Phishing w wykonaniu Korei Północnej. Luki w konfiguracji

SPF, DKIM i DMARC to podstawa bezpieczeństwa e-maili. Zastosowanie tych technik pozwala na ograniczenie ataków phishingowych. Implementacja tych rozwiązań leży po stronie właściciela danej domeny, przez co nie każda organizacja jest odpowiednio zabezpieczona. Cyberprzestępcy wykorzystują ten fakt w starannie przygotowanych atakach phishingowych.

Kim są atakujący?

Za kampanię odpowiedzialne jest Kimsuky, które ostatnio zasłynęło z skomplikowanego ataku na aktualizacje oprogramowania antywirusowego. Grupa działa na zlecenie władz Korei Północnej i znana jest również jako APT43.

Amerykański raport odnośnie ataku

Zgodnie z raportem trzech wspomnianych agencji, Kimsuky atakowało przede wszystkim organizacje, które nie wdrożyły odpowiednich polityk DMARC. Pozwalało to atakującym na podszywanie się pod odpowiednie osoby.

W raporcie znajdują się przykładowe wiadomości wysłane przez atakujących. Widać w nich typowe dla phishingu błędy językowe.

Załączono również przykładowe nagłówki maili. Widać w nich również to, że w niektórych przypadkach APT43 udało się skutecznie podszyć pod dane organizacje.

Rekomendacje bezpieczeństwa

Zalecenia są stosunkowo proste. Aby uniknąć tego rodzaju ataków, należy prawidłowo skonfigurować polityki SPF, DKIM i przede wszystkim DMARC.

Jeżeli DMARC ustawiony jest na p=none, nie pełni żadnej roli w odpieraniu ataków phishingowych, ponieważ taki mail trafi docelowo do skrzynki mailowej.

Zgodnie z zaleceniami z raportu, DMARC powinien być ustawiony na p=quarantine lub p=reject, ponieważ dzięki temu dany mail nie trafi do skrzynki odbiorczej. Zależnie od wartości parametru dana wiadomość trafi do spamu lub zostanie odrzucona.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].