Huijaussuojaus EOP:ssa

Artikkeli
03/08/2024
Koskee seuraavia::

✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Microsoft 365 -organisaatioissa, joiden postilaatikot ovat Exchange Online organisaatioissa tai erillisissä Exchange Online Protection (EOP) organisaatioissa ilman Exchange Online postilaatikoita, EOP sisältää ominaisuuksia, joiden avulla voit suojata organisaatiosi huijatuilta (taotuilta) lähettäjiltä.

Kun kyse on käyttäjien suojaamisesta, Microsoft ottaa tietojenkalastelun uhan vakavasti. Huijaus on yleinen tekniikka, jota hyökkääjät käyttävät. Spoofed-sanomat näyttävät olevan peräisin jostakin tai jostakin muusta kuin todellisesta lähteestä. Tätä tekniikkaa käytetään usein tietojenkalastelukampanjoissa, jotka on suunniteltu hankkimaan käyttäjän tunnistetiedot. Spoofingin torjuntatekniikka EOP:ssa tutkii erityisesti viestin leipätekstin Lähettäjä-otsikon väärennystä, koska kyseinen otsikkoarvo on sähköpostiasiakkaissa näytettävä viestin lähettäjä. Kun EOP luottaa hyvin, että Lähettäjä-otsikko on taottu, viesti tunnistetaan huijatuksi.

Seuraavat huijaustorjuntatekniikat ovat käytettävissä EOP:ssa:

Sähköpostin todennus: Olennainen osa mitä tahansa huijauksen vastaista työtä on SPF-, DKIM- ja DMARC-tietueiden sähköpostitodennuksen (kutsutaan myös sähköpostin vahvistukseksi) käyttö DNS:ssä. Voit määrittää nämä tietueet toimialueillesi, jotta kohdesähköpostijärjestelmät voivat tarkistaa niiden viestien kelpoisuuden, jotka väittävät olevansa toimialueiden lähettäjiltä. Saapuvissa viesteissä Microsoft 365 edellyttää lähettäjätoimialueiden sähköpostitodennusta. Lisätietoja on artikkelissa Sähköpostin todennus Microsoft 365:ssä.

EOP analysoi ja estää viestit sähköpostin vakiotodennusmenetelmien ja lähettäjän mainetekniikoiden yhdistelmän perusteella.
Spoof Intelligence Insight: Tarkastele havaittuja huijattuja viestejä lähettäjiltä sisäisillä ja ulkoisilla toimialueilla viimeisten seitsemän päivän aikana. Lisätietoja on artikkelissa Spoof Intelligence Insight in EOP.
Salli tai estä huijattuja lähettäjiä Palveltavan kohteen salli/estä-luettelossa: Kun ohitat spoof intelligence insight -toiminnon tuomion, huijatusta lähettäjästä tulee manuaalinen sallittujen tai estettyjen merkintä, joka näkyy vain Spoofed-lähettäjät-välilehdelläVuokraajan salliminen/estä Lists -sivulla osoitteessa https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Voit myös luoda manuaalisesti sallittuja tai estettyjä merkintöjä huijareiden lähettäjille, ennen kuin tietoja ei tunnisteta. Lisätietoja on vuokraajan sallittujen ja estettyjen luettelossa kohdassa Huijatut lähettäjät.
Tietojenkalastelun torjuntakäytännöt: EOP:ssa ja Microsoft Defender for Office 365 tietojenkalastelun torjuntakäytännöt sisältävät seuraavat tietojenkalastelun torjunta-asetukset:
- Ota tietoja koskeva spoof-toiminto käyttöön tai poista se käytöstä.
- Ota todentamattomat lähettäjäilmaisimet käyttöön tai poista ne käytöstä Outlookissa.
- Määritä estettyjen huijattujen lähettäjien toiminto.
Lisätietoja on tietojenkalastelun torjuntakäytäntöjen kohdassa Huijausasetukset.

Defender for Office 365 tietojenkalastelun torjuntakäytännöt sisältävät lisäsuojauksia, kuten tekeytymissuojan. Lisätietoja on artikkelissa Tietojenkalastelun torjuntakäytäntöjen yksinoikeusasetukset Microsoft Defender for Office 365.
Spoof Detections -raportti: Lisätietoja on ohjeaiheessa Spoof Detections -raportti.

Defender for Office 365 organisaatiot voivat myös tarkastella tietojenkalasteluyritysten tietoja reaaliaikaisten tunnistusten (palvelupaketti 1) tai Uhkien hallinta (palvelupaketti 2) avulla. Lisätietoja on artikkelissa Microsoft 365:n uhkatutkimus ja -vastaus.

Vihje

On tärkeää ymmärtää, että yhdistelmätodennusvirhe ei suoraan estä viestiä. Järjestelmämme käyttää kokonaisvaltaista arviointistrategiaa, joka ottaa huomioon viestin yleisen epäilyttävän luonteen yhdessä yhdistelmätodennustulosten kanssa. Tämä menetelmä on suunniteltu pienentämään riskiä estää virheellisesti laillinen sähköposti toimialueilta, jotka eivät ehkä noudata tiukasti sähköpostin todennusprotokollia. Tämä tasapainoinen lähestymistapa auttaa erottamaan aidon pahantahtoiset sähköpostiviestit viestien lähettäjistä, jotka eivät yksinkertaisesti noudata tavallisia sähköpostin todennuskäytäntöjä.

