BẢO VỆ EMAIL TRONG MICROSOFT 365: CHỐNG LỪA ĐẢO, MẠO DANH

Lửa đảo, mạo danh thường luôn là các phương pháp phổ biến mà những kẻ tấn công sử dụng để tấn công vào hệ thống email của các doanh nghiệp. Bài viết dưới đây, SOFT365 sẽ cùng các bạn tìm hiểu kỹ về các thủ thuật lừa đảo, giả mạo email thường thấy và xem cách Microsoft 365 áp dụng các biện pháp bảo vệ để phát hiện và loại bỏ các email lừa đảo, giúp bảo vệ an toàn cho doanh nghiệp của bạn.

Các biện pháp bảo vệ email chống lừa đảo, giả mạo trong Microsoft 365

Để bảo vệ hệ thống email, chống lại các lừa đảo mạo danh, bạn cần xác định rõ danh tính người gửi và các thông tin liên quan đến nội dung email. Đây là hai yếu tố chính để bạn xác định ban đầu. Các bước chống email giả mạo bao gồm:

Kiểm tra chính xác tên miền email

Các kẻ tấn công thường cố gắng giả mạo trông gần giống nhất các tên miền của những thành viên trong tổ chức của bạn hoặc một tổ chức đối tác. Các email này sẽ lừa người nhận thực hiện các hành động dẫn đến đánh cắp thông tin xác thực hoặc các biến thể của các cuộc tấn công Business Email Compromise (BEC) , vì chúng có vẻ hợp pháp , nhưng trên thực tế bắt nguồn từ một nguồn độc hại.

Kiểm tra xác thực email

Phát hiện giả mạo là một phần của kiểm tra xác thực email đối với thư đến trong Exchange Online Protection và Microsoft Defender for Office 365. Các giao thức xác thực email, chẳng hạn như Khung chính sách người gửi ( SPF ) , Thư được xác định theo DomainKeys ( DKIM ) và Xác thực thư dựa trên miền, Báo cáo và Sự phù hợp ( DMARC ) làm việc cùng nhau để xác định tính hợp pháp của người gửi cũng như cơ sở hạ tầng và chữ ký của họ.

Khi xác thực không thành công và hệ thống phát hiện thư là giả mạo, bạn sẽ tìm thấy CAT: SPOOF trong tiêu đề X-Forefront-Antispam-Report và thư sẽ bị đánh dấu là spam ( SFV : SPM ). Kết quả của kiểm tra xác thực email có thể được tìm thấy trong tiêu đề Xác thực-Kết quả của email đã nhận.

Thu thập tin tức giả mạo

Thu thập tin tức giả mạo là công nghệ đầu tiên trong ngành sử dụng các thuật toán nâng cao để tìm hiểu các mẫu gửi email của tên miền. Điều này giúp ích rất nhiều cho những người gửi không triển khai hoặc thực thi DMARC.

Công nghệ này được bật theo mặc định và có sẵn cho Exchange Online Protection và Microsoft Defender for Office 365 . Microsoft thực sự khuyên bạn nên bật tính năng này để lọc email từ những người gửi đang giả mạo tên miền.

Bất cứ khi nào phát hiện giả mạo, hành động sẽ được thực hiện dựa trên quan điểm cấu hình trong chính sách chống lừa đảo và thư được chuyển đến thư mục Junk hoặc được gửi đến Vùng cách ly .

Kiểm soát giả mạo với danh sách Tenant Allow/Block

Để kiểm soát các miền mà bạn luôn muốn cho phép giả mạo (hoặc chặn không cho giả mạo), hãy sử dụng tab Spoofing trong mục Tenant Allow/Block List. Tại đây, bạn có thể thêm một cặp tên miền mới. Các cặp tên miền bao gồm một người gửi và nơi họ sẽ gửi  . Danh sách giả mạo này không bao giờ tự động hết hạn trừ khi bạn (với tư cách là quản trị viên tenant) xóa một mục nhập một cách rõ ràng.

Sử dụng Admin Submissions để báo cáo xác thực sai và chọn cho phép hoạt động giả mạo tương tự 

Sử dụng Submissions trong Microsoft 365 Defender trong trường hợp không đồng ý với các phán quyết của Microsoft. Giờ đây, bạn có thể thêm ghi đè giả mạo và mạo danh trực tiếp từ Nội dung gửi. Lưu ý rằng giả mạo và mạo danh cho phép bạn thêm theo cách này sẽ không hết hạn, trừ khi bạn (với tư cách là quản trị viên bảo mật) xóa rõ ràng.

