MS 365: podvržené emaily

[vfko]

Zdravím,

v poslední době se u více zákazníků stalo, že někomu přišel podvržený email, kdy odesílatel byl změněn na skutečný email ředitele. V emailu byla faktura s žádostí o urychlené zaplacení.

Všude se používají 365.

Lze se proti tomuto nějak účinně bránit nastavením serveru? Nastavit blokování takovýchto emailů? Aby se znovu nestalo, že paní účetní pošle nenávratně 35 tisíc euro kamsi do Londýna. Děkuji.

[Reklama]

[91314]

Možná se zamyslet, zda by paní účetní neměla vědět za co se platí, zda by neměla být schopna to ověřit? alespoň faktury od nějaké částky?  sledovat a vdět o cvrkotu ve firmně? nechat faktury schvalovat oddělením, které si objednalo fakturovanou službu nebo zboží?
Jinak můžeme paní účetní nahradit jednoduchým API bez umělé inteligence :-)

[🇺🇦 GPU]

O jaký email se jedná? Než si to ve firmě pořešíte, poslal bych pár faktur...

Paní účetní by si měla být rizika podvržených faktur vědoma. Je rok 2023 a v normálních firmách jsou snad všichni zaměstnanci už po několikáté proškolení o možných podvržených emailech, o účetních to platí dvojnásob.

[jjrsk]

V normalnich firmach to funguje tak, ze mas nejake ucetnicvi, ucetni/fakturantka do toho zanese prijatou fakturu, a nekdo dalsi (i treba vic lidi) musi tu fakturu (v tom systemu, ne per huba) schvalit. Rozhodne nebude nic platit na zaklade nejakeho emailu, i kdyby ji ho posilal prezident zemekoule.

Technicky si jaksi nedodal zadne informace, takze lze leda vestit z koule. Pouziva se MS cmoud = nemuzes s tim delat vubec nic, krome toho ze si dojdes postezovat na nadrazi.

Vlastni svepravne nastaveny mailserer pochopitelne neprijme emaily, kde je ve from @firma.cz ... aniz by dotycny byl prihlaseny.

[Filip Jirsák]

Pokud není e-mail elektronicky podepsaný, nedá se spolehnout na identitu odesílatele – je snadné ji podvrhnout. To by měl dnes vědět každý, kdo s e-mailem pracuje, a zejména lidé, kteří mají větší zodpovědnost – např. pracují s daty zákazníků nebo mají přístup k bankovnímu účtu.

Takže nejdůležitější je vzdělávání uživatelů.

trochu pomoci se tomu dá pomocí DKIM. E-maily odesílané z dané domény se podepisují (ne za uživatele, ale za server), a v DNS se pak informuje, že tato doména používá DKIM (a klíč, který se k podepisování používá). Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený. Záleží na příjemci, jak s tím pracuje – může takový e-mail úplně zahodit, ale většinou se ta informace jenom nějak zobrazí uživateli a nechá se na něm, aby rozhodl. Takže i v takovém případě je potřeba vzdělávání uživatelů, ale aspoň mají nějaké vodítko, jak rozpoznat falešný e-mail.

[Reklama]

[_mbily]

... Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený...

Pardon, ale toto neplatí. S použitím čistě jen DKIMu nemá přijímající strana jak zjistit, že mail měl být podepsán. Příjemce kontrolou případného existujícího podpisu pouze ověřuje, zda tělo mailu a vybrané hlavičky nebyly při transportu nějak změněny.

Teprve až zastřešující politikou DMARC může odesílající strana svět informovat, že by ten DKIM podpis měl být použit.

[Filip Jirsák]

... Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený...

Pardon, ale toto neplatí. S použitím čistě jen DKIMu nemá přijímající strana jak zjistit, že mail měl být podepsán. Příjemce kontrolou případného existujícího podpisu pouze ověřuje, zda tělo mailu a vybrané hlavičky nebyly při transportu nějak změněny.

[/quote]
Bavíme se o speciálním případu, kdy je příjemce v téže doméně, jako odesílatel – o své doméně tedy může vědět, že používá DKIM, i odjinud, než z DMARC. Ale nakonfigurovat i DMARC bude obvykle nejsnazší řešení a pomůže to i ostatním příjemcům, s tím souhlasím.

