הגנה למניעת התחזות ב- EOP

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים עצמאיים של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, EOP כולל תכונות שיעזרו להגן על הארגון שלך מפני שולחים מזויפים (מזויפים).

כשמדובר בהגנה על המשתמשים שלה, Microsoft לוקחת ברצינות את האיום של דיוג. התחזות היא טכניקה נפוצה המשמשת תוקפים. נראה שהודעות התחזות הגיעו ממישהו או ממקום כלשהו שאינו המקור הממשי. שיטה זו משמשת לעתים קרובות בקמפיינים של דיוג שנועדו לקבל אישורי משתמש. הטכנולוגיה למניעת התחזות ב- EOP בודקת באופן ספציפי זייוף של הכותרת 'מ' בגוף ההודעה, מכיוון שערך כותרת זה הוא שולח ההודעה המוצג ללקוחות דואר אלקטרוני. כאשר ל- EOP יש ביטחון רב שהכותרת From מזויפת, ההודעה מזוהה כהודעה מזויפת.

הטכנולוגיות הבאות למניעת התחזות זמינות ב- EOP:

  • אימות דואר אלקטרוני: חלק בלתי נפרד מכל מאמץ למניעת התחזות הוא השימוש באימות דואר אלקטרוני (המכונה גם אימות דואר אלקטרוני) על-ידי רשומות SPF, DKIM ו- DMARC ב- DNS. באפשרותך לקבוע את התצורה של רשומות אלה עבור התחומים שלך כך שמערכות הדואר האלקטרוני המהוות יעד יוכלו לבדוק את התוקף של הודעות הטוענת כי הן מגיעות משולחים בתחום שלך. עבור הודעות נכנסות, Microsoft 365 דורש אימות דואר אלקטרוני עבור תחומי שולח. לקבלת מידע נוסף, ראה אימות דואר אלקטרוני ב- Microsoft 365.

    EOP מנתח וחסימות הודעות בהתבסס על השילוב של שיטות אימות דואר אלקטרוני סטנדרטיות וטכניקות מוניטין של שולח.

    בדיקת מניעת התחזות של EOP

  • תובנה של בינת התחזות: סקירה זוהתה הודעות התחזות משולחים בתחום פנימי וחיני במהלך שבעת הימים האחרונים. לקבלת מידע נוסף, ראה תובנות לגבי בינת התחזות ב- EOP.

  • התרה או חסימה של שולחים התחזות ברשימת התרה/חסימה של דייר: בעת עקיפת קביעת הדין בתובנות של בינת התחזות, השולח התחזות הופך לאפשר או לחסום ערך ידני שמופיע רק בכרטיסיה שולחים התחזים בדף Tenant Allow/Block רשימות ב- https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. באפשרותך גם ליצור באופן ידני ערכי התרה או חסימה עבור שולחי התחזות לפני שהם מזוהים על-ידי בינת התחזות. לקבלת מידע נוסף, ראה שולחים התחזים ברשימת הדיירים המותרים/החסומים.

  • מדיניות למניעת דיוג: ב- EOP וב- Microsoft Defender עבור Office 365, פריטי מדיניות למניעת דיוג מכילים את ההגדרות הבאות למניעת התחזות:

    • הפעלה או ביטול של בינת התחזות.
    • הפעלה או ביטול של מחווני שולח לא מאומתים ב- Outlook.
    • ציין את הפעולה עבור שולחים התחזים חסומים.

    לקבלת מידע נוסף, ראה הגדרות התחזות במדיניות למניעת דיוג.

    פריטי מדיניות למניעת דיוג ב- Defender עבור Office 365 מכילים הגנות נוספות, כולל הגנת התחזות. לקבלת מידע נוסף, ראה הגדרות בלעדיות במדיניות למניעת דיוג ב- Microsoft Defender עבור Office 365.

  • דוח זיהוי התחזות: לקבלת מידע נוסף, ראה דוח זיהוי התחזות.

    Defender עבור Office 365 ארגונים יכולים גם להשתמש בזיהויים בזמן אמת (תוכנית 1) או בסייר האיומים (תוכנית 2) כדי להציג מידע אודות ניסיונות דיוג. לקבלת מידע נוסף, ראה חקירה ותגובה של איומים של Microsoft 365.

עצה

חשוב להבין כי כשל באימות מורכב אינו גורמת ישירות לחסימות הודעה. המערכת שלנו משתמשת באסטרטגיית הערכה הוליסטית ששוקמת באופי החשוד הכולל של הודעה יחד עם תוצאות אימות מורכבות. שיטה זו מיועדת לצמצם את הסיכון לחסימת דואר אלקטרוני לגיטימי באופן שגוי מ תחומים שייתכן שלא יהיו תואמים באופן בלעדי לפרוטוקולים של אימות דואר אלקטרוני. גישה מאויתת זו מסייעת להבחין בין דואר אלקטרוני זדוני אמיתי לשולחי הודעות, ופשוט לא תואמים לנוהלי אימות הדואר האלקטרוני הסטנדרטיים.

