El auge del phishing durante semanas de emergencia: mejores prácticas y autenticación para defenderse

¿Por qué están aumentando los intentos de abuso? Porque, ahora mismo, los destinatarios son más vulnerables. Veamos los pasos que pueden tomar las empresas y las ventajas de los sistemas DKIM, DMARC y, en el futuro, BIMI.

Los ciberdelincuentes siempre intentan aprovechar los tiempos difíciles para transmitir sus fraudes , ya sea phishing , estafas u otros tipos de abuso. Las semanas que hemos estado viviendo no son una excepción.

¿Cuál es la base de este "impulso" de los ciberdelincuentes? Esperan que un filtro de recepción se afloje durante estas semanas, lo cual es una hipótesis sin fundamento, y que los destinatarios se vuelvan más vulnerables e inclinados a interactuar con las comunicaciones en su bandeja de entrada.

Esta segunda hipótesis está realmente fundada, como se muestra en nuestra publicación de blog anterior. Allí, informamos cómo las tasas de apertura y los clics de marzo fueron significativamente más altos que los promedios del resto del año.

Siempre hemos estado a la vanguardia de la lucha contra todo tipo de abuso por correo electrónico, contribuyendo a la discusión y haciendo todo lo posible para evitar la propagación de comunicaciones fraudulentas. Hoy, queremos darle una idea más precisa de cómo son los intentos de phishing, además de algunas indicaciones sobre cómo hacer frente al ciberdelito .

MailUp ha construido relaciones sólidas y globales con ISP y listas negras a lo largo de los años. Todos compartimos constantemente información sobre políticas, prácticas y problemas. Cualquiera que desee ayudar a MailUp a brindar un mejor servicio o colaborar es bienvenido. Por favor, escríbanos a [email protected] .

Casos de phishing reportados durante la emergencia actual

Nos hemos dado cuenta de numerosos intentos de abuso, incluso si no afectaron la infraestructura MailUpin. Estos se pueden agrupar en dos categorías macro :

1. Intentos de phishing disfrazados de comunicaciones institucionales . Encontrará varios ejemplos de tales intentos en esta publicación.

2. Malware transmitido a través de un sitio similar al mapa de infecciones de la Universidad Johns Hopkins.

Nuestros amigos de SpamHaus resumieron la situación general en esta publicación de blog.

Mejores prácticas para defenderse del phishing

Aunque con la conciencia de que el phishing no se puede resolver por completo, echemos un vistazo a las mejores prácticas que pueden desalentar (si no prevenir ) este tipo de problema:

1. Intente siempre que su identidad de marca sea ​​reconocible en los mensajes que envía. Esto puede parecer trivial pero no lo es: aquellos que hacen phishing, incluso si intentan replicar su logotipo, nunca pueden copiar al 100% todos los detalles que forman parte de su identidad digital.
2. No utilice dominios "parecidos" o "primos" en sus comunicaciones oficiales. Si los destinatarios pueden esperar recibir comunicaciones de dominios como "brandname-email.com", entonces podrían considerar erróneamente dominios legítimos que no lo son (p. Ej., "Brand-name-email.com" o "brandname-mail.com"). Utilice siempre su dominio y, si desea diferenciar los flujos, adopte subdominios (email.brandname.com), como se indica en las mejores prácticas publicadas por el M3AAWG.
3. Tenga en cuenta qué dominio se utiliza en la firma DKIM y, si es posible, intente alinear este dominio con el que utiliza como remitente.
4. Publique una política DMARC apropiada (cuarentena / rechazo) para salvaguardar la reputación de sus dominios. Aunque los atacantes seguirán utilizando dominios similares, sus posibilidades de engañar a los destinatarios se reducirán significativamente. Además, esto lo preparará para aprovechar al máximo las noticias del ecosistema de marketing por correo electrónico (BIMI, por ejemplo) en el futuro.

¿Se pregunta qué significan las abreviaturas DKIM, DMARC y BIMI? Vamos a arrojar algo de luz sobre esto.

Autenticaciones: que son y para que sirven

DKIM

DKIM (acrónimo de DomainKeys Identified Mail) es un sistema de autenticación de correo electrónico. Al agregar una firma encriptada , los receptores pueden verificar si el mensaje ha sido alterado , al menos en sus campos fundamentales, entre el envío y la recepción.