[_mbily]

Bez DMARCu budete muset hodně dobře vyškolit účetní ve čtení záhlaví mailů. A pokud se tedy navíc bavíme specielně o vnitrofiremní komunikaci v rámci jedné domény v prostředí MS365, tak to má ještě jeden háček. Takový mail vůbec nemusí opustit prostředí Exchange Online, a v takovém případě není DKIM podpisem opatřen.

[technomaniak]

Lze se proti tomuto nějak účinně bránit nastavením serveru?

Ne, protokol SMTP který se používá pro elektronickou poštu byl/je/bude vždy nevěrohodný a to i s digitálním podpisem(stačí dostat veřejnou část klíče s velmi podobnými údaji do počítače cíle - protože po určité době se ověřování podpisu stane rutina a to vždycky povede k letmému pohledu neboli nekompletní kontrole).
Pomohou pouze dodatečné sociální interakce : ŠKOLENÍ, kontrolní ověření z očí do očí, kontrolní telefonát, nedůvěra a skepticismus, naučit a předvést jim poslaní mailu přes telnet s SMTP serverem(kdyby toto uměli, nikdy mailům nebudou 100% slepě důvěřovat), nepoužívat maily jako nosiče faktur a nosit je osobně(fyzicky).

[Karmelos]

Pokud není e-mail elektronicky podepsaný, nedá se spolehnout na identitu odesílatele – je snadné ji podvrhnout. To by měl dnes vědět každý, kdo s e-mailem pracuje, a zejména lidé, kteří mají větší zodpovědnost – např. pracují s daty zákazníků nebo mají přístup k bankovnímu účtu.

Takže nejdůležitější je vzdělávání uživatelů.

trochu pomoci se tomu dá pomocí DKIM. E-maily odesílané z dané domény se podepisují (ne za uživatele, ale za server), a v DNS se pak informuje, že tato doména používá DKIM (a klíč, který se k podepisování používá). Když pak přijde e-mail s odesílatelem z vaší domény, ale bez podpisu, je jasné, že je ten e-mail podvržený. Záleží na příjemci, jak s tím pracuje – může takový e-mail úplně zahodit, ale většinou se ta informace jenom nějak zobrazí uživateli a nechá se na něm, aby rozhodl. Takže i v takovém případě je potřeba vzdělávání uživatelů, ale aspoň mají nějaké vodítko, jak rozpoznat falešný e-mail.

K tomuto bych jenom podotknul, že podle mých zkušeností v obyčejných korporacích (né v bakovnictví apod.) a malých dodavatelských firmách nikdo, nikdy a nikde podepisování vědomě nepoužívá a nekontroluje. Maximální ochrana je zaheslovaný pdfko s výplatnicí. Takže žádná osvěta a školení ani neexistuje, tudíž poznámka o vzdělávání v tomto je mimo mísu.
 
Email je v současné době braný jako alternativní forma komunikace - něco jako archaický wacap nebo týms.

Faktury se párují s objednávkami s nastaveným schvalovacím procesem - tzn. musí existovat žádanka, objednávka, dodané zboží/služba, k němu odpovídající faktura. Všechno na korunu přesně a potvrzené od žadatele (jeho šéfa/šéfa jeho šéfa),  a pak teprve dá hlavní účetní pokyn k proplacení. Pokud cokoliv nesedí, řeší se oprava anebo celé kolečko znova.

Takže pokud by nějaká účetní proplatila něco na fejk fakturu, tak má v účetnictví a pravděpodobně i ve firmě bordel a špatně nastavená pravidla a procesy. Tam by školení bylo na místě. 
 

[Filip Jirsák]

Takže žádná osvěta a školení ani neexistuje, tudíž poznámka o vzdělávání v tomto je mimo mísu.

Pokud by šlo jen o ten e-mail, je to maximálně na 10 minut povídání, na to nepotřebujete žádné extra školení. Jinak je to součástí školení o kyberbezpečnosti, které podle mne mají mnohé subjekty povinné. Nebo třeba CZ.NIC má různá vzdělávací videa.

Rozhodně je mnohem lepší školit uživatele, než proplácet falešné faktury a platit výkupné za ransomware.
 

Email je v současné době braný jako alternativní forma komunikace - něco jako archaický wacap nebo týms.

