Lidamos com muitas transferências eletrônicas e outras transferências eletrônicas de fundos em nosso escritório. Temos o MFA habilitado em nosso portal de e-mail, temos SPF e DKIM configurados também. Estamos administrando o Office 365 Business.
Recentemente, nossa equipe financeira e os EAs observaram um aumento nos e-mails de endereços de e-mail "válidos" ([email protected], por exemplo, que é um endereço de e-mail válido e passa nas verificações de segurança) que incluem mensagens que parecem vir de nosso ceo, cfo, eu, equipe financeira.
Receberemos um e-mail que parece ser do nosso CEO:
CEO NAME <[email protected]>
message:
Please respond with the information for this wire transfer that we sent this morning, i need the confirmation # or a picture of the transfer.
/CEO NOME
ou eu:
ME ME <[email protected]>
Hey guys, i need you to email me a zipped copy of our SSL private keys, password of o3haw3hfa32f. I lost them.
Não tenho certeza de como bloquear esses tipos de e-mails, pois não há links, nem anexos, apenas texto simples com um endereço de e-mail válido.
Treinei minha equipe, ensinei-os a sempre olhar o endereço de e-mail. Sempre. No entanto, na minha opinião, ainda é um erro esperando para acontecer e, quando acontecer, provavelmente será um grande erro.
Eu disse aos meus desenvolvedores para não enviar malware de volta por e-mail ou imagens nswf, pois isso provavelmente apenas encorajará os remetentes.
Alguma ideia?
Seu SPF/DKIM não irá protegê-lo de e-mails recebidos, pois isso é usado para legitimar e-mails de saída como uma forma de dizer 'este e-mail é genuinamente meu, veja aqui nossa chave de domínio e nosso SPF, etc.' - que irá 'separar' seu e-mail de spam (apenas para alguns domínios de recebimento mais rígidos, como o Yahoo)
Para e-mails de entrada, é muito difícil bloqueá-los completamente, pois o e-mail falso vem de um endereço diferente do que realmente está sendo exibido (por exemplo, está sendo exibido como o CEO). Em alguns casos, você pode realmente encontrar o endereço de envio nos cabeçalhos da mensagem, o que tive sorte algumas vezes ao bloquear o domínio de envio. Você pode encontrá-lo no campo env-sender ou return-path, se presente. No entanto, é uma batalha contínua, pois esse endereço de cabeçalho de back-end mudará constantemente. Por causa disso, qualquer esforço é utilizar algum tipo de segurança de e-mail ou proteção de e-mail e esperar que seus métodos de detecção heurística possam detectar os e-mails não legítimos. Fora isso, não há solução disponível - nem todas as empresas têm configuração de SPF, portanto, os ISPs ainda retransmitem e-mails sem SPF/DKIM,
Você não pode se proteger contra tudo porque o conteúdo malicioso evolui e, portanto, a segurança também. Para cada desvio que os spoofers usam, temos que tentar o nosso melhor para estar um passo à frente para bloquear exatamente o que você está pedindo. Eu acredito que eles até incorporaram o aprendizado de máquina nisso agora.