Tấn công lừa đảo (phishing) là một hình thức tấn công qua email nhằm đánh cắp thông tin nhạy cảm thông qua các tin nhắn có vẻ như đến từ người gửi hợp pháp hoặc đáng tin cậy. Bạn có thể tăng cường bảo mật cho hộp thư Exchange Online của mình bằng cách triển khai các chính sách chống lừa đảo thông qua bài viết dưới đây từ Tri Thức Software.
Những gì bạn có thể quản lý bằng Anti-phishing policies?
Các chính sách chống lừa đảo trực tuyến cung cấp khả năng kiểm soát nâng cao đối với các email lừa đảo đến, ví dụ, trong trường hợp ai đó cố gắng mạo danh Giám đốc điều hành của bạn hoặc gửi tin nhắn từ một tên miền rất giống với tên miền của bạn. Theo mặc định, một chính sách có tên ‘Office365 AntiPhish Default (Default)’ được tự động áp dụng cho tất cả người dùng.
Các cấu hình trong Anti-phishing policies
Bảo vệ chống mạo danh
Giả mạo danh tính xảy ra khi người gửi email có địa chỉ tương tự với địa chỉ của người gửi hợp pháp hoặc người gửi dự kiến. Kẻ tấn công thường sử dụng địa chỉ email giả mạo trong các cuộc tấn công lừa đảo (phishing) hoặc các cuộc tấn công khác để đánh lừa người nhận và chiếm được lòng tin của họ. Có hai loại giả mạo danh tính chính:
- Giả mạo người dùng: Chứa những khác biệt nhỏ trong biệt danh email / tên hiển thị.
- Giả mạo tên miền: Chứa những khác biệt nhỏ trong tên miền.
Bảo vệ chống mạo danh người dùng
Những gì bạn có thể bảo vệ:
Tính năng bảo vệ chống mạo danh người dùng cho phép bạn bảo vệ tối đa 350 người dùng quan trọng nội bộ và bên ngoài khỏi các nỗ lực mạo danh. Về nội bộ, điều này có thể bao gồm các vai trò như Giám đốc điều hành (CEO), Giám đốc tài chính (CFO) và các giám đốc điều hành cấp cao khác. Về bên ngoài, nó có thể bao gồm các cá nhân như thành viên hội đồng hoặc giám đốc ban quản trị.
LƯU Ý: Chức năng bảo vệ chống mạo danh người dùng không hiệu quả khi có lịch sử trao đổi email giữa người gửi và người nhận. Việc phát hiện hành vi mạo danh chỉ có thể thực hiện được trong trường hợp không có tương tác email nào trước đó giữa người gửi và người nhận.
Cách thức hoạt động
Giả mạo người dùng liên quan đến việc sử dụng kết hợp tên hiển thị và địa chỉ email của người dùng để làm cho email trông giống với email của người gửi hợp pháp hoặc đáng tin cậy. Ví dụ, Giám đốc điều hành của bạn "Shaggy Rogers" <[email protected]>có thể bị giả mạo bằng một địa chỉ email hoàn toàn khác, chẳng hạn như "Rogers, Shaggy" <[email protected]>. Mặc dù SPF, DKIM và DMARC sẽ hoạt động bình thường đối với gmail.comtên miền đó, email vẫn sẽ bị gắn cờ là thuộc loại chính sách bảo vệ UIMP(giả mạo người dùng) trong X-Forefront-Antispam-Reporttiêu đề thư.
Bảo vệ chống mạo danh tên miền
Những gì bạn có thể bảo vệ:
Tính năng bảo vệ chống mạo danh tên miền giúp bảo vệ cả các tên miền của tổ chức bạn (các tên miền được chấp nhận) và các tên miền bên ngoài, chẳng hạn như tên miền của nhà cung cấp, khỏi các nỗ lực mạo danh.
Cách thức hoạt động
Tấn công mạo danh tên miền xảy ra khi tên miền của người gửi bị thao túng để giống với tên miền hợp pháp. Ví dụ, contoso.comcó thể bị mạo danh thành c0ntoso.comhoặc contoso.co. Mặc dù SPF, DKIM và DMARC sẽ vượt qua kiểm tra đối với tên miền c0ntoso.comhoặc contoso.co, email vẫn sẽ bị gắn nhãn “Danh mục Chính sách Bảo vệ DIMP(mạo danh tên miền)” trong X-Forefront-Antispam-Reporttiêu đề thư.
Hiểu biết về mạo danh
Bạn có thể sử dụng tính năng Nhận diện giả mạo trong Microsoft Defender XDR để nhanh chóng xác định các tin nhắn từ người gửi giả mạo hoặc các tên miền người gửi được đưa vào tính năng bảo vệ giả mạo trong các chính sách chống lừa đảo.
