来自联邦机构的四分之一电子邮件是欺诈性的

根据电子邮件安全公司Agari研究人员的调查结果,所有似乎来自联邦机构的电子邮件中有25%(包括.gov域名的电子邮件)都是欺诈性或未经身份验证的邮件

该公司的专家警告说,似乎来自官方和可靠来源的域名之间的高欺诈率使得政府机构面临可能成为可能危及重要帐户或其他敏感信息的网络钓鱼攻击的风险

Agari发现只有9%的域名实施了基于域的消息身份验证,报告和一致性,也称为DMARC--一种用于使用欺骗性电子邮件地址的打击网络钓鱼攻击的安全协议

DMARC是一种身份验证标准,它将拒绝来自未识别或未授权来源的邮件

这是一种相对常见的网络钓鱼策略,攻击者将使用欺骗性域名使其看起来像是来自可靠来源的电子邮件

该协议被广泛认为是企业和其他组织的重要安全保护,并已被许多主要的电子邮件提供商使用,包括谷歌和微软

Agari的报告发现DMARC基本上消除了政府领域的欺骗行为

在一个案例中,Agari表示,DMARC在24小时内阻止了超过1亿封欺诈性电子邮件的传递

缺乏DMARC保护以及阻止大多数政府域上的网络钓鱼尝试的配置允许不真实的电子邮件潜入裂缝

Agari报告称,在其研究的1300个联邦域中,有近82%缺乏任何形式的DMARC保护

攻击者似乎也非常清楚政府体系中的安全漏洞

Agari发现,公司保护的约400个政府域名中有90%是今年4月至10月期间欺骗性联邦域名欺骗性电子邮件的目标

在此期间共发送了8560万封欺诈性电子邮件

政府并未单独采用安全标准

今年早些时候,一项研究显示,500家公司中只有39家(约占福布斯500强企业中的8家)正在使用DMARC,使全球92%的最大且盈利能力最高的企业面临安全风险通过网络钓鱼电子邮件进行的破坏

幸运的是,一些代理商已经开始讨论这个协议,并且很快就能避免这些类型的欺骗攻击

本月早些时候,美国国土安全部将很快要求其他联邦机构采用DMARC

国土安全部网络安全副部长Jeanette Manfra宣布的政策变化将给联邦机构90天的时间来实施DMARC标准

政策的变化发生在参议员Ron Wyden,D-OR的持续推动之后,他在今年早些时候批评国土安全部未能实施DMARC

上一篇 :据称黑莓10视频泄漏展示了基于手势的UI和时尚设计
下一篇 HTC U11生活Android One手机全规格显露