A jak by měl být braný jinak, když to je forma komunikace? U papírových dopisů nebo telefonů se lidé také naučili, jak je používat, není důvod, proč by se to nenaučili s e-mailem.

Takže pokud by nějaká účetní proplatila něco na fejk fakturu, tak má v účetnictví a pravděpodobně i ve firmě bordel a špatně nastavená pravidla a procesy. Tam by školení bylo na místě.

Podvodníci umí být dost vynalézaví a přesvědčiví. Pokud účetní přijde e-mail „od šéfa“, že je nějaká faktura neuhrazená, že tím firmě hrozí škoda v milionech a že jestli to okamžitě neuhradí, dostane okamžitou výpověď a ty miliony po ní bude vymáhat, půjdou zaběhané procesy stranou. Právě proto má ta účetní (a nejen ona) projít školením, aby věděla, že ten e-mail nemusí být od šéfa, i když se tak tváří, a věděla, že se toho problému nejspíš může velice rychle zbavit tak, že si ověří, zda ten e-mail opravdu je od šéfa (a zjistí, že není).

[Karmelos]

Takže žádná osvěta a školení ani neexistuje, tudíž poznámka o vzdělávání v tomto je mimo mísu.

Pokud by šlo jen o ten e-mail, je to maximálně na 10 minut povídání, na to nepotřebujete žádné extra školení. Jinak je to součástí školení o kyberbezpečnosti, které podle mne mají mnohé subjekty povinné. Nebo třeba CZ.NIC má různá vzdělávací videa.

Rozhodně je mnohem lepší školit uživatele, než proplácet falešné faktury a platit výkupné za ransomware.
 

Email je v současné době braný jako alternativní forma komunikace - něco jako archaický wacap nebo týms.

A jak by měl být braný jinak, když to je forma komunikace? U papírových dopisů nebo telefonů se lidé také naučili, jak je používat, není důvod, proč by se to nenaučili s e-mailem.

Takže pokud by nějaká účetní proplatila něco na fejk fakturu, tak má v účetnictví a pravděpodobně i ve firmě bordel a špatně nastavená pravidla a procesy. Tam by školení bylo na místě.

Podvodníci umí být dost vynalézaví a přesvědčiví. Pokud účetní přijde e-mail „od šéfa“, že je nějaká faktura neuhrazená, že tím firmě hrozí škoda v milionech a že jestli to okamžitě neuhradí, dostane okamžitou výpověď a ty miliony po ní bude vymáhat, půjdou zaběhané procesy stranou. Právě proto má ta účetní (a nejen ona) projít školením, aby věděla, že ten e-mail nemusí být od šéfa, i když se tak tváří, a věděla, že se toho problému nejspíš může velice rychle zbavit tak, že si ověří, zda ten e-mail opravdu je od šéfa (a zjistí, že není).

O tom, že školení obsahují části o tom jak rozeznat falešný email se nepřu, to je snad jasné.

Snažím se sdělit, že vaše domněnka o používání podpisu je mylná, v obyčejných korporátech a firmách (nebankovních) se el. podepisování emailů nepoužívá a ani nevyžaduje, proto se o tom neškolí, tudíž poznámka o tom že nějaký podpis pomůže nějaké hypotetické účetní rozpoznat fake email je mimo.

Stejně jako vaše představa, že když účetní přijde email od vrchního šéfa s fakturou, tak si sedne na zadek a hned posílá miliony na kajmany.

V normální firmě jsou na platby procesy a musí se dodržovat. Jednak musí k té faktuře najít příslušnou objednávku a druhak musí najít potvrzení, že byla plněna, a třeťak takovýto podezřelý email zcela jistě ověří minimálně telefonátem. Krom toho ověří dodavatele v databázi, kde je také uvedený dohodnutý účet kam se posílá. Z toho všeho musí i imbecil poznat, že je něco v nepořádku. A el. podepsání emailu v tom procesu nehraje žádnou roli.

[Filip Jirsák]

Snažím se sdělit, že vaše domněnka o používání podpisu je mylná, v obyčejných korporátech a firmách (nebankovních) se el. podepisování emailů nepoužívá a ani nevyžaduje, proto se o tom neškolí, tudíž poznámka o tom že nějaký podpis pomůže nějaké hypotetické účetní rozpoznat fake email je mimo.

