SendGrid代表全球8万多个付费客户每天发送超过600亿条。作为全球大量合法电子邮件的发送者,我们必须了解并保护我们的客户的客户免受各种恶意消息攻击。
电子邮件可以说是当今使用最广泛的数字通信机制,由于它的流行性和开放性,它也是使用最广泛的渠道。
当电子邮件在1970年代创建时,没有人能想象到它今天能达到的范围。在Internet初期,电子邮件是学者与ARPANET发明者之间的一种简单的交流工具。如今,电子邮件已成为商业,人与人之间的交流的驱动力,不幸的是,数据和系统受到高调的破坏。
事实证明,电子邮件容易受到广泛的攻击,并被利用于更复杂的欺诈和其他恶意活动中。作为Internet上电子邮件流量的主要驱动力,我们必须了解各种形式的消息滥用和Internet欺诈,以便从信息安全的角度出发,我们可以部署适当的对策以使不良行为者远离我们的网络。
合法电子邮件的发件人应该了解并了解现有的妥协类型,以及如何避免类似垃圾邮件发送者的行为。通过应用适当的身份验证技术,这将有助于提高其品牌的参与度,同时减少其可利用的足迹。
从常见的词典开始,并了解风险以及如何抵御风险,这是为我们的客户和全球电子邮件用户创建更安全的收件箱的第一步。
419骗局
您可能已经收到其中之一,该电子邮件声称是来自海外的高级官员,他们希望将数百万美元转移给您,但他们需要您的个人信息和少量费用才能进行转移。听起来好得令人难以置信?好吧
419骗局(即预付款欺诈)是从尼日利亚刑法中与欺诈有关的部分419中获得的。该骗局作为一种家庭手工业在尼日利亚日益盛行。不幸的是,这些骗局无法通过电子邮件身份验证来解决,因为它们通常是从Webmail帐户中逐人发送的,并且使用字典攻击来生成随机的收件人列表或通过获取某人的受感染电子邮件帐户的联系方式/通讯录。
预付款欺诈已经存在了十多年。这不是一种复杂的攻击,它会掠夺个人动机和贪婪。2006年, 《纽约客》写了一篇有关心理治疗师的文章,他在早期曝光时就沦为此类骗局中的一个。最近,预付费骗子一直将专业会议作为目标,以通过注册发出邀请参加并帮助国际旅行的活动来获得海外签证。
僵尸网络
在当今的当代反滥用和数字消息传递领域,僵尸网络已无处不在。僵尸网络以最简单的形式表示,是感染了某种形式的恶意软件并由个人控制的个人PC。拥有PC的个人可能没有意识到自己的计算机已被感染。感染对用户可能是完全透明的,或者随着更多计算机资源用于看不见的后台功能,这可能会让人感到沮丧。
僵尸网络的运营商通常会使用僵尸网络的集体计算能力来发起诸如拒绝服务攻击(DDoS)之类的事情,或者将每台单独的机器转变为微型电子邮件服务器以发送少量垃圾邮件。由于体积很小,它们可以在雷达下飞行,但是成千上万台机器一起构成了对ISP /域的可观攻击向量。由于每台机器可能具有不同的IP,因此僵尸网络操作员使用的域以及消息的内容成为识别和阻止这些垃圾邮件的唯一方法,因此,基于域的信誉非常重要。
合法的邮件发送者需要了解僵尸网络及其攻击特征-使用多个ESP或将电子邮件分布在太多IP上可能会表现为准僵尸网络攻击,更可能像雪靴式攻击(如下所述)。除了基于品牌的声誉和其他逻辑细分标准的分离之外,营销人员还可以使用多个IP来确保吞吐量和投诉的传播。但是,保持IP的连续性(所有IP放在一个网块中并按顺序排列)可以帮助区分流量与僵尸网络的流量,并确保持续的良好信誉。
