1 周前,我们聘请了一位新的销售运营成员。一周之内,他收到了类似于以下内容的电子邮件:
我对发件人进行了一些研究,这是一封有效的电子邮件,有效的人,SPF/DKIM 检查都可以通过。我联系了我的 CEO,看看他是否认识发件人。
据推测,您的 MX 记录正遭受目录收集攻击(DHA)。有很多方法可以做到这一点,除非您非常精明地翻阅邮件日志,否则大多数方法(按设计)很难检测到。
最简单的 DHA 形式涉及 SMTPvrfy和expn命令。您可以完全阻止这些。更复杂的攻击可能涉及撰写电子邮件然后从不完成它们(尾随.标记命令的结束data,甚至只是rset或quit或在发出data命令之前断开连接)。
如果您仅使用 o365,则从 MX 中获取数据不太可能成为问题(我认为 Microsoft 足够精明,可以阻止大多数 DHA 尝试,尽管它们可能无法提供足够的取证数据来确定是否尝试了 DHA 或它的成功程度在被切断之前)。也许攻击者已经找到了此数据的另一个来源,例如您的用户列表或攻击者可以访问以阅读邮件或地址簿的受感染用户系统或帐户。
如果您的用户名是可预测的,例如 Firstname.Lastname@company.tld,则攻击者可以通过抓取公司员工列表或 LinkedIn 等网站来确定用户。地址的另一个来源是公共邮件列表档案。
您可以做的一件事是设置垃圾邮件陷阱(又名蜜罐)。只需为虚构用户创建一个新帐户,不要告诉任何人。稍等片刻,看看它是否开始收到邮件,您就会知道有 DHA。如果你没有被咬,那么你的陷阱不在攻击者收获的地方。尝试想出可能是什么并启动新的专用地址(或者,如果您必须按帐户付费,则将新的播种技术逐个添加到单个陷阱帐户中,每次添加之间间隔几周,以便您识别它)。
一种简单的方法是使用脚本监控 LinkedIn,以寻找新员工并根据他们的职位描述定位他们。
很快,我发现海登在 2 个月前被聘为“销售运营经理”。
根据您的 Office 365 订阅,有多种功能可以对抗网络钓鱼:Microsoft 365 中的反网络钓鱼保护
这些诈骗者中的一些人通过什么方式如此轻松地获取这些数据,以便他们可以发送这样的电子邮件?
很难说,但我的猜测是您的销售运营人员订阅了各种网站(为了完成他们的工作),这些网站可能会泄露地址或完全用于收集数据。
下次您在该团队中雇用某人时,请告诉他们暂时不要订阅任何内容,看看会发生什么。或者只是设置一个电子邮件地址,然后使用它来订阅销售运营人员使用的相同网站,然后再看看会发生什么。
首先,如果 SPF 和 DKIM 确实显示该电子邮件确实是从 gmail 发送的(请注意,gmail 仅具有 SOFTFAIL spf),您希望彻底阻止该地址。或者更好的是,让来自该发件人的任何电子邮件自动为您的内部 IT 安全创建一张票,因为下一个人可能不会检测到它是欺诈性的。
假设 CEO 是 Alice CeoSE alice.ceose@stackexchange.com,新员工是 Hayden Sales hayden.sales@stackexchange.com,假冒的是 alice.ceose@gmail.com
这意味着 alice.ceose@gmail.com 是由某人创建和控制的,其唯一目的是对您的公司执行 CEO 欺诈。
在您阻止它之后创建一个新的 gmail 地址对他们来说是微不足道的,但不这样做是愚蠢的。让他们付出额外的努力来开设一个新帐户(另外,他们不知道您是否检测到它。此外,请检查还有谁收到了来自该帐户的邮件)。下一个人可能没有发现它是欺诈性的并且因此而失败。
此外,我会利用这次攻击发送一个关于商业电子邮件妥协/CEO欺诈的一般提醒,它是什么,人们期望做什么(不管所谓的“CEO”要求他们不要说什么!),以及该公司正在受到攻击,现在(当然,你可能需要从上级批准,但,除非这是一个锻炼,这是一个明确的情况下,为什么有些事情是很重要)。
我也会尝试添加规则以在内容上捕获它,因为它是一种时间度量。如果她不使用那个确切的短语,也许是“首席执行官”文本?
你提到你会错过个人电子邮件。但是,如果这是为冒充您的 CEO 而创建的帐户,则您永远不希望从那里获得任何信息(安全团队除外)。
如果您的问题是当首席执行官确实从她的个人帐户发送电子邮件时您会丢失电子邮件,我会承担这种损失。员工永远不应该需要从个人帐户发送与工作相关的电子邮件。(*) 这在公司范围内可能不实用,但对于 C 级高管来说肯定是值得的。这意味着他们只能通过公司提供的电子邮件与公司联系,这将需要来自高层(例如 CEO)的命令,并且必须包括 CEO 本人。
我建议实施它,以便任何带有此类条件的电子邮件都会自动创建安全事件票:
在 XX YYYY ZZZZ,Alice Ceose alice.ceose@gmail.com 的电子邮件被发送到了poor.underling@stackexchange.com。根据 2020 年 8 月 22 日的 CEO 备忘录,在 8 日试图冒充我们的高管之后,这声称来自 CEO,但没有使用她的公司电子邮件,这是唯一允许用于内部沟通的电子邮件。 19/2020 并诈骗公司数百万美元。
并通知被冒充者到公司的电子邮件地址(这样,如果它确实是由那个人发送的,就不能声称你默默地过滤了电子邮件,并且是自动的,没有人需要加紧打电话给他们的不当行为)。出于实际原因,我建议还包括每个用户的白名单(您可以在其中找到那些不断忘记此规则的高管的实际个人地址)。
(*) 明显的例外情况是,在被分配电子邮件地址之前,或者在 COVID 在家工作措施的情况下,如果他们阻止了他们的帐户,则与帮助台进行通信(明显的危险是帮助台不得试图冒充员工)。您的律师可能会给您一千个理由不与您无法控制的账户共享公司信息。
至于第二个问题,新员工可能已经泄露了: