신입 사원은 매우 빠르게 피싱 이메일을받습니다-추론 및 중지 방법
우리는 1 주 전에 새로운 Sales Ops 멤버를 고용했습니다. 일주일 이내에 그는 아래와 비슷한 이메일을 받게됩니다.
발신자에 대해 조사를했는데 유효한 이메일, 유효한 사람, SPF / DKIM 검사가 잘 이루어집니다. 나는 CEO에게 연락하여 그가 보낸 사람을 알고 있는지 확인했습니다.
- 나는 직원을 스푸핑하는 메시지를 거부함으로써 이것을 막을 수 있다는 것을 알고 있습니다. 문제는 이름 부분 때문에 그들의 개인 이메일을 거부한다는 것입니다. Office 365에서이를 감지하고보다 지능적으로 중지 할 수있는 방법이 있습니까?
- 이러한 사기꾼 중 일부는 이러한 데이터를 이렇게 쉽게 전송하여 이와 같은 이메일을 보낼 수있는 방법은 무엇입니까? 그들은 항상 내 운영팀이나 기술팀이 아닌 내 영업팀을 때리고 있습니다. 우리 팀은 최신 업데이트로 BitDefender를 실행하고 있으며 수신 및 발신 데이터도 검사하는 강력한 방화벽과 게이트웨이 뒤에서 실행하고 있습니다.
답변
아마도 MX 레코드가 DHA ( 디렉터리 수집 공격 )를 겪고있는 것 같습니다 . 이를 수행하는 방법에는 여러 가지가 있으며 메일 로그를 자세히 살펴 보지 않는 한 대부분은 (설계 상) 감지하기 어렵습니다.
가장 단순한 형태의 DHA는 SMTP vrfy와expn 명령을 포함 합니다. 이를 완전히 차단할 수 있습니다. 더 정교한 공격은 이메일을 작성하지하고 결코 그들을 완료 (후행 포함 할 수 .a의 끝 표시 data명령을, 또는 단지 rset또는 quit또는 발행하기 전에 연결 삭제 data명령).
o365를 독점적으로 사용하는 경우 MX에서 수집하는 것은 우려 할 가능성이 적습니다 (Microsoft가 대부분의 DHA 시도를 차단할 수있을만큼 능숙하다고 가정하지만 DHA가 시도되었는지 또는 얼마나 성공적인지 판단 할 수있는 충분한 포렌식 데이터를 제공하지 않을 수 있습니다. 끊어지기 전에). 공격자는 사용자 목록이나 공격자가 메일이나 주소록을 읽기 위해 액세스 할 수있는 손상된 사용자 시스템이나 계정과 같은이 데이터의 다른 소스를 발견했을 수 있습니다.
사용자 이름이 예측 가능한 경우 (예 : [email protected]) 공격자는 회사 직원 목록이나 LinkedIn과 같은 사이트를 스크랩하여 사용자를 결정할 수 있습니다. 주소의 또 다른 소스는 공개 메일 링리스트 아카이브입니다.
한 가지 할 수있는 일은 스팸 트랩 (일명 허니팟)을 설정하는 것입니다. 가상 사용자의 새 계정을 만들고 아무에게도 말하지 마십시오. 메일 수신이 시작되는지 잠시 기다리면 DHA가 있음을 알 수 있습니다. 물린 것이 없으면 공격자가 수확하는 장소에 함정이 표시되지 않은 것입니다. 그것이 무엇인지 생각해보고 새로운 전용 주소를 가동하십시오 (또는 계정 당 지불해야 할 경우 단일 트랩 계정에 하나씩 새로운 시드 기술을 추가하고 각 추가 사이에 몇 주를 더하여 식별 할 수 있습니다 그것).
쉬운 방법은 스크립트를 사용하여 LinkedIn을 모니터링하여 신규 채용을 찾고 직무 설명에 따라 대상을 지정하는 것입니다.
순식간에 Hayden이 2 개월 전에 "영업 운영 관리자"로 고용되었음을 알게되었습니다.
Office 365 구독에 따라 피싱 방지 를위한 여러 기능이 있습니다. Microsoft 365의 안티 피싱 보호
이러한 사기꾼 중 일부는 이러한 데이터를 이렇게 쉽게 전송하여 이와 같은 이메일을 보낼 수있는 방법은 무엇입니까?
말하기 어렵지만, 제 생각에는 영업 담당자가 다양한 웹 사이트에 가입하여 주소를 유출하거나 데이터를 수집 할 수 있도록 완전히 구축 될 수 있습니다.
