Почти все 10 ведущих университетов США, Великобритании и Австралии подвергают своих студентов, преподавателей и сотрудников риску компрометации электронной почты, не блокируя злоумышленников от спуфинга доменов электронной почты учебных заведений.
Согласно отчету, опубликованному во вторник компанией по обеспечению безопасности предприятий Доказательствоуниверситеты в Соединенных Штатах подвергаются наибольшему риску с самым низким уровнем защиты, за ними следуют Великобритания, затем Австралия.
Отчет основан на анализе записей проверки подлинности, отчетности и соответствия сообщений на основе домена (DMARC) в школах. DMARC — это протокол проверки электронной почты с почти десятилетней историей, используемый для аутентификации домена отправителя перед доставкой сообщения электронной почты по назначению.
Протокол предлагает три уровня защиты — мониторинг, карантин и самый сильный уровень — отклонение. В отчете говорится, что ни в одном из ведущих университетов ни в одной из стран не был включен уровень защиты от отказа.
«Высшие учебные заведения хранят массу конфиденциальных личных и финансовых данных, возможно, больше, чем любая отрасль за пределами здравоохранения», — заявил в своем заявлении исполнительный вице-президент Proofpoint по стратегии кибербезопасности Райан Калембер.
«Это, к сожалению, делает эти учреждения очень привлекательной мишенью для киберпреступников», — продолжил он. «Пандемия и быстрый переход к дистанционному обучению еще больше обострили проблемы кибербезопасности для высших учебных заведений и подвергли их значительным рискам со стороны вредоносных кибератак на основе электронной почты, таких как фишинг».
Барьеры для принятия DMARC
Университеты не одиноки в плохой реализации DMARC.
Недавний анализ 64 миллионов доменов по всему миру, проведенный Красное просеивание, лондонский производитель интегрированной платформы электронной почты и защиты бренда, обнаружил, что только 2,1% доменов используют DMARC. Более того, только 28% всех публичных компаний в мире полностью внедрили протокол, а 41% включили его только на базовом уровне.
Может быть ряд причин, по которым организация не использует DMARC. «Возможна неосведомленность о важности внедрения политик DMARC, а также то, что компании не в полной мере осведомлены о том, как начать внедрение протокола», — пояснил руководитель отдела решений и стратегии Proofpoint Industries Райан Уитт.
«Кроме того, — продолжил он, — отсутствие государственной политики по обязательному использованию DMARC может быть одним из факторов».
«Кроме того, — добавил он, — в условиях пандемии и текущей экономики организации могут изо всех сил пытаться преобразовать свою бизнес-модель, поэтому вероятными факторами также являются конкурирующие приоритеты и нехватка ресурсов».
Технология также может быть сложной в настройке. «Для этого требуется возможность публиковать записи DNS, что требует системного и сетевого администрирования», — пояснил Крейг Лурей, технический директор и соучредитель Хранитель безопасностипоставщик программного обеспечения кибербезопасности с нулевым доверием и нулевым разглашением, в Чикаго.
Кроме того, он сказал TechNewsWorld: «Для правильной реализации DMARC требуется несколько уровней настройки. Необходимо внимательно следить за этим во время реализации политики и развертывания, чтобы гарантировать, что действующая электронная почта не будет заблокирована».
Нет пули для спуфинга
Николь Хоффман, старший аналитик по киберугрозам Цифровые тени, поставщик решений для защиты от цифровых рисков в Сан-Франциско, согласился с тем, что внедрение DMARC может оказаться непростой задачей. «При неправильной реализации это может сломать что-то и прервать бизнес-операции», — сказала она TechNewsWorld.
«Некоторые организации нанимают третьих лиц для помощи во внедрении, но для этого требуются финансовые ресурсы, которые необходимо утвердить», — добавила она.
Она предупредила, что DMARC не защитит от всех типов спуфинга доменов электронной почты.
«Если вы получите электронное письмо, которое выглядит как письмо от Боба из Google, но на самом деле оно отправлено из почты Yahoo, DMARC обнаружит это», — пояснила она. «Однако, если злоумышленник зарегистрировал домен, очень похожий на домен Google, например Googl3, DMARC его не обнаружит».
