64億封假郵件、120億美元損失虛假電子郵件困擾全球

Editor發表於2018-09-12

根據最新報告顯示，虛假電子郵件的日傳送量已經高達64億封——大多數行業在保護自身免受虛假電子郵件欺詐方面的能力也取得了漸進式的進展——尤其是美國政府，作為虛假電子郵件最大的來源國，其在打擊虛假電子郵件方面也展示了超強的領導能力。

美國時間2018年8月22日，世界上唯一的全自動電子郵件身份驗證服務提供商Valimail，宣佈了其關於電子郵件欺詐狀況的最新季度研究結果。

《Valimail Q2 2018年電子郵件欺詐全景》報告顯示，虛假電子郵件仍然是一個非常嚴重的問題，目前，全球虛假電子郵件的日傳送量估計已高達64億封。

這一總數還僅僅包含了精確域（exact-domain）發件人欺詐，在這種形式中，發件人會在“From”（郵件來源）一欄中放入虛假的電子郵件地址。這是最難檢測且極具破壞性的虛假電子郵件型別之一。例如，聯邦調查局（FBI）最近報告稱，過去幾年中，企業電子郵件詐騙（BEC詐騙）損失成本已達到120億美元。所謂“BEC詐騙”，即通過冒充/盜用決策者的郵件，來下達與資金、利益相關的指令。

FBI還總結並公佈了幾種常見的BEC欺詐手段：

1. 公司高管型別

罪犯冒充或黑了公司高管（比如資訊長和首席財務官）的電子郵箱，指示下屬向欺詐賬戶電匯款項。

2. 資料和報稅表盜竊型別

罪犯以被黑公司高管電郵賬戶，向公司負責保管報稅表或其他個人可識別資訊（PII）的人員，傳送索要此類資訊的郵件。

3. 房地產交易型別

罪犯在房產交易中冒充賣家、經紀人、過戶公司或律所，要求買家向欺詐賬戶打錢。

4. 供應鏈型別

罪犯傳送虛假請求，要求被害公司將未完成交易或發票應付款項打入錢騾或罪犯控制下的賬戶。

5. 律所型別

罪犯找出信託賬戶或訴訟案件，冒充律所客戶將收款銀行資訊改為欺詐賬戶。

除此之外，Valimail的研究報告還揭示了虛假電子郵件問題的本質。報告指出，虛假電子郵件不僅僅是單純的“社會工程”問題，而是電子郵件實施方式存在技術問題的直接結果：其缺乏內建的身份驗證機制，使得發件人欺詐行為變得非常容易實現。

因此，想要解決虛假電子郵件危機也需要訴求於技術解決方案，建議使用者可以從電子郵件身份驗證標準DMARC、SPF以及DKIM入手。

Valimail執行長兼聯合創始人AlexanderGarcía-Tobar表示，Valimail的研究表明，虛假電子郵件仍然是全球範圍內的一個關鍵問題。不過好訊息是，全球各行業在打擊虛假電子郵件方面已經取得了令人鼓舞的進展。其中，美國聯邦政府起到了非常重要的表率作用，以國土安全部（DHS）為例，他們已經部署了前所未有的“防冒名頂替”技術。

雖然，打擊虛假電子郵件還有很長的路要走，但美國國土安全部的例子已經表明，阻止電子郵件冒名頂替對我們的最高機構而言至關重要，並且完全有能力實現。

據悉，為了完成該報告，Valimail公司使用了其分析的數十億電子郵件身份驗證請求的專有資料，以及超過300萬個可公開訪問的DMARC和SPF記錄分析資料。

如今，在其最新發布的系列報告中，Valimail已經有能力展示全球各行各業在打擊虛假電子郵件的鬥爭中所取得的突出成果。

值得注意的是，得益於美國國土安全部2017年10月的授權行為，美國聯邦政府如今正在領導所有其他部門落實電子郵件身份驗證標準DMARC的實踐和執法。DMARC的全名是“基於域名的訊息認證、報告和一致（Domain-based Message Authentication, Reporting & Conformance）”，它本身就是一個新的技術規範的名字，用來解決與電子郵件認證協議相關的運作、部署和報告的問題，從而降低電子郵件的濫用情況。

其實，相關的安全機制早就有了（例如SFP），而DMARC則是以既有的機制為基礎，包括髮送方策略框架（SFP），以及域名金鑰識別郵件技術（DKIM），其中，SFP確認的是電子郵件傳送方的IP地址，而DKIM則負責審查電子郵件的內容結構，從而使電子郵件的驗證更快速、方便，也讓發件方、收件方之間的合作更緊密。而且還有一個重點，它能讓發件方、收件方在發現有問題的郵件時，有個統一的回執機制，讓成員可以持續瞭解電子郵件濫用的手法。

根據Valimail最新調查資料顯示，超過70%的聯邦域名擁有DMARC記錄，以及43%的聯邦域名正在“以保護代理機構免受冒名欺詐的方式”進行配置。

該報告的其他主要調查結果還包括：