Att e-post är en av de vanligaste vägarna för angripare att nästla sig in i en organisations nätverk bör väl de flesta känna till vid det här laget. Kampen mot nätfiske och förfalskade mail har pågått i princip sedan vi började använda e-post. Och skydden har blivit bättre och effektivare och används av allt fler organisationer – trots det är det dessvärre fortfarande många som inte implementerat lättillgängliga verktyg som gör e-posthanteringen säkrare.
Till exempel pekar Valimail’s rapport Email Fraud Landscape 2018 på att det enligt FBI skedde en 60-procentig ökning av de globala så kallade BEC-förlusterna (business email compromise) under 2018 och att den enskilt största anledningen till detta var just förfalskad e-post.
Valimails forskare har också destillerat och analyserat proprietära data baserade på miljardtals autentiseringsförfrågningar för e-post, tillsammans med en analys av miljontals offentligt tillgängliga DNS-poster. Forskarna fann att väldigt många organisationer fortfarande inte genomför grundläggande förebyggande åtgärder, som till exempel SPF, DKIM eller DMARC.
”Falska e-postmeddelanden, främst försök till nätfiske via e-post, fortsätter att öka eftersom dessa tyvärr fungerar och är barnsligt lätta att distribuera. Chefer, anställda, partners och kunder fortsätter att klicka, skicka konfidentiell information, dela IP-anslutningar och göra banköverföringar till illasinnade aktörer – allt på grund av brist på grundläggande autentisering, sa Alexander García-Tobar, VD för Valimail, i ett uttalande i samband med att rapporten publicerades, och fortsatte:
”Dessa attacker är absolut förebyggbara. Vi välkomnar därför att allt fler organisationer har implementerat e-postautentiseringar baserat på öppna standarder som DMARC, som när det är korrekt konfigurerat, kan stoppa de mest övertygande falska e-postmeddelandena. Vi uppmanar alla domänägare och säkerhetsansvariga att implementerad dessa standarder och konfigurera dem korrekt och fullständigt så fort som möjligt, så att deras anställda inte kan spoofas av cyberkriminella.”
Svårupptäckta attacker ökar
En oroande trend är också att de så kallade ATO-attackerna (Account takeover-based attacks) ökar. Det handlar med andra ord om e-postattacker som använder stulna konton – vilket gör dem väldigt mycket svårare att detektera som falska. Enligt Agaris rapport Email Fraud & Identity Deception Trends för första kvartalet 2019 står denna typ av attack nu för 20 procent av alla avancerade e-postangrepp. ATO-attacker är som sagt extra farliga eftersom de är svårare att upptäcka än traditionella attacker – de stulna kontona verkar helt legitima för både e-postfilter och slutanvändare, då de skickas från en riktig avsändares e-postkonto.
Det vanligaste angreppssättet vid avancerade e-postattacker är dock fortfarande så kallad ”brand impersonation”, falska mail som utger sig för att komma från ett känt företag. Över hälften av alla attacker under 2018 använde detta angreppsätt och i 70 procent av fallen utgav sig angriparna för att vara från Microsoft. Anledningen till detta är i hög grad att kontouppgifter till Microsoft-tjänster, som Office 365, är extra åtråvärda för cyberkriminella eftersom de kan användas till exempelvis de ovan nämnda ATO-attackerna.
Hur skyddar du dig?
Så, till den stora knäckfrågan: vad kan vi göra åt de här problemen? Som redan nämnts handlar det i stor utsträckning om att faktiskt implementera de säkerhetsfunktioner och verktyg som finns. Om du känner att du inte har järnkoll på vilka de är och hur de fungerar, så ger vi dig en liten genomgång här under.
• SPF
Enkelt förklarat är SPF (Sender Policy Framework) ett sätt att vitlista vissa IP-adresser som valideras för att skicka e-post på uppdrag av din domän. Du kan på så sätt ”berätta” för e-postleverantörer att endast e-post från en viss IP-adress eller ett antal IP-adresser är giltiga. E-post från andra IP-adresser kan därmed betraktas som falsk.
SPF minskar på så sätt risken för att nätfiske och andra e-postmeddelanden som förefaller vara från din domän (men egentligen inte är) hittar fram till inkorgar. Om du har en domän som du inte använder för e-post, men som illasinnade aktörer ändå spoofar, kan du lägga till en SPF-post som anger att inget mail ska skickas från den domänen.
Genomförandet av SPF på den mest grundläggande nivån är ganska enkelt att implementera. Det enda som egentligen krävs är att du lägger till en TXT-post i DNS. Läs gärna vår guide till SPF här.
• DKIM
DKIM (DomainKeys Identified Mail) är lite mer komplicerat, men också mer avancerat, än SPF och möjliggör för avsändaren att digitalt signera vissa komponenter i e-postmeddelandet.
Med DKIM publicerar domänägaren en nyckel i det publika DNS-systemet. Den sändande e-postservern signerar meddelandet och den mottagande e-postservern använder sedan den offentliga nyckeln för att kontrollera signaturen och säkerställa att den är giltig. Om så är fallet visas att de signerade fälten inte har ändrats längs vägen och meddelandet passerar DKIM-valideringen.
• DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) är ytterligare ett steg upp i säkerhetsnivå. Det är enklast förklarat ett sätt för e-postavsändare att berätta för e-posttjänster vilka åtgärder som ska vidtas om ett e-postmeddelande inte godkänns enligt SPF eller DKIM. Dessutom skapar DMARC en rapporteringskanal från e-postleverantörer tillbaka till avsändaren.