Es decir, nuestra clave pública DKIM debe agregarse a la configuración de su dominio web y se agrega una firma específica a todos los correos electrónicos que le enviamos.
El cifrado de esta firma se basa en algunos elementos de cada correo electrónico enviado y, por tanto, es único para cada mensaje. Al analizar su correo electrónico, el servidor de correo receptor descifrará la firma con la clave pública antes mencionada. Luego generará una cadena newhash basada en los mismos elementos. El correo electrónico se considerará autenticado por DKIM, si hay una coincidencia entre la firma descifrada y la nueva cadena hash. Aquí hay un ejemplo de firma DKIM:

Firma DKIM: v = 1; a = rsa-sha256; c = relajado / relajado; s = transaccional; d = mailup.com ;
h = Desde: Hasta: Fecha: Asunto: Versión MIME: Tipo de contenido: Id. de lista: Cancelar suscripción de lista: Id. de mensaje; [email protected];
bh = eFMbGLxi / 7mcdDRUg + V0yHUTmA1F4EXExVBQxIxBr2I =;
b = ra3pGFHHvCr9OZsm9vnOid …… ..Yj00 / + nTKs =

Si el mensaje tiene una firma válida (es decir, no manipulada), entonces el dominio de firma, identificado por la etiqueta d =, comunicará quién es usted a los destinatarios que luego manejarán el correo en consecuencia. Los sistemas de evaluación de la reputación de los principales proveedores de buzones de correo han otorgado cada vez más peso a este identificador en comparación con otros (por ejemplo, la IP). Actualmente, algunos proveedores (como Gmail) permiten monitorear la reputación en base a este identificador. En resumen, esto se ha convertido en un elemento obligatorio para la entrega de comunicaciones.

La configuración de DKIM ocurre a través de la configuración de registros DNS. Esta no es una operación difícil. Sin embargo, es imposible tener una firma personalizada estándar para todos los clientes precisamente porque tener una firma DKIM es obligatorio.

Por esta razón, todos los ESP principales utilizan una o más firmas de sus dominios de servicio. Esto garantiza el cumplimiento de las mejores prácticas, pero produce una especie de "reputación compartida" entre todos los clientes de ese grupo. Ahora bien, esto puede no ser óptimo en ciertos casos (especialmente si algunos clientes tienen volúmenes mucho mayores o tienen un rendimiento menor que otros).

Por este motivo, la plataforma MailUp ofrece la posibilidad de utilizar su propio dominio como firma DKIM. Estamos disponibles para todos los clientes a través de nuestra consultoría de entregabilidad para aquellos que buscan más información o necesitan ayuda para configurar los registros DKIM.

Proteja sus correos

¿Aún no eres cliente de MailUp? Contáctanos

DMARC

Básicamente, DMARC permite al propietario de un dominio, que también es el remitente de los mensajes de correo electrónico, solicitar a los proveedores de correo electrónico que no entreguen mensajes no autorizados que parezcan provenir de su dominio . Como habrás adivinado, este es un mecanismo útil para prevenir ataques de phishing y spoofing.

Desde un punto de vista técnico, DMARC (Autenticación de mensajes, informes y conformidad basados ​​en el dominio) es un sistema basado en la autenticación DKIM y SPF que ayuda a los servidores receptores (por ejemplo, Gmail, Yahoo, Libero, etc.) a saber qué hacer cuando se puede enviar un mensaje. 't embellecido . Para hacerlo, permite que el remitente del correo electrónico publique una “ política ” para instruir a los servidores receptores sobre cómo manejar cualquier problema de autenticación. Además, DMARC proporciona un mecanismo de información para las acciones tomadas, basado en la política. De esta manera, coordina los resultados de DKIM y SPF y especifica en qué circunstancias la dirección de correo electrónico del remitente, que a menudo es visible para el destinatario final, puede considerarse legítima.

Las instituciones financieras y otras empresas sujetas a ataques de suplantación de identidad y suplantación de identidad pueden protegerse mejor mediante la implementación de una política DMARC.

La configuración incorrecta de un registro DMARC puede tener un efecto sustancialmente negativo en la capacidad de entrega, no solo para los correos electrónicos enviados a través de nosotros, sino también para todas las comunicaciones enviadas por un dominio habilitado para DMARC (por ejemplo, correos electrónicos de los empleados a receptores externos). Es decir, le recomendamos que consulte a un experto en capacidad de entrega para una implementación adecuada de la política DMARC.

BIMI

BIMI (Indicadores de marca para la identificación de mensajes) representa el futuro cercano del marketing por correo electrónico.

Actualmente, ha sido adoptado solo por Verizon Media Group (en otras palabras, Yahoo! Y AOL) pero con un compromiso de Google. BIMI es un estándar independiente del proveedor que permite a las marcas mostrar su logotipo verificado en la bandeja de entrada del destinatario para correos electrónicos completamente autenticados (DMARC).

BIMI alienta a las principales marcas a adoptar una autenticación de correo electrónico adecuada, en particular DMARC, cuando envían mensajes masivos a los consumidores. Los remitentes que se comprometen a implementar DMARC son recompensados ​​con la exhibición de su logotipo . Esto mejora tanto el reconocimiento como la confianza.

En resumen

Como habrás notado, nuestro consejo es tomar el control con anticipación. Estamos seguros de que esta serie de implementaciones está destinada a dar frutos en términos de protección contra abusos y calidad de envío.

De hecho, no basta con enviar. El spam, las bases de datos obsoletas y la configuración incorrecta pueden reducir la tasa de entrega y dañar la reputación de su marca. Para protegerse de los riesgos , puede contar con los servicios de Deliverability Suite. Sus configuraciones personalizadas y monitoreo constante siempre mantendrán su capacidad de entrega segura.