Hộp thư thông minh
Những gì bạn có thể bảo vệ:
Mailbox Intelligence sử dụng trí tuệ nhân tạo (AI) để xác định thói quen sử dụng email của người dùng với những người liên hệ thường xuyên nhất của họ.
Cách thức hoạt động:
Tính năng thông minh hộp thư hoạt động tương tự như tính năng bảo vệ chống mạo danh người dùng; tuy nhiên, nó sử dụng nội dung của hộp thư để xác định các nỗ lực lừa đảo. Ví dụ, nếu bạn thường xuyên trao đổi email với "Shaggy Rogers" <[email protected]>, và một ngày nọ bạn nhận được một email từ "Shaggy Rogers" <[email protected]>vượt qua thành công các kiểm tra SPF, DKIM và DMARC, nó vẫn sẽ được gắn cờ với danh mục chính sách bảo vệ GIMP(Mạo danh dựa trên thông minh hộp thư) trong X-Forefront-Antispam-Reporttiêu đề thư. Điều này là do AI trong tính năng thông minh hộp thư đánh giá rằng bạn chưa từng tương tác với trước đây Shaggy Rogers <[email protected]>, cho thấy khả năng mạo danh.
Tính năng Mailbox Intelligence có hai tùy chọn:
- Bật tính năng Nhận diện hộp thư thông minh: Cài đặt này giúp trí tuệ nhân tạo (AI) phân biệt giữa tin nhắn từ người gửi hợp pháp và người gửi mạo danh. Theo mặc định, cài đặt này được bật.
- Bật tính năng Bảo vệ chống mạo danh: Theo mặc định, cài đặt này được tắt. Cài đặt này sử dụng lịch sử liên hệ được học từ Mailbox Intelligence (bao gồm cả các liên hệ thường xuyên và không thường xuyên).
Để kích hoạt Mailbox Intelligence, cả hai tùy chọn đều phải được bật.
LƯU Ý: Chức năng bảo vệ thông minh hộp thư sẽ không hoạt động khi có lịch sử trao đổi email giữa người gửi và người nhận. Chức năng này sẽ được kích hoạt và xác định một tin nhắn là hành vi mạo danh nếu chưa có tương tác email nào trước đó giữa người gửi và người nhận.
Spoof intelligence
Giả mạo là gì?
Tấn công giả mạo xảy ra khi Fromđịa chỉ (P2 Sender, địa chỉ người gửi hiển thị trong các ứng dụng email) trong thư điện tử không khớp với tên miền của nguồn thư (P1 Sender).
Giải thích của người gửi P1 so với P2
| Thư bưu điện | Thuật ngữ chính xác | Được bảo vệ bởi |
|---|---|---|
| Người gửi ghi trên phong bì | RFC5321.MailFrom(Người gửi P1) | SPF |
| Tác giả viết thư | RFC5322.From(Người gửi P2) | DKIM + DMARC |
Giả mạo email so với mạo danh email
Giả mạo email xảy ra khi ai đó thay đổi tiêu đề email ( Fromđịa chỉ) để nó trông giống như được gửi từ một địa chỉ đáng tin cậy, trong khi mạo danh email là khi kẻ tấn công giả vờ là một người đáng tin cậy, thường sử dụng các dịch vụ email miễn phí với các địa chỉ trông tương tự để khiến nạn nhân tin tưởng chúng.
Những gì bạn có thể bảo vệ
Khi tính năng Phát hiện giả mạo (Spoof Intelligence) được bật, Spoof Intelligence Insight sẽ cung cấp danh sách người gửi giả mạo đã được hệ thống tự động phát hiện và cho phép hoặc chặn. Exchange Online Protection (EOP) đánh giá các tin nhắn và xác định xem có cho phép hay chặn chúng bằng cách kết hợp các phương pháp xác thực email tiêu chuẩn (SPF, DKIM và DMARC), với uy tín người gửi, phân tích hành vi và các kỹ thuật nâng cao khác (xác thực email ngầm).
Cách thức hoạt động
Nếu Spoof Intelligence nhận được tín hiệu tốt cho thấy một tên miền có thể đáng ngờ, Spoof Intelligence sẽ xác định nó là một tên miền bị chặn và đánh dấu email đó với danh mục chính sách bảo vệ SPOOFtrong tiêu đề thư. Tuy nhiên, nếu Spoof Intelligence nhận được tín hiệu tốt cho thấy một tên miền cần vượt qua các kiểm tra xác thực mở rộng, Spoof Intelligence X-Forefront-Antispam-Reportsẽ cho phép tên miền đó và chỉ báo người gửi chưa được xác thực sẽ hiển thị cho người nhận.