僵尸网络很难识别-要拆除僵尸网络,当局需要找到用于指示僵尸网络(PC)行为的命令和控制服务器,这可能会导致也可能不会导致僵尸网络操作员。通常,僵尸程序,命令和控制服务器以及操作员之间存在混淆和误导的层,从而使反垃圾邮件发送者和执法部门的拆除和缓解工作变得更加困难。
打乱和拍打
多克斯
Doxxing不一定是滥用消息的策略或特定的攻击手段,但它与订阅轰炸有关,因为它是发布某人的个人信息(同时针对物理和互联网的地址)的行为,以便志趣相投的演员可以滥用此人。当您停下来考虑2016年的订阅炸弹攻击时,这些攻击针对的是特定的个人电子邮件地址,这些电子邮件地址注册在数百个不同的列表中。一个人的私人电子邮件实际上被“淘汰”并遭受滥用。
拍打
拍打是向当局撒谎的行为,以使他们出现在某人的家中。这是最有名的垃圾邮件发送者所做的,他试图对信息安全调查记者Brian Krebs进行报复。垃圾邮件发送者将纯净的女主角发送到Krebs的家中,然后欺骗了邻居向本地PD发出的呼叫。
这两种攻击都是互联网滥用的形式,它们已经进入了更广泛,更普遍的恶意数字活动形式。通常,它们具有某种与之关联的消息传递媒介,但绝不是纯电子邮件攻击。
乔·乔布
根据Wikipedia的说法,Joe Job起源于1997年,当时joes.com域下的用户因滥用行为而被切断。为了进行报复,该用户欺骗了joes.com,并发送了大规模垃圾邮件,其中答复者是joes.com。通常,乔工作会欺骗某人的域,并将滥用重定向回该欺骗的域。当接收方服务器执行他们训练的工作时,由此产生的大量反弹,阻止和其他反馈信号可能像拒绝服务攻击或令人讨厌的行为:防止滥用到达最终用途并将重定向到块的通知重定向到所谓的鼻祖。
DMARC是缓解此类攻击的好方法,因为它会指示连接域如何处理未通过SPF / DKIM检查的电子邮件(如果正确设置,电子邮件很可能会失败)。DMARC记录的所有者可以简单地告诉接收域,如果SPF和DKIM失败,则请丢弃邮件,将其丢弃,这是伪造的,不需要向我发送退信。取而代之的是,DMARC记录的所有者可以要求取证信息,以提醒他们有关欺诈行为的信息,并对滥用情况进行自己的分析。
网络钓鱼,矛网络钓鱼和表兄弟域
网络钓鱼
网络钓鱼可能是当今Internet上最常见且广为人知的消息滥用形式之一。用最简单的术语来说,网络钓鱼是一种试图欺骗某人以泄露其密码或其他敏感信息的行为,以便黑客或垃圾邮件制造者可以接管其帐户,使用其财务信息进行购买等。典型的攻击方式是发生这种情况是因为欺骗了一个已知的品牌或网站,并且发送了看起来像来自某个已知实体的消息。
这些消息欺骗了品牌的领域,其内容经过精心设计,目的是欺骗接收者,使他们相信它们是合法的。典型的语言是这样的:“尊敬的用户,您的帐户已受限制!请登录以重新启用您的帐户。”许多公司使用名字和姓氏个性化设置来帮助区分其合法消息和欺诈消息。
您的银行永远不会要求您以电子方式登录或提供您的登录信息。
诸如两因素身份验证之类的技术还通过创建一个建立身份和真实性的闭环系统,来帮助遏制诸如此类的攻击潮流。
SPF,DKIM和DMARC等技术通过将域链接到通过SPF特定发送IP的域名,来帮助公司保护其品牌(尤其是邮件域)免受网络钓鱼攻击的滥用和影响。DKIM可以确保内容通过加密密钥完整无缺,而DMARC向接收方提供了一组指令,以指示消息未通过身份验证时如何处理(例如,由于其为垃圾邮件或网络钓鱼内容而将其丢弃)。
鱼叉式网络钓鱼
鱼叉式网络钓鱼与网络钓鱼的区别在于攻击的目标性质。鱼叉式网络钓鱼通常与公司的CEO和其他高级公司官员有关。鱼叉式网络钓鱼是社交工程的独特且有针对性的应用程序,用于获取密码和其他敏感信息,这可能导致大量客户数据和/或数百万美元的公司资金和收入受到损害,正如去年秋天在鱼叉式网络钓鱼黑客中所揭示的那样Matel。
