PayPal wil phishing-aanvallen met SPF oplossen
PayPal-klanten werden de laatste weken van maart massaal bestookt met phishing-mails, toch denkt het bedrijf de oplossing voor het probleem te hebben gevonden. Een meerlaagse verdediging waarbij phishingberichten worden geïdentificeerd en geblokkeerd speelt de rol in een nieuwe aanpak. Binnen die aanpak is een hoofdrol weggelegd voor SPF (Sender Policy Framework) en DomainKeys, die het steeds lastiger voor phishers maken om hun berichten af te leveren. Een DomainKeys test bij Yahoo zorgde er in de eerste maanden voor het blokkeren van meer dan 50 miljoen phishingberichten
De oplossing lijkt simpel, PayPal tekent elk uitgaand bericht. De ISP controleert of de e-mail als afzendadres @paypal.com heeft. De signature wordt gecontroleerd aan de hand van de beschikbare sleutel en als al deze zaken kloppen levert de ISP het bericht af. Er is echter een praktisch probleem en dat is het aantal ISPs dat SPF en DomainKeys moet instellen. PayPal ontdekte gauw dat meer dan 80% van haar gebruikers bij een van de zes grootste ISPs ter wereld is aangesloten.
E-mail client plug-in
Zolang niet alle ISPs SPF en DomainKeys hebben ingesteld heeft de betaaldienst ook nog andere maatregelen die phishing-aanvallen in de kiem moeten smoren. De belangrijkste is de samenwerking met e-mail clients. Via plug-ins kunnen gebruikers zien of de ontvangen PayPal e-mail wel legitiem is. Verder zet PayPal in op het onderwijzen van gebruikers, het blokkeren van phishing websites via browsers, authenticatie en samenwerking met overheden.
Er bestaat geen 'silver bullet' die het phishing-probleem oplost, zo laat Michael Barrett, chief information security officer bij PayPal weten. "We hebben geen oplossing gevonden die in z'n eentje phishing kan stoppen, of geloven we dat zoiets bestaat. Onze aanpak is gebaseerd op een holistisch 'defense in depth' model. In deze aanpak zijn meerdere verdedigingslagen. Geen enkele laag kan alleen phishing verslaan, maar gecombineerd maken ze een gigantisch verschil," zo is te lezen in dit rapport. De cijfers lijken de aanpak van PayPal te ondersteunen. Was het twee jaar geleden nog goed voor 75% van alle phishingberichten, inmiddels is het 'aandeel' teruggelopen naar 5%.
plug-ins
IP mag verzenden - van de eigenaar van het domein. Deze maatregel zorgt er
alleen maar voor de phishers een ander afzender domein zullen gebruiken,
met SPF en dus de valse suggestie dat de afzender betrouwbaar is.
Juist het feit dat een afzender claimt van ebay.com te zenden is een giveaway
voor spam filters, en die mogelijkheid wordt omzeep geholpen. Dus het werkt
sterk averechts.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.