Обновена на 21.09.2022 от Questo
Почти три четвърти от основните държавни институции в България не използват протокол за имейл валидиране. Сред тях са ключови държавни структури като Национална агенция по приходите, Национален осигурителен институт и Български пощи, част от които вече са били мишени на фишинг кампании.
Липсата на имейл валидиране дава възможност на злонамерени лица да изпращат фишинг от името на тези институции. Например, възможно е да получите имейл от някой, представящ се за служител на НАП или съдия-изпълнител, че имате неплатени данъци и банковата ви сметка ще бъде запорирана (подобна фишинг кампания имаше през 2021 г.)
Тъй като писмото идва от имейл адрес h.georgieva@ro14.nap.bg, вие въобще не поставяте под въпрос автентичността му. Всъщност обаче то е изпратено от измамници, които искат да откраднат личните ви данни, да ви заразят с малуер или да ви накарат да им изпратите пари.
Въпреки че измамниците продължават да се представят за НАП, изпращайки от нейно име фалшиви имейли, институцията все още не използва DMARC – протоколът за валидиране, който блокира получаването на фалшиви имейли. DMARC все още не се използва и от Български пощи, която също е била имперсонирана във фишинг кампании.
Имейл валидацията се счита за стандартно решение за борба с фишинга. Тя засича, когато има несъответствие между домейна на имейл адреса и имейл сървъра, от който е изпратено писмото. Блокира го и така фалшивия имейл не може да достигне до пощенската кутия на получателя. В САЩ около 74% от федералните институции го използват, за да борят спама, който се изпраща от тяхно име.
В България ситуацията е обърната надолу с главата. Направих проверка за 60 държавни институции и 71% въобще не използват DMARC или го използват по начин, който не спира спама, а само отчита наличието му.
Ето някои от институциите, които нямат защита срещу разпращане на спам от тяхно име:
Българска фондова борса: операторът, който управлява търговията с ценни книжа на български компании. Фалшив имейл от името на БФБ би могъл да има влияние върху вземането на решения от инвестиционната общност в България, както и да повлияе на емитентите на ценни книжа.
Национален осигурителен институт: институцията, която се грижи пенсиите на българските граждани. Фалшив имейл от името на НОИ би могъл да засегне всеки работещ или пенсионер.
Агенция по вписванията: държавната структура, която се грижи за регистрацията на юридически лица. Фалшив имейл от нейно име би могъл да засегне всеки от стотиците хиляди търговци и неправителствени юридически лица в България.
Ефективна защита срещу имейл фалшификация нямат повечето министерства и няколко важни за икономиката институции като Агенцията за обществени поръчки и Българската агенция за инвестиции.
Министерски съвет и Президентството не са защитени. Макар президентството да използва протокола, той е настроен така, че само отчита опитите за спам, но не ги блокира.
Повечето български партии, които се борят за място в парламента през 2022 г., също не използват имейл валидиране.
Защо това е проблем
Държавните учреждения едва ли искат някой да разпраща имейли от тяхно име: още повече когато това е предпоставка за извършването на престъпления. Досегашните опити за спам от името на държавни институции показват, че в най-добрия случай се внася смут и объркване сред потребителите.
DMARC е лесна за имплементриане защитна мярка, която се очертава като стандарт: подобно на HTTPS, който вече масово се използва от уебсайтовете. Защо толкова много организации отказват да го използват?
От всички тествани институции само седем имат рестриктивна политика за блокиране на фалшиви имейли. Това са Сметната палата, Министерство на здравеопазването, Държавна комисия по стокови борси и тържища, Изпълнителна агенция „Българска служба за акредитация“, Комисия за защита на потребителите, Комисия за финансов надзор и Национална здравноосигурителна каса.
Потребителите могат да се предпазят от спам, ако използват сигурна поща със спам филтри. Безплатни продукти като Gmail например имат сравнително добра защита срещу фишинг.
Само че не можеш да прехвърлиш цялата отговорност за предпазване от фишинг на потребителя. По една или друга причина някои от тях предпочитат не толкова сигурни имейл услуги. Отговорното поведение предполага институциите също да вземат някакви мерки срещу фишинга, вместо постфактум да предупреждават за него в прес съобщения.
Или както гласи клишето: спасяването на давещите се е дело на самите давещи се.
Благодаря ви