כיצד נעשה שימוש בהתקפות דיוג

לשולחים התחזים בהודעות יש את ההשלכות השליליות הבאות עבור משתמשים:

  • הטעיה: הודעות משולחים התחזות עלולות לגרום לנמען לבחור קישור ולהוות את האישורים שלו, להוריד תוכנות זדוניות או להשיב להודעה עם תוכן רגיש (הידוע כסכנה בדואר אלקטרוני עסקי או BEC).

    ההודעה הבאה היא דוגמה של דיוג המשתמש בשולח התחזות msoutlook94@service.outlook.com:

    הודעת דיוג התחזות service.outlook.com.

    הודעה זו לא נשלחה מ- service.outlook.com, אך התוקף התחזת לשדה הכותרת 'מאת' כדי לגרום לה להיראות כאילו היא כן. השולח ניסה לגרום לנמען לבחור את הקישור לשינוי הסיסמה שלך ולספק את האישורים שלו.

    ההודעה הבאה היא דוגמה של BEC המשתמשת בתחום דואר אלקטרוני התחזות contoso.com:

    הודעת דיוג - דואר אלקטרוני עסקי בסכנה.

    ההודעה נראית חוקית, אך השולח הוא התחזות.

  • בלבול: גם משתמשים ה יודעים על דיוג עשויים להיתקל בקשיים בבחין בהבדלים בין הודעות אמיתיות לבין הודעות משולחים התחזים.

    ההודעה הבאה היא דוגמה להודעת איפוס סיסמה אמיתית מחשבון האבטחה של Microsoft:

    איפוס סיסמה חוקית של Microsoft.

    ההודעה אכן הגיע מ- Microsoft, אך המשתמשים הותנו להיות חשודים. מאחר שקשה להוסיף הודעה לאיפוס סיסמה אמיתית להודעה מזויפת, המשתמשים עשויים להתעלם מההודעה, לדווח על כך כדואר זבל או לדווח על ההודעה ל- Microsoft בדוג שלא לצורך.

סוגים שונים של התחזות

Microsoft מבדילה בין שני סוגים שונים של שולחים התחזים בהודעות:

  • התחזות אינטרא-ארגונית: נקראת גם התחזות עצמית . לדוגמה:

    • השולח והנמען נמצאים באותו תחום:

      מ: chris@contoso.com
      אל: michelle@contoso.com

    • השולח והנמען נמצאים בתחום משנה של אותו תחום:

      מ: laura@marketing.fabrikam.com
      אל: julia@engineering.fabrikam.com

    • השולח והנמען נמצאים תחומים שונים השייכים לאותו ארגון (לדוגמה, שני התחומים מוגדרים כתחום מקובל באותו ארגון):

      מאת: שולח @ microsoft.com
      אל: נמען @ bing.com

      שטחים משמשים בכתובות הדואר האלקטרוני כדי למנוע קצירת דואר זבל.

    הודעות הנכשלות באימות מורכב עקב התחזות בתוך הארגון מכילות את ערכי הכותרת הבאים:

    Authentication-Results: ... compauth=fail reason=6xx

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

    • reason=6xx מציין התחזות בתוך הארגון.

    • SFTY היא רמת הבטיחות של ההודעה. 9 מציין דיוג, .11 מציין התחזות בתוך הארגון.

  • התחזות בין תחומים: התחומים של השולח ושל הנמען שונים, שאין להם קשר גומלין זה לזה (נקראים גם תחומים חיצוניים). לדוגמה:

    מ: chris@contoso.com
    אל: michelle@tailspintoys.com

    הודעות הנכשלות באימות מורכב עקב התחזות בין תחומים מכילות את ערכי הכותרות הבאות:

    Authentication-Results: ... compauth=fail reason=000/001

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

    • reason=000 מציין שההודעה נכשלה באימות דואר אלקטרוני מפורש. reason=001 מציין שההודעה נכשלה באימות דואר אלקטרוני משתמע.

    • SFTY היא רמת הבטיחות של ההודעה. 9 מציין דיוג, .22 מציין התחזות בין תחומים.

    לקבלת מידע נוסף אודות אימות-תוצאות וערכיםcompauth, ראה שדות כותרת הודעה של תוצאות אימות.

בעיות בהגנה מפני התחזות

רשימות דיוור (שנקראות גם רשימות דיונים) ידועות כבעיות בהגנה למניעת התחזות בשל האופן שבו הן מעבירות ולשנות הודעות.