En avsändare kan med andra ord berätta för e-postmottagaren vad som ska hända om ett meddelande misslyckas med autentiseringen: låta det passera ändå, sätta det i karantän i skräpmappen eller avvisa meddelandet helt och hållet.
Även om ett företag som använder DMARC uppmanat mottagarens server att inte vidta några åtgärder mot meddelanden som misslyckas med validering mot SPF eller DKIM, kommer företaget fortfarande att gynnas av att använda DMARC. Det beror på att e-posttjänster börjat tillhandahålla DMARC-rapporter till avsändaren om de e-postmeddelanden som behandlas. Dessa rapporter inkluderar IP-adresser, rDNS, avsändande domän och annan information som hjälper avsändare att spåra antingen ofullständiga SPF- eller DKIM-poster eller källor som försöker spoofa företagets domän.
När DMARC är konfigurerat för att avvisa misstänkta e-postmeddelanden misslyckas den som försöker skicka e-post som en DMARC-användande domän, om inte avsändaren har auktoriserats av ägaren av den aktuella domänen. Med andra ord kommer dessa meddelanden inte att nå de avsedda inboxarna – något som kraftigt försvårar förfalskning av e-post.
• ARC
ARC (Authenticated Received Chain) är ett e-postautentiseringssystem som är utformat för att tillåta en mellanliggande e-postserver som till exempel en e-postlista eller forwarding-tjänst att underteckna ett e-postmeddelandes ursprungliga autentiseringsresultat. Detta gör att en mottagande tjänst kan validera ett e-postmeddelande även när e-postens SPF- och DKIM-poster görs ogiltiga av den mellanliggande serverns behandling.
DMARC tillåter en avsändares domän att ange att deras e-postmeddelanden är skyddade av SPF och/eller DKIM och berättar ,som vi nämnde ovan, för en mottagande tjänst vad som ska göras om ingen av dessa autentiseringsmetoder är i bruk – som att till exempel avvisa meddelandet. En strikt DMARC-policy kan dessvärre blockera även legitima e-postmeddelanden som skickas via en adresslista eller tjänst för vidarebefordring, eftersom SPF-kontrollen då misslyckas på grund av den icke validerade avsändaren och för att DKIM-signaturen kommer att ogiltigförklaras om meddelandet ändras, exempelvis genom att det läggs till en ny ämnesrad eller sidfot.
ARC hjälper till att lösa detta problem genom att ge mellanliggande servrar ett sätt att underteckna det ursprungliga meddelandets valideringsresultat. Även om SPF- och DKIM-valideringen misslyckas kan den mottagande tjänsten välja att i stället validera ARC. Om ARC indikerar att det ursprungliga meddelandet passerade både SPF- och DKIM-kontrollerna, och att eventuella ändringar gjorts av mellanhänder som är betrodda av den mottagande tjänsten, kan den mottagande tjänsten välja att acceptera e-postmeddelandet.
• BIMI
BIMI (Brand Indicators for Message Identification) använder moderna e-postautentiseringstekniker och DNS för att visuellt visa för användare att ett meddelande verkligen kommer från varumärket som det utger sig för att komma från.
BIMI är än så länge ett utkast hos IETF (Internet Engineering Task Force). Tekniken lanserades i mars förra året då flera stora e-postleverantörer inledde ett pilotprojekt i samarbete med flera stora IT-bolag, företag inom hälso- och sjukvårdsbranschen, finansiella tjänsteleverantörer samt sociala medier-plattformar, för att utveckla en ny standard som låter kommersiella e-postavsändare visa sin logotyp intill avsändarnamnet när ett meddelande landar i en användares inkorg. Logotyperna kommer också att visas på individuella e-postmeddelanden från anställda i det sändande företaget som använder BIMI samt på marknadsföringsmeddelanden.
Tekniken låter enkelt förklarat domänägare samordna med mailprogram/klienter att visa varumärkesspecifika indikatorer intill korrekt autentiserade meddelanden. Det finns två aspekter av BIMI-samordning: en skalbar mekanism för domänägare att publicera sina önskade indikatorer och en mekanism för e-postservrars MTA (Mail Transfer Agent) att verifiera indikatorns äkthet.
För att en varumärkeslogotyp ska kunna visas måste varumärkena verifiera e-post med hjälp av DMARC. Det här är en mycket högre stapel än att bara använda SPF eller DKIM. Det finns också en bestämmelse i standarden för att en tredje part ska kunna verifiera logotypens ägandeskap.
BIMI syftar på så sätt till att stärka det allmänna förtroendet för e-post, och få bukt med den massiva mängd falsk e-post som utger sig för att komma från vissa företag. När BIMI väl blir standard kommer en av de stora vinsterna med tekniken också vara att den driver på antagandet av DMARC, som är en förutsättning för att implementera BIMI. Många företag lär se en marknadsföringsvinst i att kunna visa sina logotyper direkt i inkorgen hos mottagaren.
Så, det var en liten genomkörare av läget på e-postfronten. Som du märker finns det en hel del relativt enkla åtgärder du själv kan vidta för att öka säkerheten, både som avsändare och mottagare. Läs på ytterligare och se över hur det ser ut i dagsläget. Bara tillsammans, om tillräckligt många anammar säkerhetsstandarder och funktioner, kan vi mota e-postskurkarna i grind!
