciu konta.

Wyłącz automatyczne przekazywanie na adresy zewnętrzne. Klasycznym ruchem po przejęciu jest ukryta reguła skrzynki, która przekazuje wątki finansowe do atakującego. Zablokuj zewnętrzne automatyczne przekazywanie na poziomie całej organizacji i włącz alerty o nowych regułach przekazywania. Dodatkowo zewnętrzne przekazywanie jest też tym, co po cichu psuje Twój SPF na prawdziwej poczcie - zobacz dlaczego przekazywanie poczty psuje SPF.

Obserwuj niemożliwe podróże i nowe reguły poczty. Logowania z dwóch kontynentów w odstępie godziny lub zupełnie nowa reguła przenosząca wiadomości z "fakturą" do niepozornego folderu to silne sygnały aktywnego przejęcia.

Szybko rotuj dane logowania i unieważniaj sesje. Gdy istnieje podejrzenie, że konto zostało przejęte, zresetowanie hasła nie wystarczy. Unieważnij aktywne tokeny i sesje, aby istniejące zalogowanie atakującego przestało działać.

Krok piąty: zabezpieczenie, które pokonuje wszystkie trzy postacie

Każda postać BEC zbiega się w jednym celu: skłonić kogoś do przekazania pieniędzy lub danych na podstawie e-maila. Dlatego ostatnie zabezpieczenie nie dba o to, z którą postacią masz do czynienia.

Weryfikuj każdą zmianę płatności poza pocztą. Każda prośba o zmianę danych bankowych, wysłanie przelewu lub udostępnienie wrażliwych danych zostaje potwierdzona innym kanałem - telefonem na znany numer, a nie na numer z e-maila. Ta jedna reguła procesu pokonuje podszywanie się pod dokładną domenę, domeny bliźniacze i przejęte konta na równi, ponieważ żadne z nich nie przetrwa telefonu człowieka do zaufanego kontaktu w celu potwierdzenia.

Uczyń z tego politykę, a nie sugestię. Ustaw obowiązkowy telefon zwrotny dla każdej płatności powyżej progu i dla każdej zmiany istniejących instrukcji płatności. Cały plan atakującego zależy od tego, by prośba nigdy nie została sprawdzona poza pocztą.

Uporządkowana lista kontrolna BEC

Wykonaj je w tej kolejności. Wcześniejsze pozycje mają większą dźwignię na każdą poświęconą godzinę.

  1. Weryfikacja poza pocztą dla wszystkich zmian płatności i przelewów. Pokonuje wszystkie trzy postacie. Zacznij tutaj.
  2. MFA odporne na phishing na każdej skrzynce. Zamyka większość przejęć konta.
  3. DMARC na p=reject z wyrównanym SPF i DKIM. Trwale eliminuje podszywanie się pod dokładną domenę. Sprawdź swój za pomocą skanera powyżej.
  4. Zablokuj zewnętrzne automatyczne przekazywanie i włącz alerty o nowych regułach skrzynki.
  5. Zarejestruj łudząco podobne domeny wysokiego ryzyka i włącz banery nadawcy zewnętrznego.
  6. Wykrywanie: alerty o niemożliwych podróżach, alerty o nowych regułach przekazywania, szybkie unieważnianie sesji.
  7. Wzmocnij zaufanie wizualne konsekwentnym uwierzytelnianiem i BIMI.

Jeśli wykonasz tylko pozycje od 1 do 3, ograniczysz największą szkodę najmniejszym wysiłkiem. Wszystko po nich to już głębia.

Najczęściej zadawane pytania

Czy DMARC reject powstrzymuje business email compromise?

Powstrzymuje jedną jego formę: podszywanie się pod dokładny adres domeny, gdy atakujący umieszcza Twoją prawdziwą domenę w polu From. Nie powstrzymuje domen bliźniaczych, ponieważ te przechodzą własne uwierzytelnianie, i nie powstrzymuje przejętego prawdziwego konta, ponieważ ta poczta jest naprawdę Twoja. DMARC to krok pierwszy, a nie cała odpowiedź.

Czym jest podszywanie się przez domenę bliźniaczą i czy rekordy DNS mogą je zablokować?

Podszywanie się przez domenę bliźniaczą wykorzystuje łudząco podobną domenę, którą atakujący posiada i poprawnie uwierzytelnia, na przykład yourc0mpany.com. Nie możesz opublikować żadnego rekordu SPF, DKIM ani DMARC, który zablokuje domenę spoza Twojej kontroli. Ryzyko zmniejszasz, rejestrując oczywiste warianty, oznaczając banerem pocztę zewnętrzną i wymagając weryfikacji próśb o płatność poza pocztą.

Jeśli nasze uwierzytelnianie poczty jest idealne, czy jesteśmy bezpieczni przed oszustwami przelewowymi?

Nie. Idealne uwierzytelnianie zamyka jedynie podszywanie się pod dokładną domenę. Wykradziona skrzynka wysyła w pełni uwierzytelnioną pocztę, a domena bliźniacza przechodzi własne kontrole. Właśnie dlatego zabezpieczeniem o najwyższym priorytecie jest proces płatności, który potwierdza każdą zmianę innym kanałem, niezależnym od poczty.

Od czego zacząć, jeśli w tym tygodniu możemy zrobić tylko jedną rzecz?

Wprowadź obowiązkową weryfikację poza pocztą dla każdej zmiany przelewu lub danych bankowych, a następnie sprawdź swoją domenę pod kątem polityki DMARC. Weryfikacja pokonuje wszystkie trzy postacie ataku na poziomie procesu, a potwierdzenie, że masz p=reject, zamyka podszywanie się pod dokładną domenę na poziomie technicznym. Razem pokrywają najczęstsze i najkosztowniejsze ścieżki BEC.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki