Senator VS wil dat overheid standaard tegen phishing uitrolt
De Amerikaanse Senator Ron Wyden heeft het ministerie van Homeland Security verzocht om bij alle federale overheidsinstanties DMARC te verplichten, een standaard die bescherming tegen phishingmails biedt. Via Domain Message Authentication Reporting & Conformance (DMARC) kunnen organisaties aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen.
Op deze manier kunnen spam en phishingmails worden gestopt. "De dreiging van criminelen en buitenlandse overheden die zich als Amerikaanse overheidsinstellingen voordoen is echt", aldus Wyden in een brief (pdf) aan het ministerie van Homeland Security. Wyden wil dat Homeland Security de autoriteit die het heeft gebruikt om DMARC voor overheidsinstanties te verplichten. Dit moet voorkomen dat aanvallers berichten kunnen versturen die van het .gov-domein afkomstig lijken. De senator wijst naar het gebruik van DMARC door de Britse overheid, waar het een groot effect had. Eerder dit jaar riep de Amerikaanse toezichthouder FTC bedrijven al op om DMARC uit te rollen.
Onzin. DMARC helpt niet tegen spam of phishing mails. De gebruiken zelden een gespoofde afzender. DMARC helpt alleen tegen misbruik van domeinnamen.
Overigens is dat ook precies was de brief van deze senator aangeeft. Dat het tegen spam en phishing helpt, is een toevoeging van de redactie.
In spam, en zeker in spear phishing, wordt spoofing heel vaak gebruikt. Het zal niet altijd helpen, maar dat beweert ook niemand. Het is dus *geen* onzin.
Voorbeeld -
Waar DKIM en DMARC kunnen helpen in geval van phishing
https://www.sidn.nl/a/veilig-internet/waar-dkim-en-dmarc-kunnen-helpen-in-geval-van-phishing
Niet altijd is een zware overstatement bij phishing. Je bedoelt: een enkele keer of hooguit soms. Ook bij ceo fraude wordt vaak de afzender vervalst.
Overigens helpt DMARC niet als de bron gewoon niet te vertrouwen is, zoals Gmail of outlook.com. Google en Microsoft zijn de grootste bronnen van spam (qua netwerk).
De mens is de zwakste schakel (en kan ook de stekste zijn).
Elke security professional meent dat awareness een basisvoorwaarde voor effectieve veiligheid is.
In geval van Email. Awareness heeft alleen maar nut als betrouwbare emails herkenbaar worden.
De hier voorgestelde methoden zijn heel bruikbaar als zowel de verzender als de ontvanger een emailserver hebben. De meeste particulieren hebben die niet. En juist daar ligt een grote uitdaging.
Als alle formele (betrouwbare) organisaties alleen maar emails uitsturen die digitaal zijn ondertekend (certificaten van goede merken zoals PKI-O in Nederland), dan kan een gebruiker de niet digitaal ondertekende emails van bewust-bekwame-slechteriken herkennen. Een emailserver kan heel goedkoop worden voorzien van een ondertekeningscertificaat die volgens EIDAS geautomatiseerd mag worden gebruikt.
Dat lost niet alle problemen op. Er bestaat ook geen silver bullit.
Vrienden moeten nog steeds niet-ondertekende emails naar elkaar kunnen verzenden (meestal kent iemand zijn kennissen wel).
Een bewust-bekwame-slechterik kan ook een betrouwbaar certificaat kopen en gebruiken. In dat geval zijn er sporen waarop gerechercheerd kan worden.
Een bewust-bekwame-slechterik kan ook een selfsigned certificaat gebruiken. Maar die is dan niet te valideren en wordt daarmee herkenbaar.
Verkeersregels in het verkeer garanderen niet dat er nog ongelukken gebeuren, maar zorgen er wel voor dat er aanzienlijk minder ongelukken gebeuren dan zonder regels. Zo is dat ook met email verkeer.
Mvg
FB
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
