64亿封假邮件、120亿美元损失 虚假电子邮件困扰全球
根据最新报告显示,虚假电子邮件的日发送量已经高达64亿封——大多数行业在保护自身免受虚假电子邮件欺诈方面的能力也取得了渐进式的进展——尤其是美国政府,作为虚假电子邮件最大的来源国,其在打击虚假电子邮件方面也展示了超强的领导能力。
美国时间2018年8月22日,世界上唯一的全自动电子邮件身份验证服务提供商Valimail,宣布了其关于电子邮件欺诈状况的最新季度研究结果。
《Valimail Q2 2018年电子邮件欺诈全景》报告显示,虚假电子邮件仍然是一个非常严重的问题,目前,全球虚假电子邮件的日发送量估计已高达64亿封。
这一总数还仅仅包含了精确域(exact-domain)发件人欺诈,在这种形式中,发件人会在“From”(邮件来源)一栏中放入虚假的电子邮件地址。这是最难检测且极具破坏性的虚假电子邮件类型之一。例如,联邦调查局(FBI)最近报告称,过去几年中,企业电子邮件诈骗(BEC诈骗)损失成本已达到120亿美元。所谓“BEC诈骗”,即通过冒充/盗用决策者的邮件,来下达与资金、利益相关的指令。
FBI还总结并公布了几种常见的BEC欺诈手段:
1. 公司高管类型
罪犯冒充或黑了公司高管(比如首席信息官和首席财务官)的电子邮箱,指示下属向欺诈账户电汇款项。
2. 数据和报税表盗窃类型
罪犯以被黑公司高管电邮账户,向公司负责保管报税表或其他个人可识别信息(PII)的人员,发送索要此类信息的邮件。
3. 房地产交易类型
罪犯在房产交易中冒充卖家、经纪人、过户公司或律所,要求买家向欺诈账户打钱。
4. 供应链类型
罪犯发送虚假请求,要求被害公司将未完成交易或发票应付款项打入钱骡或罪犯控制下的账户。
5. 律所类型
罪犯找出信托账户或诉讼案件,冒充律所客户将收款银行信息改为欺诈账户。
除此之外,Valimail的研究报告还揭示了虚假电子邮件问题的本质。报告指出,虚假电子邮件不仅仅是单纯的“社会工程”问题,而是电子邮件实施方式存在技术问题的直接结果:其缺乏内置的身份验证机制,使得发件人欺诈行为变得非常容易实现。
因此,想要解决虚假电子邮件危机也需要诉求于技术解决方案,建议用户可以从电子邮件身份验证标准DMARC、SPF以及DKIM入手。
Valimail首席执行官兼联合创始人AlexanderGarcía-Tobar表示,Valimail的研究表明,虚假电子邮件仍然是全球范围内的一个关键问题。不过好消息是,全球各行业在打击虚假电子邮件方面已经取得了令人鼓舞的进展。其中,美国联邦政府起到了非常重要的表率作用,以国土安全部(DHS)为例,他们已经部署了前所未有的“防冒名顶替”技术。
虽然,打击虚假电子邮件还有很长的路要走,但美国国土安全部的例子已经表明,阻止电子邮件冒名顶替对我们的最高机构而言至关重要,并且完全有能力实现。
据悉,为了完成该报告,Valimail公司使用了其分析的数十亿电子邮件身份验证请求的专有数据,以及超过300万个可公开访问的DMARC和SPF记录分析数据。
如今,在其最新发布的系列报告中,Valimail已经有能力展示全球各行各业在打击虚假电子邮件的斗争中所取得的突出成果。
值得注意的是,得益于美国国土安全部2017年10月的授权行为,美国联邦政府如今正在领导所有其他部门落实电子邮件身份验证标准DMARC的实践和执法。DMARC的全名是“基于域名的消息认证、报告和一致(Domain-based Message Authentication, Reporting & Conformance)”,它本身就是一个新的技术规范的名字,用来解决与电子邮件认证协议相关的运作、部署和报告的问题,从而降低电子邮件的滥用情况。
其实,相关的安全机制早就有了(例如SFP),而DMARC则是以既有的机制为基础,包括发送方策略框架(SFP),以及域名密钥识别邮件技术(DKIM),其中,SFP确认的是电子邮件发送方的IP地址,而DKIM则负责审查电子邮件的内容结构,从而使电子邮件的验证更快速、方便,也让发件方、收件方之间的合作更紧密。而且还有一个重点,它能让发件方、收件方在发现有问题的邮件时,有个统一的回执机制,让成员可以持续了解电子邮件滥用的手法。
根据Valimail最新调查数据显示,超过70%的联邦域名拥有DMARC记录,以及43%的联邦域名正在“以保护代理机构免受冒名欺诈的方式”进行配置。
该报告的其他主要调查结果还包括: