谷歌、Facebook、微软、雅虎以及其他11家公司周一联合宣布,组建新联盟DMARC打击网络钓鱼,开发新电邮标准防止钓鱼事件的发生。网络钓鱼是指向用户发送电邮,欺骗用户提供包括信用卡账号在内的敏感信息。该联盟名为DMARC,为域名消息认证、鉴别、报告和一致 (Domain-based Message Authentication, Reporting and Conformance)的首字母缩写,旨在制定新电邮标准防止钓鱼事件的发生。
“用户感到最糟糕的一种经历就是遭到钓鱼攻击,”谷歌产品经理、DMARC代表亚当·道斯(Adam Dawes)表示,“保护他们最好的方式就是确保电邮无法进入用户的垃圾邮件文件夹。”
如今钓鱼信息往往会把电邮客户端的垃圾过滤器捕捉到,但即便被列入了垃圾文件夹中,有的用户还是禁不住打开信息看看,在用户恍然大悟之前,已经有人盗取其信用卡账号。DMARC的目标是让电邮公司幕后进行工作防止钓鱼电邮进入收件箱或垃圾文件夹。
大约18个月前,PayPal已经开始与谷歌、雅虎合作为Gmail和雅虎电邮制定新标准,防止虚假PayPal信息进入用户的收件箱。 PayPal安全经理布雷特·麦克道尔(Brett McDowel)、DMARC主席表示,他们三家公司每天封锁逾20万条虚假PayPal信息。
最终,PayPal、谷歌和雅虎开始寻求让其他公司加入联盟,并开始使用DMARC协议,随着更多公司开始使用该协议,工程师将意识到新漏洞并予以修补。Facebook消息工程师迈克·阿德金斯(Mike Adkins)表示,虽然该联盟周一才宣布,但用户其实已经开始接受DMARC保护。
DMARC基于现有技术,包括发送方策略框架 (Sender Policy Framework) 、域名密钥邮件确认(DomainKeys Identified Mail,DKIM),这两个都是常用邮件安全协议,SPF确认电邮发送方的IP地址,DKIM则审查电邮内容结构,并与真实发送方的编码信息进行比对。
DMARC并不是打击网络钓鱼的唯一跨界合作方式,非盈利机构反钓鱼工作小组就鼓励企业分享他们的反钓鱼策略和技术。反钓鱼软件开发商趋势科技高级安全研究员保罗·弗格森(Paul Ferguson)表示,他支持任何打击恶意软件和钓鱼的合作。“唯一需要提醒的是,这种合作可能会出现太多,导致彼此进行抗衡。”弗格森说。即便是在一家公司内部,营销部门可能支持一家反钓鱼小组,而研究部门则支持另一个小组。
麦克道尔重申,DMARC的目标–至少是目前–就是捍卫合法域名,而不是处理拼写伪装域名,骗子使用看起来像普通域名的域名进行攻击,但其实该域名在拼写上与合法域名有略微差别。
“当邮件发接双方都采用了DMARC标准后,域名钓鱼攻击就会被杜绝。”麦克道尔称。