【金融普查】電郵驗證設定寬鬆 罪犯容易冒名發出電郵攻擊
金融機構及其客戶,一直是網絡罪犯的頭號攻擊目標,最常用的攻擊手法便是釣魚電郵(phishing)或更專門的魚叉式電郵(spear phishing),因此金融業界要保護客戶,便必須從電郵安全方面著手,例如準確設定各種電郵驗證技術,防止罪犯冒充銀行發電郵進行詐騙。
正確啟用電郵安全功能,最大好處是只有金融業界發送給客戶的電郵,只能從核實的郵件服務器發出,令犯罪分子只能註冊使用類似的網域發送電郵,只要收件者夠細心,便能從網域上分辨真偽,再者亦容易被電郵防護工具的威脅情報所過濾,減低詐騙電郵的成功率。不過,並非所有金融服務都會引入這些安全措施,其中聯邦信用合作社(Federal Credit Union)便沒有足夠防護。根據 IntelFinder 最近進行的一項研究顯示,在 300 個 FCU 機構中,只得 8% 啟用了強大的電郵安全工具。 IntelFinder 專家特別檢查了FCU 機構中的 SPF 和 DMARC 記錄是否存在,以及 DMARC 設置是否寬鬆,以反映他們的電郵安全防護水平。
SPF(Sender Policy Framework) 和 DMARC(Domain-based Message Authentication, Reporting & Conformance)是其中兩種電郵驗證系統,SPF 主要用於防止冒充電郵,系統會先驗證發送電郵是否來自授權服務器,否則便有很大機會屬於假電郵。DMARC 則基於郵件域名的身份驗證、報告和一致性,去決定對郵件進行「隔離」、「收件」及「拒收」三個動作,當規則設定為「None」時,儘管身份驗證失敗,郵件最終仍會被派送至收件箱內。兩者相輔相乘下便可防止未經授權的域名發送電郵至收件箱。專家又補充,雖然還有第三種驗證方法 DKIM(Domain Keys Identified Mail),其作用是確保郵件在發送與接收之間未曾被更改,但由於沒有固定的 DNS,因此專家未有應用作今次評估之上。
Intelfinder 專家在分析了 300 個 FCU 樣本後,得出以下結果:
• 16 間聯邦信用合作社沒有定義 SPF 記錄,代表任何人都可輕易冒充他們發出電郵,不單容易令客戶受騙,由於這些欺詐電郵同樣可發送至合作社的職員,因此網絡罪犯只要掌握內部人脈,便可發送成功率更高的魚叉式網絡釣魚攻擊和商業電郵詐騙。而在這些 FCU 中,只得一間明確定義 DMARC 記錄,可見其電郵安全性非常脆弱。
• 74 間信用合作社雖然定義了 SPF 和 DMARC,但 DMARC 記錄設置為「None」。代表可疑的郵件即使未通過 SPF 或 DKIM 驗證,也能成功寄到收件箱。專家估計這些合作社似乎偏向採用較寬鬆的安全配置,以確保郵件能順利轉發。
• 184 間信用合作社定義了 SPF 記錄,但卻沒有 DMARC 記錄,跟上文一樣,可疑郵件即使未通過 SPF 或 DKIM 驗證,也能成功寄到收件箱。
• 只有 26 間合作社定義了 SPF 和 DMARC,以及開啟了限制規則,如郵件未通過 SPF 或 DKIM 檢查,便不可能送進收件箱。
由此可見,許多組織選擇不實施 SPF 及 DMARC,專家估計是因為嚴格的安全控制會影響到電郵送達目的地的能力,導致不少企業寧願選擇較寬鬆的安全設定。不過,專家認為在低防護下,企業被網絡罪犯冒充發送電郵的風險便會大增,兩者之間必須取得平衡。