다음에 해당 팀에서 누군가를 고용 할 때 한동안 아무것도 구독하지 말라고 말하고 무슨 일이 일어나는지 확인하십시오. 또는 이메일 주소를 설정 한 다음이를 사용하여 Sales Ops 사람들이 사용하는 동일한 웹 사이트를 구독하고 어떤 일이 발생하는지 다시 확인하십시오.
우선, SPF와 DKIM에서 이메일이 실제로 gmail에서 보낸 것으로 표시되면 (gmail에는 SOFTFAIL spf 만 있음)이 주소를 완전히 차단하고 싶습니다. 또는 더 좋은 방법은 다음 사람이 사기를 감지하지 못할 수 있으므로 해당 발신자가 보낸 이메일이 자동으로 내부 IT 보안 티켓을 생성하도록하는 것입니다.
CEO가 Alice CeoSE [email protected]이고 신입 사원이 Hayden Sales [email protected]이고 가짜는 [email protected]이라고 가정합니다.
즉, [email protected]이 생성되었으며 회사에서 CEO 사기를 수행 할 유일한 목적을 가진 사람이 관리합니다.
차단 한 후 새 Gmail 주소를 만드는 것은 사소한 일이지만 그렇게하지 않는 것은 어리석은 일입니다. 새 계정을 열기 위해 추가 노력을 기울여야합니다 (또한 사용자가 계정을 감지했는지 여부를 알 수 없습니다. 또한이 계정에서 메일을받은 다른 사람도 확인하십시오). 다음 사람은 그것이 사기임을 감지하지 못하고 실패 할 수 있습니다.
또한 저는이 공격을 이용하여 비즈니스 이메일 침해 / CEO 사기, 그것이 무엇인지, 사람들이 무엇을해야하는지에 대한 일반적인 알림을 보낼 것입니다 ( "CEO"가 아무 말도하지 말라고 요청하더라도!). 귀하의 회사가 지금 공격을 받고 있다는 사실을 알 수 있습니다 (분명히 상류층의 승인이 필요할 수 있지만 이것이 연습이 아니라면 이것이 중요한 이유에 대한 명확한 사례입니다 ).
나는 시간적 조치이기 때문에 내용에 대해서도 규칙을 추가하려고 노력할 것입니다. 정확한 문구를 사용하지 않는다면 "Chief Executive Officer"텍스트일까요?
개인 이메일을 놓칠 것이라고 언급했습니다. 그러나이 계정이 CEO를 가장하기 위해 생성 된 계정 인 경우 보안 팀을 제외한 어떤 것도 직원에게 도달하는 것을 원하지 않습니다.
CEO가 개인 계정에서 이메일을 보낼 때 이메일을 잃어 버리는 것이 문제라면 그 손실을 감수하겠습니다. 직원은 개인 계정에서 업무 관련 이메일을 보낼 필요가 없어야합니다. (*) 회사 전체에서 실용적이지 않을 수 있지만 C 레벨 경영진에게는 확실히 가치가 있습니다. 이는 회사에서 제공 한 이메일로만 회사에 연락해야 함을 의미합니다.이 경우 최고 (예 : CEO)의 주문이 필요하며 CEO 자신을 포함해야합니다.
이러한 조건이있는 이메일이 자동으로 보안 사고 티켓을 생성 하도록 구현하는 것이 좋습니다 .
XX YYYY ZZZZ에 Alice Ceose [email protected]의 이메일이 [email protected]으로 전송되었습니다. 이는 CEO가 보낸 것이라고 주장하지만, 8/22 일에 경영진을 사칭하려는 시도가 있었던 2020 년 8 월 22 일자 CEO 메모에 따르면 내부 커뮤니케이션에 사용할 수있는 유일한 회사 이메일을 사용하지 않습니다. 19/2020 및 수백만의 회사를 사기.
그리고 가장 된 사람을 회사 이메일 주소로 알립니다 (그 사람이 실제로 보낸 경우 이메일을 자동으로 필터링하고 자동으로 처리한다고 주장 할 수 없으므로 누구도 자신의 잘못에 대해 전화를 걸지 않아도됩니다). 실용적인 이유로 사용자 별 화이트리스트 (이 규칙을 계속 잊어 버리는 경영진의 실제 개인 주소가있는 경우)도 포함하는 것이 좋습니다.