Dobře, pokusím se vám to vysvětlit ještě jednou, třeba to napodruhé pochopíte.

Jediný způsob, jak bezpečně ověřit, že e-mail je skutečně od toho, od koho se tváří, že je, je elektronicky podepsaný e-mail. Ostatně stejně to platí i pro papírové dokumenty (u nich se ještě může používat razítko). Ostatní možnosti, jako DKIM, umožňují ověřit, že e-mail odešel přes „správný“ server, ale je věc toho serveru, jaké e-maily přijme k odeslání.

To, jak často se elektronicky podepsané e-maily používají, nemění nic na tom, že je to jediná možnost.

Stejně jako vaše představa, že když účetní přijde email od vrchního šéfa s fakturou, tak si sedne na zadek a hned posílá miliony na kajmany.

Jak jsem psal, útočníci dovedou být přesvědčiví. Vůbec to nemusí být na Kajmany, klidně to může být účet u české banky. Takovéhle útoky se dějí, občas se to objeví i v médiích. Tu falešná faktura; tu někdo vybral statisíce z účtu a ládoval je do bitcoinmatu; tu se někdo domněle přihlašoval ke státnímu webu a při tom potvrdil převod peněz z účtu; tu někdo prodává na bazaru a údajnému kupujícímu pošle údaje o své platební kartě… Vy tvrdíte, že se to neděje, ale opak je pravdou.

V normální firmě jsou na platby procesy a musí se dodržovat. Jednak musí k té faktuře najít příslušnou objednávku a druhak musí najít potvrzení, že byla plněna, a třeťak takovýto podezřelý email zcela jistě ověří minimálně telefonátem. Krom toho ověří dodavatele v databázi, kde je také uvedený dohodnutý účet kam se posílá. Z toho všeho musí i imbecil poznat, že je něco v nepořádku. A el. podepsání emailu v tom procesu nehraje žádnou roli.

Útočníci dovedou být přesvědčiví. Oni se „živí“ tím, aby dotyčného přesvědčili, že to je opravdu urgentní a na standardní procesy se má dotyčný vykašlat, protože tohle fakt spěchá a je důležité, aby se to udělalo co nejdřív. A neotravujte mne telefonováním, protože jsem teď na důležitém jednání, telefon nevezmu a očekávám, že až to jednání skončí, peníze už budou převedené.

Obávám se, že ti, kteří popírají existenci takových útoků, patří k těm náchylnějším, kteří tomu snáz podlehnou.

[Karmelos]

Dobře, pokusím se vám to vysvětlit ještě jednou, třeba to napodruhé pochopíte.

Jediný způsob, jak bezpečně ověřit, že e-mail je skutečně od toho, od koho se tváří, že je, je elektronicky podepsaný e-mail. Ostatně stejně to platí i pro papírové dokumenty (u nich se ještě může používat razítko). Ostatní možnosti, jako DKIM, umožňují ověřit, že e-mail odešel přes „správný“ server, ale je věc toho serveru, jaké e-maily přijme k odeslání.

To, jak často se elektronicky podepsané e-maily používají, nemění nic na tom, že je to jediná možnost.

Zase předvádíte svoji natvrdlost. Pokud ve firmě nepoužívají podepisování a oni to nepoužívají, protože to v normálním obchodním styku nepoužívá nikdo, kdo nemusí, tak to žádná jediná možnost není.

A těch možností je mnoho. Například se používá ověření separátním kanálem - hovor, telefon, teams a podobně.

[Filip Jirsák]

Zase předvádíte svoji natvrdlost. Pokud ve firmě nepoužívají podepisování a oni to nepoužívají, protože to v normálním obchodním styku nepoužívá nikdo, kdo nemusí, tak to žádná jediná možnost není.

To, jestli vy něco používáte nebo nepoužíváte, nemá žádný vliv na to, zda to existuje nebo neexistuje. Když napíšu, že z Evropy do Austrálie se můžete dostat lodí nebo letadlem, nic na tom nemění fakt, že jste v Austrálii nikdy nebyl – i tak ta možnost dostat se tam z Evropy lodí nebo letadlem zůstává.

Například se používá ověření separátním kanálem - hovor, telefon, teams a podobně.

Což ale není ověření e-mailu, nýbrž výměna informací jiným kanálem. Teda pokud si po telefonu nediktujete hash e-mailu…