Senator VS wil dat overheid standaard tegen phishing uitrolt
De Amerikaanse Senator Ron Wyden heeft het ministerie van Homeland Security verzocht om bij alle federale overheidsinstanties DMARC te verplichten, een standaard die bescherming tegen phishingmails biedt. Via Domain Message Authentication Reporting & Conformance (DMARC) kunnen organisaties aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen.
Op deze manier kunnen spam en phishingmails worden gestopt. "De dreiging van criminelen en buitenlandse overheden die zich als Amerikaanse overheidsinstellingen voordoen is echt", aldus Wyden in een brief (pdf) aan het ministerie van Homeland Security. Wyden wil dat Homeland Security de autoriteit die het heeft gebruikt om DMARC voor overheidsinstanties te verplichten. Dit moet voorkomen dat aanvallers berichten kunnen versturen die van het .gov-domein afkomstig lijken. De senator wijst naar het gebruik van DMARC door de Britse overheid, waar het een groot effect had. Eerder dit jaar riep de Amerikaanse toezichthouder FTC bedrijven al op om DMARC uit te rollen.
Onzin. DMARC helpt niet tegen spam of phishing mails. De gebruiken zelden een gespoofde afzender. DMARC helpt alleen tegen misbruik van domeinnamen.
Overigens is dat ook precies was de brief van deze senator aangeeft. Dat het tegen spam en phishing helpt, is een toevoeging van de redactie.
In spam, en zeker in spear phishing, wordt spoofing heel vaak gebruikt. Het zal niet altijd helpen, maar dat beweert ook niemand. Het is dus *geen* onzin.
Voorbeeld -
Waar DKIM en DMARC kunnen helpen in geval van phishing
https://www.sidn.nl/a/veilig-internet/waar-dkim-en-dmarc-kunnen-helpen-in-geval-van-phishing
Niet altijd is een zware overstatement bij phishing. Je bedoelt: een enkele keer of hooguit soms. Ook bij ceo fraude wordt vaak de afzender vervalst.
Overigens helpt DMARC niet als de bron gewoon niet te vertrouwen is, zoals Gmail of outlook.com. Google en Microsoft zijn de grootste bronnen van spam (qua netwerk).
De mens is de zwakste schakel (en kan ook de stekste zijn).
Elke security professional meent dat awareness een basisvoorwaarde voor effectieve veiligheid is.
In geval van Email. Awareness heeft alleen maar nut als betrouwbare emails herkenbaar worden.
De hier voorgestelde methoden zijn heel bruikbaar als zowel de verzender als de ontvanger een emailserver hebben. De meeste particulieren hebben die niet. En juist daar ligt een grote uitdaging.
Als alle formele (betrouwbare) organisaties alleen maar emails uitsturen die digitaal zijn ondertekend (certificaten van goede merken zoals PKI-O in Nederland), dan kan een gebruiker de niet digitaal ondertekende emails van bewust-bekwame-slechteriken herkennen. Een emailserver kan heel goedkoop worden voorzien van een ondertekeningscertificaat die volgens EIDAS geautomatiseerd mag worden gebruikt.
Dat lost niet alle problemen op. Er bestaat ook geen silver bullit.
Vrienden moeten nog steeds niet-ondertekende emails naar elkaar kunnen verzenden (meestal kent iemand zijn kennissen wel).
Een bewust-bekwame-slechterik kan ook een betrouwbaar certificaat kopen en gebruiken. In dat geval zijn er sporen waarop gerechercheerd kan worden.
Een bewust-bekwame-slechterik kan ook een selfsigned certificaat gebruiken. Maar die is dan niet te valideren en wordt daarmee herkenbaar.
Verkeersregels in het verkeer garanderen niet dat er nog ongelukken gebeuren, maar zorgen er wel voor dat er aanzienlijk minder ongelukken gebeuren dan zonder regels. Zo is dat ook met email verkeer.
Mvg
FB
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.