(*) 명백한 예외는 이메일 주소가 할당되기 전 또는 COVID 재택 근무 조치를 통해 계정을 차단하는 경우 헬프 데스크와 통신하는 것입니다 (헬프 데스크가 직원에 대한 명의 도용 시도에 빠지지 않아야한다는 명백한 위험과 함께) ). 귀하의 변호사는 귀하가 통제 할 수없는 계정과 회사 정보를 공유하지 않는 수천 가지 이유를 제공 할 것입니다.
두 번째 질문에 관해서는 신입 직원이 유출되었을 수 있습니다.
- 예측 가능한 이메일 이름 지정 패턴
- LinkedIn과 같은 직원 소셜 네트워크 ( null로 표시됨)
- 웹 페이지, 소셜 미디어 등에 회사 간행물 ( "우리 팀", "신입 사원 Hayden을 환영합니다"...)
- 뉴스 레터, 컨퍼런스 등
- 직원의 계정 도용 (이메일을 보낸 사람 또는 회사 전체의 주소 목록 유출)
나는 당신의 회사가 바이러스로부터 충분히 깨끗하다고 가정합니다 (제가 틀렸을 수 있습니다). 직원이 회사 외부의 사람들과 이메일로 통신하는 경우 감염된 컴퓨터에서 메일을 읽는 사람들에게 메시지를 보냈을 가능성이 있습니다. 이러한 사람의 컴퓨터에있는 악성 프로그램은 주소록을 수집하여 이메일 데이터베이스를 구축하여 스팸을 보내고 모든 종류의 불쾌한 일을 할 수 있습니다.
따라서 외부 세계와 연결되어있는 직원이 더 많이 노출됩니다.
Office 365를 잘 모르기 때문에이 문제를 중지하는 방법을 말씀 드릴 수 없습니다. 그러나 직원들이 분명히 피싱 이메일을받는 것이 실제로 좋을 수 있습니다. 이것은 그들이 행동하기 전에 각 메시지에 대해 경계를 유지하고 상식적인 검사를 적용하는 데 도움이됩니다. 언젠가는 회사가 좋은 이메일과 나쁜 이메일을 자동으로 구별 할 수있는 쉬운 방법이없는 정교한 피싱 시도의 대상이 될 수 있습니다. 그럴 경우 가장 좋은 장벽은 직원이 링크를 클릭하거나 답장하지 않는 것입니다.
마지막으로 새로운 이메일에 관한 "개인 데이터"를 추가 할 수 있습니다. 10 년 이상 동안 약 1000 개의 개인 이메일 주소를 사용하여 각각 고유 한 웹 서비스에 등록했습니다. 대부분의 경우 합법적 인 메일 만 받았습니다. 다른 경우에는 두 가지 경우를 확인할 수 있습니다.
첫 번째 경우에는 이메일을 사용하여 개인 데이터 처리가 거의 모두 자동화되어 있다고 가정 할만큼 충분히 규모가 큰 회사에서 관리하는 합법적 인 웹 사이트의 계정을 생성했습니다. 모든 경우에 내가 스팸을 받기 시작했을 때 Google 검색은 스팸이 시작되기 몇 주 또는 몇 달 전에 웹 사이트가 해킹되었다는 뉴스 기사를 가리 켰습니다. 대부분의 경우 회사는 문제를 발견 한 후 데이터 유출에 대해 알려 주었지만 한두 번 발생하지 않았습니다.
두 번째 경우 및 위와 유사하게 합법적 인 웹 사이트에서 계정을 만들거나 서비스를 요청하기 위해 이메일을 생성했습니다. 그러나 내 이메일이 누군가의 개인용 컴퓨터 (작은 웹 사이트, 사람으로부터 개인 이메일을받을 것으로 예상 할 수있는 서비스 등)에 저장되었을 수 있습니다. 특히 쇼와 같은 일회성 이벤트에 등록 할 때 유출 된 주소가 많이 있습니다. 이 경우 주최자가 참가자 목록을 수집 할 수 있도록 이벤트 용 웹 사이트를 양식으로 만든 것으로 가정합니다. 그런 다음 수동으로 합법적 인 메시지를 보내지 만 안타깝게도 내 데이터를 수집 할 수있는 악성 소프트웨어가있는 컴퓨터에서 보냅니다. 여기에서 유출에 대한 뉴스 기사를 발견 한 적이 없으며 주최자로부터 해킹 정보를받은 적이 없습니다.