美国联邦调查局 (FBI)、美国国务院和美国国家安全局 (NSA) 已发出警告,朝鲜网络攻击者正利用薄弱的DMARC(基于域的消息认证、报告和一致性)安全策略来加强其网络钓鱼攻击。这些欺诈活动包括发送看似来自合法域名的虚假电子邮件,并诱骗收件人分享敏感信息 叉式网络钓鱼攻击的关键。
众所周知,DMARC 是一种重要的电子邮件安全协议,有助于验证电子邮件是否真正来自某个组织的域名。正确配置的 DMARC 策略可以防止恶意行为者发送看似来自可靠来源的伪造电子邮件。然而,被称为“Kimsuky”组织的朝鲜攻击者正在利用错误配置的 DMARC 策略发送看似合法的电子邮件。这种策略使他们能够冒充可靠的记者、学者或专家,进行社会工程攻击,收集有关地缘政治事件和外交政策战略的情报。
识别可疑电子邮件的危险信号
值得注意的是,此类信件可通过以下关键红旗迹象识别:
- 初始电子邮件没有恶意链接,随后发送带有恶意内容、有害链接或文档的电子邮件;
- 包含受害者与合法联系人之间先前通信的真实文本的电子邮件;
- 英语语法差,句子结构不合理;
- 针对直接或间接了解政策信息的个人的通信, 包括美国和韩国政府官员、高级职员和军事人员;
- 电子邮件地址看起来与合法域名非常相似, 香港 WhatsApp 号码数据 但存在细微的拼写错误,并且是在大学目录或官方网站上找到的地址;
- 要求收件人点击附件中的“启用宏查看”,这是部署恶意软件的常用策略;
- 如果初始鱼叉式网络钓鱼电子邮件没有得到回复,则在 2-3 天内发送跟进电子邮件;
- 声称来自官方来源但使用非官方电子邮件服务发送的电子邮件,可通过模仿组织域名的稍微不正确的电子邮件标题检测到。
立即采取行动保护您的电子邮件免受恶意活动的侵害
安全组织建议设置适当的配置以缓解恶意活动。请将您或贵组织的DMARC 安全策略更新为以下两种配置之一:
- 隔离未经授权的电子邮件;
- 拒绝未经授权的电子邮件。
监控电子邮件标题中发件人域和回复地址是否存在不一致也有助于识别可疑电子邮件。
在该公告中,您可以找到此类鱼叉式网络钓鱼电子邮件的详细样本,以及相应的电子邮件标题,其中展示了朝鲜攻击者如何利用薄弱的 DMARC 策略来混淆真正的发件人域并成功地将恶意内容发送到受害者的收件箱。
报告强调,如果您成为这些欺诈活动的受害者,无论是否导致损害(特别是如果您来自目标行业之一),请向 www.ic3.gov 报告此事件,并参考#KimsukyCSA,提供详细信息,例如发件人的电子邮件地址和该电子邮件的内容。
使用 DMARC 分析器保护您的品牌免受网络攻击
无论公司规模大小,部署DMARC 协议都能带来诸多优势。DMARC 记录提供全面的域名控制、规范邮件流,并有效防御网络钓鱼和欺诈攻击。此外,它还能提高邮件送达率,因为邮箱提供商可以在您的邮件经过正确身份验证后,验证您作为发件人的合法性。
使用以下简单步骤开始使用 GlockApps DMARC 监控,并以全面且用户友好的方式获取有关您的电子邮件流量的宝贵见解:
添加您的域名:访问“DMARC 分析”选项卡,然后转到“添加域名”部分。输入您的域名,然后点击“下一步”。如果您已有 DMARC 记录, 迴聲資料庫 请考虑使用 GlockApps 生成的记录。
选择您的 DMARC 策略:在配置 DMARC 选项卡中,根据建议中提供的推荐设置配置您的 DMARC 策略 – “隔离”或“拒绝”。
总结
美国联邦调查局 (FBI)、美国国务院和美国国家安全局 (NSA) 发布的咨询报告强调,强烈建议各组织更新其 DMARC 策略,以缓解网络钓鱼攻击。正确的配置包括将策略设置为“隔离”或“拒绝”未通过身份验证的电子邮件。其中,“隔离”意味着邮件服务器应将未经身份验证的电子邮件视为潜在的垃圾邮件,而“拒绝”则指示服务器完全阻止此类电子邮件。
立即采取行动,防患于未然——我们的DMARC 分析器是您可靠的工具,能够更好地防御鱼叉式网络钓鱼邮件。免费使用 DMARC 分析服务,您的账户每月可查看 条邮件。