Miten huijausta käytetään tietojenkalasteluhyökkäyksissä

Viestien huijatuilla lähettäjillä on seuraavat kielteiset vaikutukset käyttäjiin:

Petos: Viestien lähettäjät saattavat huijata vastaanottajaa valitsemaan linkin ja antamaan tunnistetietonsa, lataamaan haittaohjelmia tai vastaamaan viestiin, jossa on arkaluontoista sisältöä (tunnetaan nimellä yrityssähköpostin kompromissi tai BEC).

Seuraava viesti on esimerkki tietojenkalastelusta, joka käyttää huijattua lähettäjää msoutlook94@service.outlook.com:

Tämä viesti ei tullut service.outlook.com, mutta hyökkääjä on huijannut Lähettäjä-otsikkokenttää, jotta se näyttäisi samalta kuin se oli. Lähettäjä yritti huijata vastaanottajaa valitsemaan vaihda salasana - linkin ja antamaan heidän tunnistetietonsa.

Seuraava viesti on esimerkki BEC:stä, joka käyttää huijattua sähköpostitoimialuetta contoso.com:

Viesti näyttää lailliselta, mutta lähettäjä on huijattu.
Sekaannusta: Jopa käyttäjillä, jotka tietävät tietojenkalastelusta, voi olla vaikeuksia nähdä oikeiden viestien ja viestien väliset erot huijatuilta lähettäjiltä.

Seuraava viesti on esimerkki todellisesta salasanan palautusviestistä Microsoft Security -tililtä:

Viesti todella tuli Microsoftilta, mutta käyttäjien on ehdotettu olevan epäilyttäviä. Koska todellisen salasanan palautusviestin ja väärennetyn viestin välinen ero on vaikea, käyttäjät saattavat ohittaa viestin, ilmoittaa sen roskapostiksi tai ilmoittaa viestin tarpeettomasti Microsoftille tietojenkalasteluna.

Erilaisia huijaustyyppejä

Microsoft erottaa toisistaan kaksi erityyppistä huijattua lähettäjää viesteissä:

Organisaationsisäinen huijaus: Tunnetaan myös itse-itse-huijauksena . Esimerkki:
- Lähettäjä ja vastaanottaja ovat samalla toimialueella:
  
  Lähettäjä: chris@contoso.com
  Kohteeseen: michelle@contoso.com
- Lähettäjä ja vastaanottaja ovat saman toimialueen alitoimialueilla:
  
  Lähettäjä: laura@marketing.fabrikam.com
  Kohteeseen: julia@engineering.fabrikam.com
- Lähettäjä ja vastaanottaja ovat eri toimialueilla, jotka kuuluvat samaan organisaatioon (eli molemmat toimialueet on määritetty saman organisaation hyväksytyiksi toimialueiksi ):
  
  Lähettäjä: lähettäjä @ microsoft.com
  Vastaanottaja: @ bing.com
  
  Sähköpostiosoitteissa käytetään tiloja pasuunankorjuun estämiseksi.
Viestit, jotka epäonnistuvat yhdistelmätodennuksen takia organisaationsisäisen spoofingin vuoksi, sisältävät seuraavat otsikkoarvot:

Authentication-Results: ... compauth=fail reason=6xx

X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11
- reason=6xx ilmaisee organisaationsisäistä huijausta.
- SFTY on viestin turvallisuustaso. 9 tarkoittaa tietojenkalastelua, .11 tarkoittaa organisaation sisäistä huijausta.
Toimialueiden välinen huijaus: Lähettäjän ja vastaanottajan toimialueet ovat erilaiset, eikä niillä ole yhteyttä toisiinsa (kutsutaan myös ulkoisiksi toimialueiksi). Esimerkki:

Lähettäjä: chris@contoso.com
Kohteeseen: michelle@tailspintoys.com

Viestit, jotka epäonnistuvat yhdistelmätodennuksen vuoksi toimialueiden välisen huijauksen vuoksi, sisältävät seuraavat otsikkoarvot:

Authentication-Results: ... compauth=fail reason=000/001

X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22
- reason=000 ilmaisee, että viestin eksplisiittinen sähköpostitodennus epäonnistui. reason=001 ilmaisee, että viestin implisiittinen sähköpostin todennus epäonnistui.
- SFTY on viestin turvallisuustaso. 9 tarkoittaa tietojenkalastelua, .22 tarkoittaa toimialueiden välistä huijausta.
Lisätietoja todentamistuloksista ja compauth arvoista on kohdassa Todennustulosten viestien otsikkokentät.

Ongelmia huijaussuojauksessa

Postitusluetteloilla (joita kutsutaan myös keskusteluluetteloiksi) tiedetään olevan ongelmia huijauksen vastaisessa suojauksessa, koska viestejä lähetetään edelleen ja muokataan.