表兄弟域
如果公司成功锁定了其邮件域,并在其DMARC记录中提供了拒绝标志,从而使试图欺骗其品牌的欺诈邮件被接收者丢弃,则它们仍可能是堂兄域攻击的目标。表兄弟域名或相似域名实际上就是听起来像的:垃圾邮件发送者注册的域名看起来像合法域名,例如g00g1e.com,amazonin.com,bannnanarepublic.com,cc-info-security-paypal.com。
这些域很难检测,因为它们没有尝试将邮件作为合法域发送。取而代之的是,使用表兄弟域进行的攻击正在利用品牌的外观,并希望欺骗他人泄露密码或其他信息。当检测到一个表兄弟域时,通常会联系该域的注册商,通知他们该域已存在,并要求他们将其删除,因此无法再发送任何声称来自该域的消息。
勒索软件
勒索软件最简单的形式是一种恶意软件,它可以从装有病毒的电子邮件中下载,也可以通过可以从电子邮件中链接的被破坏的网页下载到本地计算机上。勒索软件软件包感染计算机后,它具有以下两个基本目的之一:
加密并保存计算机人质的内容(使其变得无用和不可访问),直到计算机所有者通过某种电子方式向勒索软件的运营商付款为止。
威胁要公开发布内容,从而“欺骗”所有者及其计算机内容。
勒索软件攻击的频率越来越高-在当今时代,我们的很多职业和个人生活都在线或以电子格式包含,这种攻击尤其具有破坏性。通常,链接缩短器用于混淆重定向或基础链接,从而导致将勒索软件下载到计算机上。
跨行业/执法机构的名为NoMoreRansom.org的努力一直在为勒索软件,指纹识别和创建解锁机制的受害者提供解决方案。NoMoreRansom是国际刑警组织欧洲网络犯罪部Europol的创意。
慢Loris
缓慢的鸢尾可能是地球上最可爱的生物之一,但是,这篇文章并不是在庆祝动物界,否则我会为鹦鹉,树懒和考拉熊增添诗意。“ Slow Loris”攻击是指通过发送少量电子邮件来提高连接和吞吐量的方法,类似于合法的ESP如何在新IP上建立声誉(也称为IP预热),直到垃圾邮件发送者可以塞满垃圾邮件为止。通过连接发送大量电子邮件,直到其完全关闭。一旦发生这种情况,垃圾邮件发送者将切换到新的IP /域组合,可能会稍稍调整内容以尝试绕过现在正在寻找其电子邮件指纹的内容过滤器,然后重复攻击。
ISP发布其连接速率和吞吐量限制,以帮助缓解入站电子邮件流。世界上的每个ESP都知道这些连接速率和吞吐量限制是什么,并符合此技术标准。如果ESP不遵守其连接限制,则它们的流量开始类似于垃圾邮件发送者,并且ISP更有可能将邮件路由到垃圾邮件文件夹或将其彻底阻止。
雪鞋行走
Spamhaus在其站点上对雪鞋的定义非常简洁。雪靴式攻击的想法正在广泛的IP和域中传播投诉和数量。您可能会想自己: “我是一名合法的商人,我使用多个IP发送电子邮件。我是吹雪机吗?”不,你不是。如果您遵循所有适用的最佳做法,则使用多个IP是实现及时发送电子邮件所需的必要吞吐量的标准方法。通常,ISP对每个IP都有连接和吞吐量限制,而ESP也可能有其自身的限制。
长期以来,添加IP以扩展出站流量一直是ESP的功能。ESP如何分散流量与吹雪机如何分散流量的区别与域的使用有关。垃圾邮件发送者将希望混淆尽可能多的流量,以使ISP或接收者更难以阻止它们。合法邮件使用一致的域和已发布的电子邮件身份验证记录来建立其品牌声誉,并保护其免受欺骗和滥用。