Неиспользуемые домены также могут быть способом уклониться от DMARC. «Домены, которые зарегистрированы, но не используются, также подвержены риску спуфинга домена электронной почты», — пояснил Лурей. «Даже если организации внедрили DMARC на своем основном домене, неспособность включить DMARC на неиспользуемых доменах делает их потенциальными целями для спуфинга».
Уникальные вызовы университетов
Университеты могут столкнуться с собственным набором трудностей, когда дело доходит до внедрения DMARC.
«Во многих случаях в университетах нет централизованного ИТ-отдела, — сказал TechNewsWorld старший директор Red Sift по международным каналам Брайан Вестнедж. «В каждом колледже есть собственный ИТ-отдел, работающий обособленно. Это может затруднить внедрение DMARC в организации, потому что каждый делает что-то свое с электронной почтой».
Витт добавил, что постоянно меняющееся количество студентов в университетах в сочетании с культурой открытости и обмена информацией может противоречить правилам и средствам контроля, часто необходимым для эффективной защиты пользователей и систем от атак и компрометации.
Кроме того, продолжил он, многие академические учреждения имеют связанную систему здравоохранения, поэтому им необходимо соблюдать меры контроля, связанные с регулируемой отраслью.
Финансирование также может быть проблемой в университетах, отметил Джон Бамбенек, главный охотник за угрозами в Нетенрих, компания из Сан-Хосе, штат Калифорния, занимающаяся операциями в области ИТ и цифровой безопасности. «Самые большие проблемы для университетов — это низкое финансирование групп безопасности — если они у них есть — и низкое финансирование ИТ-групп в целом», — сказал он TechNewsWorld.
«Университеты не очень хорошо платят, поэтому отчасти это связано с пробелами в знаниях», — сказал он.
«Во многих университетах также существует культура против реализации любых политик, которые могут помешать исследованиям», — добавил он. «Когда я работал в университете 15 лет назад, были нокаутирующие затяжные бои против обязательного антивируса на рабочих станциях».
Дорогая проблема
Марк Арнольд, вице-президент по консультационным услугам в ларыконсалтинговая фирма по информационной безопасности из Денвера, отметила, что спуфинг домена представляет собой серьезную угрозу для организаций и метод выбора злоумышленников для выдачи себя за компании и сотрудников.
«Модели организационных угроз должны учитывать эту распространенную угрозу», — сказал он TechNewsWorld. «Внедрение DMARC позволяет организациям фильтровать и проверять сообщения и помогает предотвращать фишинговые кампании и другие компрометации корпоративной электронной почты».
Компрометация деловой электронной почты (BEC), вероятно, является самой дорогостоящей проблемой во всей кибербезопасности, утверждает Витт. По данным ФБР, в период с июня 2016 года по декабрь 2021 года похитители BEC потеряли 43 миллиарда долларов.
«Большинство людей не осознают, насколько необычайно легко подделать электронную почту, — сказал Уитт. «Любой может отправить электронное письмо BEC намеченной цели, и вероятность того, что оно будет доставлено, высока, особенно если олицетворяемая организация не аутентифицирует свою электронную почту».
«Эти сообщения часто не содержат вредоносных ссылок или вложений, что позволяет обойти традиционные решения по обеспечению безопасности, которые анализируют сообщения на наличие этих признаков», — продолжил он. «Вместо этого электронные письма просто отправляются с текстом, предназначенным для того, чтобы заставить жертву действовать».
«Спуфинг домена и его двоюродный брат опечатка — самые простые плоды для киберпреступников», — добавил Бамбенек. «Если вы можете заставить людей нажимать на ваши электронные письма, потому что они выглядят так, как будто они исходят из их собственного университета, вы получаете более высокий рейтинг кликов и, как следствие, больше потерь от мошенничества, украденных учетных данных и успешных киберпреступлений».
«В последние годы, — сказал он, — злоумышленники крали возмещение финансовой помощи студентам. Здесь преступники зарабатывают большие деньги».