Để nâng cao khả năng cho phép các miền được phép giả mạo (để quản lý xác thực sai), hãy truy cập trang Gửi của quản trị viên và trong khi báo cáo xác thực giả, hãy chọn nút chuyển đổi để cho phép email có các thuộc tính tương tự . Bước này sẽ trực tiếp thêm cặp miền vào tab Giả mạo trong Danh sách Cho phép / Chặn đối tượng thuê nếu email ban đầu được đánh dấu là giả mạo. Các bài nộp cũng giúp hệ thống học tốt hơn theo thời gian.

Bảo vệ chống mạo danh người dùng

Mạo danh người dùng đề cập đến các thư đến được gửi từ một địa chỉ bên ngoài, trong đó địa chỉ người gửi hoặc tên hiển thị giống với một địa chỉ liên hệ đã có trong tổ chức của bạn. Sự khác biệt chính giữa mạo danh và giả mạo là các tác nhân đe dọa thường đăng ký miền gửi của riêng họ, thay vì giả mạo miền đích. Bằng cách này, họ vượt qua kiểm tra xác thực e-mail. Thông thường, kẻ mạo danh cố gắng lừa người nhận thực hiện các hành động, chẳng hạn như chuyển tiền hoặc mở các liên kết và tệp đính kèm độc hại. Và giống như với hành vi giả mạo, chúng dựa vào mối quan hệ trước đây của người nhận với người gửi để có được sự tin tưởng của họ cho một cuộc tấn công xác thực hơn .

Hộp thư bảo vệ chống mạo danh dựa trên trí thông minh

Tính năng bảo vệ chống mạo danh dựa trên trí thông minh của hộp thư sử dụng trí thông minh nhân tạo (AI) để xác định các mẫu email của người dùng với các địa chỉ liên hệ thường xuyên của họ. Nó phát hiện mạo danh dựa trên bản đồ hoặc đồ thị người gửi cá nhân của mỗi người dùng. Còn được gọi là mạo danh Biểu đồ, nó gắn cờ sự bất thường của người gửi mà người nhận có mối quan hệ giao tiếp đã được thiết lập trước đó. Điều này có nghĩa là nếu một thư nhận được từ một người gửi có vẻ giống với một liên hệ thường xuyên của người nhận (ở tên hiển thị hoặc địa chỉ email) nhưng không phải là cùng một người gửi, thư đó sẽ bị gắn cờ vì mạo danh và bạn sẽ tìm thấy CAT : GIMP trong tiêu đề thư.

Bảo vệ chống mạo danh tên miền

Mạo danh miền sẽ bị gắn cờ khi miền gửi trông giống như một miền hợp pháp. Miền có thể là miền mà bạn sở hữu và được xác thực (chấp nhận) trong tổ chức của bạn hoặc thuộc về một tổ chức đối tác. Ví dụ: bạn đã thêm và xác thực tên miền contoso.com trong đối tượng thuê của mình và bạn nhận được tin nhắn đến từ ćóntoso.com hoặc çontoso.com.

Mạo danh miền cũng được định cấu hình trong cài đặt bảo vệ của chính sách chống lừa đảo.

Khi một thư đến được gắn thẻ là Mạo danh miền , bạn sẽ thấy CAT: DIMP trong tiêu đề X-Forefront-Antispam-Report . Khi điều này xảy ra, Bộ bảo vệ cho Office 365 sẽ thực hiện hành động được định cấu hình trong cài đặt mạo danh miền trong chính sách chống lừa đảo.

Giám sát hành vi giả mạo và mạo danh trong tổ chức của bạn

Đối với những người gửi trước đây đã gửi email giả mạo vào tổ chức của bạn, hãy bắt đầu bài kiểm tra của bạn với thông tin chi tiết này trong Tenant/Allow Block List hoặc sử dụng liên kết trực tiếp https://security.microsoft.com/spoofintelligence . Bạn có thể xem danh sách những người dùng bị giả mạo và quyết định xem có cho phép người gửi giả mạo hoặc chặn họ giả mạo hay không .