如您所见,如果您不对出站电子邮件应用所有必要的电子邮件身份验证形式,那么从一个好的合法发件人变成一个垃圾邮件发送者是很容易的。
订阅炸弹
订阅式轰炸是一个相对较新的现象,或者是最近引起人们注意的一种现象。垃圾邮件发送者已经意识到,他们可以利用ESP托管的订阅表格来使某人的电子邮件帐户无效。他们这样做的典型方法是在ESP上为单个帐户订阅数百次,以便它开始接收大量电子邮件。最终结果是该帐户的个人所有者发现他或她淹没在从未签署过的电子邮件中。
从2016年夏天开始的这一系列最近的攻击中,最引人注目的目标之一是技术记者Brian Krebs,他投入了大量的时间和资源来寻找垃圾邮件发送者和其他数字不当行为。
从本质上讲,订阅轰炸是一种doxxing攻击-它针对特定帐户,并使用漫游器通过不安全,不受CATCHPA保护的订阅表单进行整体签名。不仅个人被这种攻击媒介所滥用,而且没有采用验证码的ESP也成为这种特定形式的滥用的不知情的工具。自从发生这种情况以来,建议使用CAPTCHA形式来保护注册表单免受机器人和其他工具的自动注册。
其他对策包括使用已确认的选择加入策略。在这种情况下,即使漫游器能够订阅某人,电子邮件的数量也将停止为1,直到该人手动完成选择加入过程为止。或者为用户提供一种轻松的退出方式,而无需突然将大量电子邮件卸载到他们的帐户中。
瀑布式
瀑布描述了将流量从一个ESP转移到另一个ESP以获得最大效果的实践。垃圾邮件发送者将窃取一个列表,然后通过较小的ESP发送该列表,以对其进行“清洗”,该ESP可能没有通过适当审查来评估特定客户风险的工具和技术。然后,相同的清单将通过另一个ESP发送,然后再通过另一个ESP发送,每次通过都会提高其价值和功效,直到被出售或完全耗尽。
通常,垃圾邮件制造者在每个ISP处使用的IP都将被列入黑名单,并且很可能无法使用。通常,垃圾邮件发送者会将精力集中在较小的中级ESP上,而避免由于部署的前期成本而使用大型ESP。但是,合法的或有时被称为灰色邮件发件人(几乎不使用合法电子邮件的发件人)使用多个ESP来尽可能广泛地分布其流量从而出现雪靴现象的情况并不少见。他们使用相似域的情况)。
听起来使用多个ESP总是一件坏事-不一定。有时,大公司使用多个ESP的事实是收购和大型组织的副产品,导致消息泛滥。组织内的不同利益相关者可能选择使用不同的消息传递平台来传递电子邮件,从而创建大量的消息传递足迹。只要每个流采用最佳通用做法,发送者的总体声誉就应该保持很高的水平和积极的地位。
指定某人对所有各种消息流进行集中和关键的监督将创建一种连续性,从而导致声誉提高和收件箱性能提高,更不用说能够更快地响应交付问题了。
结论
电子邮件的普遍性以不可思议的方式联系了世界。同样,它在广泛的系统和业务中造成了无法预料的漏洞。根据邮件,恶意软件,移动反滥用工作组(M3AAWG)的研究,针对ISP或邮箱提供商的所有电子邮件流量中,有90%以上是垃圾邮件。合法电子邮件占全球电子邮件总量的一小部分。因此,合法电子邮件和垃圾邮件之间的不平衡关系使全球最大的品牌和发件人承担了责任,以确保其策略和系统与垃圾邮件发送者的每一步都不同。
本指南旨在提供从ISP或邮箱提供商的角度来看某些合法的营销策略与垃圾邮件制造者所采取的方法相似的上下文。本指南绝不是防止欺骗性行为的手册-当今的数字营销人员都戴着创意帽和技术帽。市场是分散的和复杂的,因此我们应该知道和了解我们在日常工作中面临的各种危险。
版权所有2020 SendGrid