Thông tin tình báo giả mạo
Bạn có thể sử dụng tính năng Spoof Intelligence Insight trong Microsoft Defender XDR để xác định những người gửi giả mạo đang gửi email không được xác thực (các tin nhắn không vượt qua kiểm tra SPF, DKIM hoặc DMARC và kiểm tra uy tín người gửi). Tính năng Spoof Intelligence Insight cho phép bạn tự ghi đè phán quyết của tính năng này để cho phép hoặc chặn những người gửi giả mạo đã được phát hiện. Tuy nhiên, sau khi ghi đè, người gửi giả mạo sẽ không còn xuất hiện trong Spoof Intelligence Insight nữa mà thay vào đó sẽ được liệt kê trong tab Người gửi giả mạo trên trang Danh sách cho phép/chặn của người thuê.
Cấu hình các chính sách chống lừa đảo trực tuyến và các biện pháp tốt nhất.
Các phương pháp thực hành tốt nhất dựa trên cài đặt khuyến nghị Nghiêm ngặt của Trình phân tích cấu hình.
- Đăng nhập vào Microsoft Defender XDR và điều hướng đến anti-phishing.
- Truy cập Phishing Threshold & Protection > và chọn Edit Protection Settings.
- Đặt ngưỡng cảnh báo email lừa đảo ở mức ‘4 – Mức độ nguy hiểm cao nhất’.
- Ngưỡng phát hiện tấn công lừa đảo cao hơn đồng nghĩa với việc áp dụng các mô hình học máy vào tin nhắn để xác định xem đó có phải là tấn công lừa đảo hay không sẽ nhạy bén hơn. Vì tấn công lừa đảo vẫn là phương pháp phổ biến nhất để xâm nhập vào hệ thống, bạn không nên mạo hiểm hạ thấp ngưỡng này.
- Chọn Enable Users to Protect (Bảo vệ chống mạo danh người dùng), bạn có thể thêm tối đa 350 người dùng quan trọng.
- Để thêm người dùng hàng loạt, hãy tạo tệp CSV theo định dạng sau:
Policy,Users
Office365 AntiPhish Default,Firstname Lastname;[email protected]
Office365 AntiPhish Default,Firstname Lastname;[email protected]- Để nhập tệp CSV này vào chính sách bằng cách sử dụng Mô-đun PowerShell của Exchange, hãy thực hiện lệnh sau:
$Users = Import-CSV -Path 'C:\temp\users.csv'
ForEach ($User in $Users){
Set-AntiPhishPolicy -Identity $User.Policy -TargetedUsersToProtect @{add=$User.Users}
Write-Host -ForegroundColor Green $User.Users "is added!"
}- Chọn Enable domains to protect (Bảo vệ chống mạo danh tên miền).
- Đây có thể là tên miền của riêng bạn (bao gồm cả tên miền tôi sở hữu) hoặc tên miền thuộc về đối tác hoặc nhà cung cấp (bao gồm cả tên miền tùy chỉnh).
- Trong mục Add Trusted Senders and Domains, bạn có thể chỉ định người gửi hoặc tên miền sẽ không bị gắn cờ vì hành vi mạo danh.
- Tùy chọn Trusted Senders and Domains không bỏ qua hoàn toàn các biện pháp bảo vệ chống thư rác, giả mạo, lừa đảo và xác thực người gửi (SPF, DKIM, DMARC) như Allowed Senders or Allowed Domains trong chính sách chống thư rác đến. Tuy nhiên, vẫn không nên sử dụng tùy chọn này, đặc biệt là đối với tên miền. Các tin nhắn từ người gửi và tên miền được chỉ định sẽ không bao giờ bị chính sách phân loại là các cuộc tấn công mạo danh. Yêu cầu người dùng quan trọng của bạn không sử dụng địa chỉ nào khác để liên lạc trong môi trường của bạn. Nhưng, tùy thuộc vào tổ chức của bạn, chỉ thêm người gửi hoặc tên miền bị xác định sai là các nỗ lực mạo danh. Sau khi thêm các mục, hãy thường xuyên theo dõi danh sách.
- Như đã giải thích ở trên, cả hai tùy chọn Enable Mailbox Intelligence và Enable Intelligence for Impersonation Protection đều cần được chọn.
- Chọn Spoof Intelligence và nhấn Save.