Esimerkiksi Gabriela Laureano (glaureano@contoso.com) on kiinnostunut lintujen tarkkailusta, liittyy postitusluetteloon birdwatchers@fabrikam.comja lähettää seuraavan viestin luetteloon:

Lähettäjä: "Gabriela Laureano" <glaureano@contoso.com>
Kohteeseen: Lintukellon keskusteluluettelo <birdwatchers@fabrikam.com>
Aihe: Upea katselu sinisillä jayilla Mt: n yläosassa. Rainier tällä viikolla
Kaikki, jotka haluavat tutustua tämän viikon katseluun Mt. Rainier?

Postitusluettelopalvelin vastaanottaa viestin, muokkaa sen sisältöä ja toistaa sen luettelon jäsenille. Toistetulla viestillä on sama Lähettäjä-osoite (glaureano@contoso.com), mutta aiheriville lisätään tunniste ja viestin alareunaan lisätään alatunniste. Tämän tyyppinen muokkaus on yleinen postitusluetteloissa, ja se voi johtaa vääriin positiivisiin säilön positiivisiin puoliin.

Lähettäjä: "Gabriela Laureano" <glaureano@contoso.com>
Kohteeseen: Lintukellon keskusteluluettelo <birdwatchers@fabrikam.com>
Aihe: [BIRDWATCHERS] Loistava katselu sinisillä jayilla Mt: n yläosassa. Rainier tällä viikolla
Kaikki, jotka haluavat tutustua tämän viikon katseluun Mt. Rainier?
Tämä viesti lähetettiin Lintuharrastajien keskusteluluetteloon. Voit peruuttaa tilauksen milloin tahansa.

Jos haluat, että luetteloviestit läpäisevät teonestotarkistuksia, toimi seuraavasti sen mukaan, hallitsetko postitusluetteloa:

Organisaatiosi omistaa postitusluettelon:
- Tarkista usein kysytyt kysymykset kohdasta DMARC.org: Käytän postitusluetteloa ja haluan tehdä yhteistyötä DMARC:n kanssa, mitä minun pitäisi tehdä?.
- Lue blogikirjoituksen ohjeet: Vihje postitusluettelo-operaattoreille, jotka toimivat yhdessä DMARC:n kanssa virheiden välttämiseksi.
- Harkitse päivitysten asentamista postituslistapalvelimeen ARC:n tukemiseksi. Lisätietoja: katso http://arc-spec.org.
Organisaatiosi ei omista postitusluetteloa:
- Pyydä postitusluettelon ylläpidäjää määrittämään sähköpostin todennus toimialueelle, josta postitusluettelo välittää. Omistajat toimivat todennäköisemmin, jos tarpeeksi paljon jäseniä pyytää heitä määrittämään sähköpostitodennuksen. Vaikka Microsoft tekee myös yhteistyötä toimialueiden omistajien kanssa vaadittujen tietueiden julkaisemiseksi, se auttaa vielä enemmän, kun yksittäiset käyttäjät pyytävät sitä.
- Luo Sähköposti-asiakasohjelmassa Saapuneet-kansion säännöt viestien siirtämiseksi Saapuneet-kansioon.
- Palveltavien kohteiden sallittujen ja estettyjen luettelon avulla voit luoda postitusluettelolle sallitun merkinnän, jotta sitä voidaan pitää laillisena. Lisätietoja on ohjeaiheessa Salli merkintöjen luominen huijatuille lähettäjille.

Jos kaikki muu epäonnistuu, voit ilmoittaa viestin positiiviseksi false-arvoksi Microsoftille. Lisätietoja on kohdassa Raporttiviestit ja tiedostot Microsoftille.

Huomioitavaa huijaussuojauksessa

Jos olet järjestelmänvalvoja, joka lähettää viestejä Microsoft 365:een, sinun on varmistettava, että sähköpostisi todennetaan oikein. Muussa tapauksessa se voidaan merkitä roskapostiksi tai tietojenkalasteluksi. Lisätietoja on artikkelissa Sähköpostin todennusvirheiden välttäminen lähetettäessä sähköpostia Microsoft 365:een.

Yksittäisten käyttäjien (tai järjestelmänvalvojien) turvallisten lähettäjien luetteloiden lähettäjät ohittavat suodatuspinon osat, mukaan lukien huijaussuojauksen. Lisätietoja on artikkelissa Outlookin turvalliset lähettäjät.

Jos mahdollista, järjestelmänvalvojien tulee välttää sallittujen lähettäjäluetteloiden tai sallittujen toimialueluetteloiden käyttämistä roskapostin vastaisissa käytännöissä. Nämä lähettäjät ohittavat suurimman osan suodatuspinosta (erittäin luotettava tietojenkalastelu ja haittaohjelmaviestit ovat aina karanteenissa). Lisätietoja on kohdassa Sallittujen lähettäjäluetteloiden tai sallittujen toimialueluetteloiden käyttäminen.