לדוגמה, Gabriela Laureano (glaureano@contoso.com) מעוניינת בצפייה בציפורים, birdwatchers@fabrikam.comמצטרפת לרשימת הדיוור ושולחת את ההודעה הבאה לרשימה:

מ: "מלון מעולה" <glaureano@contoso.com>
אל: רשימת הדיונים של צפר <birdwatchers@fabrikam.com>
נושא: צפייה נהדרת של עורבני כחולים בחלק העליון של הר. ריינייר השבוע

כל אחד רוצה לראות את הצפייה השבוע מהר. רנייה?

שרת רשימת הדיוור מקבל את ההודעה, משנה את התוכן שלו ומשתמש בו שוב לחברי הרשימה. ההודעה שהו השמעה חוזרת כוללת כתובת 'מ' זהה (glaureano@contoso.com), אך תגית נוספת לשורת הנושא, וכותרת תחתונה מתווספת לתחתית ההודעה. סוג זה של שינוי נפוץ ברשימות דיוור, והוא עלול לגרום לתוצאה חיובית מוטעית עבור התחזות.

מ: "מלון מעולה" <glaureano@contoso.com>
אל: רשימת הדיונים של צפר <birdwatchers@fabrikam.com>
נושא: [BIRDWATCHERS] צפייה מצוינת של עורבני כחולים בחלק העליון של הר. ריינייר השבוע

כל אחד רוצה לראות את הצפייה השבוע מהר. רנייה?

הודעה זו נשלחה לרשימת הדיונים של צפים. באפשרותך לבטל את המנוי בכל עת.

כדי לעזור להודעות ברשימת הדיוור לעבור את ההבדקות למניעת התחזות, בצע את השלבים בהתאם לשאלה אם אתה שולט ברשימת הדיוור:

  • הארגון שלך הוא הבעלים של רשימת הדיוור:

    • עיין ב שאלות DMARC.org: אני מפעיל רשימת דיוור ואני מעוניין לבצע פעולה הדדית עם DMARC, מה עליי לעשות?.
    • קרא את ההוראות בפרסום זה בבלוג: עצה עבור אופרטורים של רשימת דיוור לביצוע פעולה הדדית עם DMARC כדי להימנע מכשלים.
    • שקול להתקין עדכונים בשרת רשימת הדיוור כדי לתמוך ב- ARC. לקבלת מידע נוסף, ראה http://arc-spec.org.

  • הארגון שלך אינו הבעלים של רשימת הדיוור:

    • בקש מהמתחזק של רשימת הדיוור לקבוע תצורה של אימות דואר אלקטרוני עבור התחום שרשימת הדיוור ממסרת ממנו. יש להניח שהבעלים יתנהגו אם מספיק חברים יבקשו מהם להגדיר אימות דואר אלקטרוני. למרות ש- Microsoft עובדת גם עם בעלי תחומים כדי לפרסם את הרשומות הנדרשות, היא עוזרת אף יותר כאשר משתמשים בודדים מבקשים זאת.
    • Create כללי תיבת דואר נכנס בלקוח הדואר האלקטרוני שלך כדי להעביר הודעות לתיבת הדואר הנכנס.
    • השתמש ברשימת התרה/חסימה של דייר כדי ליצור ערך אפשר עבור רשימת הדיוור כדי להתייחס אליה כאל חוקית. לקבלת מידע נוסף, ראה Create מאפשרות ערכים עבור שולחים התחזים.

אם כל השאר נכשלים, באפשרותך לדווח על ההודעה כתוצאה חיובית מוטעית ל- Microsoft. לקבלת מידע נוסף, ראה דיווח על הודעות וקבצים ל- Microsoft.

שיקולים להגנה למניעת התחזות

אם אתה מנהל מערכת ששולח כעת הודעות ל- Microsoft 365, עליך לוודא כי הדואר האלקטרוני שלך מאומת כראוי. אחרת, ייתכן שהוא יסומן כדואר זבל או כדיוג. לקבלת מידע נוסף, ראה כיצד להימנע מכשלים באימות דואר אלקטרוני בעת שליחת דואר ל- Microsoft 365.

שולחים בשולחים בטוחים של משתמש בודד (או מנהל מערכת) מציגים רשימות עוקפות חלקים ממחסנית הסינון, כולל הגנה מפני התחזות. לקבלת מידע נוסף, ראה שולחים בטוחים של Outlook.

אם הדבר אפשרי, מנהלי מערכת צריכים להימנע משימוש ברשימות שולחים מותרים או מרשימות תחומים מותרות במדיניות למניעת דואר זבל. שולחים אלה עוקפים את רוב ערימת הסינון (הודעות דיוג ותוכנות זדוניות ברמת מהימנות גבוהה תמיד בהסגר). לקבלת מידע נוסף, ראה שימוש ברשימות שולחים מותרים או ברשימות תחומים מותרות.