- Sau khi lưu, hãy điều hướng đến mục Action > chọn Edit Actions
- Tôi khuyên bạn nên thiết lập tất cả các hành động thành Quarantine the message.
- Chọn request to release quarantine policies cho tất cả các hành động, ngoại trừ hành động thu thập thông tin hộp thư.
- Bật tùy chọn Honor DMARC record policy when the message is detected as spoof > cài đặt này sẽ tuân thủ chính sách DMARC của người gửi đối với các lỗi xác thực email (lỗi rõ ràng).
- Cài đặt: Nếu tin nhắn bị phát hiện là giả mạo và Chính sách DMARC được đặt là p=quarantine
- Hành động: Cách ly tin nhắn
- Cài đặt: Nếu tin nhắn bị phát hiện là giả mạo và Chính sách DMARC được đặt là p=reject
- Hành động: Từ chối tin nhắn (NDR)
- Cài đặt: Nếu tin nhắn bị phát hiện là giả mạo và Chính sách DMARC được đặt là p=quarantine
LƯU Ý: Các hành động của chính sách ghi nhận DMARC Honor chỉ có hiệu lực nếu thư bị phát hiện là thư giả mạo bởi Spoof Intelligence. Nếu EOP, thông qua các kiểm tra xác thực email ngầm định, cho phép người gửi dựa trên kết quả trong phần Xác thực tổng hợp, thì thư DMARC không thành công vẫn có thể đến tay người nhận. Để giải quyết vấn đề này, hãy xem xét tạo quy tắc luồng thư để từ chối những thư như vậy.
- Hãy kiểm tra tất cả các mẹo an toàn để giúp người nhận nhận biết rõ hơn các dấu hiệu đáng ngờ trong email.
THÊM: Cuộc tấn công giả mạo tự thân
Tôi nhận thấy rằng khi người dùng bị nhắm mục tiêu bởi hành vi giả mạo tự gửi thư đến chính mình, và tin nhắn bị phát hiện bởi Hệ thống Phát hiện Giả mạo (Spoof Intelligence), với hành động được cấu hình là ” Nếu tin nhắn bị phát hiện là giả mạo và Chính sách DMARC được đặt là p=reject” thành “Từ chối tin nhắn” , người dùng sẽ nhận được thông báo lỗi gửi thư (NDR) trong Hộp thư đến từ Exchange Online với email giả mạo gốc được đính kèm .eml. Mặc dù đây là hành vi được dự đoán trước, nhưng kết quả này thường không mong muốn. Tôi đã liên hệ với Microsoft về vấn đề này và họ đã triển khai bản sửa lỗi. Giờ đây, thông báo lỗi gửi thư này được gán phán quyết là thư rác có độ tin cậy cao ( HSPM) hoặc thư rác ( SPM), đảm bảo email sẽ nằm trong Thư mục Thư rác. Thông báo lỗi gửi thư này được xử lý khác với email thông thường và các HSPMhành SPMđộng trong chính sách chống thư rác đến không được áp dụng.
Tóm lại
Giả mạo người dùng:
- Hành vi mạo danh người dùng liên quan đến việc sử dụng kết hợp tên hiển thị và địa chỉ email của người dùng để làm cho email trông giống với email của người gửi hợp pháp hoặc đáng tin cậy.
- Danh mục Chính sách Bảo vệ (CAT):
UIMP(Mạo danh người dùng) trong tiêu đề X-Forefront-Antispam-Report
Giả mạo tên miền:
- Giả mạo tên miền xảy ra khi tên miền của người gửi bị thao túng để trông giống với tên miền hợp pháp.
- Danh mục Chính sách Bảo vệ (CAT):
DIMP(Mạo danh tên miền) trong tiêu đề X-Forefront-Antispam-Report
Thông minh hộp thư:
- Hoạt động tương tự như tính năng bảo vệ chống mạo danh người dùng; tuy nhiên, nó sử dụng nội dung hộp thư để xác định các nỗ lực lừa đảo.
- Danh mục Chính sách Bảo vệ (CAT):
GIMP(Giả mạo thông tin hộp thư) trong tiêu đề X-Forefront-Antispam-Report
Trí tuệ giả mạo:
- Hành vi giả mạo xảy ra khi
Fromđịa chỉ (Người gửi P2) trong thư điện tử không khớp với tên miền của nguồn thư (Người gửi P1). - Danh mục Chính sách Bảo vệ (CAT):
SPOOF(Giả mạo) trong tiêu đề X-Forefront-Antispam-Report
Vậy là tôi vừa phân tích và hướng dẫn xong cho bạn Cách cấu hình Anti-phishing policies trên Microsoft Defender for Office 365. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
