为啥E-mail这么不安全?怎么才能提高它的安全性?

2018-08-01 14:41:45 浏览数 (1)

企业调查和风险咨询公司Kroll最新调查报告显示:92%的英企高管表示他们在过去的一年中受到过网络攻击或信息失窃,英企由此成为了全球互联网犯罪的第二大受害者。Verizon的数据违规调查报告则显示:“钓鱼”是最常见的网络攻击方式之一——有30%的钓鱼邮件会被打开。钓鱼也是最简单的劫持账户的方式,例如2016年John Podesta(希拉里的总统选举竞选主席)就遭受了钓鱼攻击。

译者注:2016年美国总统大选期间,John Podesta受到钓鱼攻击——他在别人伪造的登陆界面输入了邮箱密码——致使大量政府保密邮件被通过维基解密泄露。舆论普遍认为这是希拉里总统大选失利的重要因素之一。

面对这些网络攻击,即使是Facebook和Google这样的科技巨头也无法独善其身。2017年5月,有人用伪造的邮箱和发票,让这些科技巨头们掉入了他精心策划的钓鱼陷阱,成功骗取了他们超过1亿美元(约合6.7亿人民币)。在网上冒用他人身份非常简单粗暴:只需几行代码,就可以冒用别人的邮箱地址,发送伪装好的恶意邮件。

这种网络攻击不需要什么黑客技术或窃取密码技术——要完成攻击,你只需要对网络协议和简单的工具有一点基本的了解,然后再找一个你要冒名顶替的人(比如你可以从LinkedIn上找)就足够了。屋漏偏逢连夜雨,你邮箱服务器和反垃圾邮件系统一般又会放行这些邮件,因为他们的发件人地址看起来没什么问题,好像是熟人发过来的。

由于这种钓鱼方法可以冒名顶替大多数邮箱地址,所以公司员工很容易被骗。他们一看:邮件是一位重要客户或顶头上司发过来的,有些程序还会贴心地附上发件人的照片儿,于是他一旦放松戒备,就被套路了。

E-mail:公司的后门

我们总以为邮箱能保证我们的身份安全,但这些骗术却让我们看到了血淋淋的现实:自互联网诞生以来,E-mail就存在着根本的缺陷。一个公司是否使用了强力的安全、密码策略,或者是否使用了双因子身份验证(2FA)并不重要,因为利用电子邮件的根本缺陷,这些防御手段都可以被回避。因此大坏蛋们很容易冒用内部员工或合作伙伴的身份发邮件,从而骗收件人点开邮件;而收件人一旦中了招,则又会进一步打开企业安全的大门。

虽然这种缺陷是互联网的本质痼疾,但并不是说我们就无能为力了。现在有一种叫做DMARC(基于域的邮件身份验证、报告和一致性)的电子邮件身份验证协议,它可以防止人们冒用他人的电子邮件域,从而使黑客无法向你的电子邮箱的用户发送钓鱼邮件,还可以鉴别过滤发来的恶意邮件。

在Gov.uk上有文章介绍DMARC的详细工作方式。简单来说,DMARC会验证邮件是否是从授权的IP地址发送的,还有该邮件是否是被发件方的域名或授权的域名署名的。DMARC将这两个因素与身份验证相结合,然后设置收件方的收信规则,来鉴别、处置来源有问题的邮件。

实践证明DMARC非常有效,英国海关税务署已全面应用了这种协议,国家网络安全中心、英国政府、澳大利亚政府以及美国联邦贸易委员会也是DMARC的推动者之一,还有越来越多的人正在投入DMARC的怀抱。

部署DMARC

既然DMARC可以有效防范钓鱼诈骗,那为什么电子邮件供应商们不默认使用它呢?很简单,因为他们不行——DMARC必须要由邮箱域名所有者自行配置。要想用DMARC保护一个邮箱域名,必须正确配置所有其他的电子邮件提供程序(如G Suite、MailChimp、SendGrid)。绝大多数企业必须自行设置DMARC来提升邮件安全性。

以前要设置DMARC费时费力,但现在有一些解决方案可以让公司通过自助服务来部署、运行DMARC,这也推动了DMARC的普及。

总而言之,DMARC可以保证域名安全、防止钓鱼诈骗,还可以增进收件人和发件人的互信。应用DMARC后,服务器、收件人都能确保他们收到的邮件确实是从你本人的邮箱中发出的。

你可以在https://ondmarc.com/上验证你的邮件系统是否应用了DMARC。你还等什么?快来着手提高您E-mail的安全性吧!

facebookgooglesendgridfacebookgooglesendgrid

0 人点赞