Trên khắp các quốc gia và ngành công nghiệp, một công nghệ đã chia sẻ vô số bí mật trong hơn hai thập kỷ. Vâng, mặc dù sự phát triển của phương tiện truyền thông xã hội, ứng dụng nhắn tin và công cụ quản lý dự án, email vẫn là kênh liên lạc trực tuyến thực tế số một – nhưng nó cũng là một nguồn đáng quan tâm khi nói đến bảo mật.
Khi bạn tính đến thời đại công nghệ và khuyến khích tin tặc cố gắng gian lận, thật dễ dàng để biết lý do tại sao nó tiếp tục làm phiền các doanh nghiệp và cá nhân. Nó thực sự hơn của một mối quan tâm hơn bao giờ hết, vì sự ra đời của xác thực đa yếu tố , lưu trữ đám mây, hệ sinh thái kỹ thuật số và thông tin đăng nhập xã hội đã để lại nhiều người trong chúng dựa vào sự an toàn của địa chỉ email của chúng tôi chỉ đơn giản là để có được thông qua trong ngày.
Đáng buồn thay, chỉ cần có một mật khẩu phức tạp và bảo vệ nó là không đủ, bởi vì email có thể bị tấn công theo những cách khác: giả mạo, giả mạo và được sử dụng để thao túng mọi người. Đây là nơi mà các khung bảo mật email trở nên cực kỳ quan trọng – chúng làm cho việc tin tưởng vào tính hợp pháp của email của bạn trở nên dễ dàng hơn rất nhiều.
Nhưng tại sao gian lận lại là một mối đe dọa như vậy? Các khung này là gì và làm thế nào để giúp chủ sở hữu trang web tiến hành an toàn? Bạn có thể thực sự dựa vào họ để bảo vệ bạn? Hãy xem nào.
Tại sao email lừa đảo là một vấn đề rắc rối như vậy
Chúng ta đang ngày càng hướng tới thanh toán không dùng tiền mặt, ngân hàng trực tuyến và làm việc từ xa đòi hỏi truyền thông kỹ thuật số sâu rộng và chuyên sâu (thường là về các chủ đề nhạy cảm). Chúng ta càng tin tưởng vào email, chúng càng trở nên hấp dẫn hơn đối với tin tặc – thậm chí còn nhiều hơn khi các email liên quan đến những người không biết đủ về công nghệ để biết khi nào chúng được liên kết.
Nếu ai đó chỉ biết sử dụng email nhưng không biết rằng việc giả mạo email thậm chí có thể nhận được email lừa đảo, họ sẽ không nghi ngờ gì. Và năng suất cho những kẻ lừa đảo thậm chí còn giàu tiềm năng hơn những gì họ có thể đạt được thông qua các vụ lừa đảo qua điện thoại, bởi vì họ có thể tự động hóa các email lừa đảo của họ và tránh các cuộc trò chuyện qua điện thoại có thể làm lộ ra những lỗ hổng trong câu chuyện trang bìa của họ.
Đối với các tên miền hợp pháp, gian lận email là một mối lo ngại lớn vì nó làm cho chúng trông xấu. Ngay cả khi mọi người cuối cùng biết rằng bạn không chịu trách nhiệm, họ vẫn sẽ liên kết thương hiệu của bạn với gian lận ở một mức độ nào đó. Vì vậy, nếu bạn muốn tên miền của mình được tin cậy (và mọi người được an toàn trước những nỗ lực khai thác chúng trong tên của bạn), bạn sẽ cần bảo mật email của mình. Đây là cách thực hiện:
Giới thiệu các khung bảo mật email phổ biến nhất
Hai khung email được sử dụng thường xuyên nhất là SPF (Khung chính sách người gửi) và DKIM (Thư xác định tên miền) và chúng hoạt động tương tự nhưng theo các cách hơi khác nhau: SPF yêu cầu tên máy chủ hoặc địa chỉ IP được hỗ trợ, trong khi DKIM yêu cầu được mã hóa chính xác thông điệp tiêu đề. Hãy xem xét một lời giải thích chi tiết hơn:
Cách hoạt động của SPF
Khi bạn bật SPF trên tên miền của trang web, bạn sẽ thiết lập danh sách tên máy chủ và địa chỉ IP được coi là nguồn email hợp pháp từ tên miền đó, danh sách được thêm vào bản ghi DNS cho trang web (bản ghi liên kết URL của bạn với địa chỉ IP của bạn).
Mỗi hệ thống email dường như nhận được email từ một địa chỉ trên tên miền đó sẽ lấy địa chỉ IP được sử dụng để gửi và so sánh nó với danh sách trong bản ghi DNS. Nếu đó là một trận đấu, email sẽ được coi là hợp pháp – nếu đó không phải là một trận đấu, thì hệ thống sẽ biết rằng email đó là lừa đảo (hoặc đã sai một cách khủng khiếp bằng cách nào đó).
Cách thức hoạt động của DKIM
Khi bạn kích hoạt DKIM, sẽ có cách tiếp cận riêng biệt là sử dụng mã hóa để xác minh. Tên miền sẽ có một khóa riêng được giữ bí mật và được sử dụng để mã hóa một tin nhắn ẩn trong tiêu đề của mỗi email, cũng như một khóa giải mã công khai được thêm vào bản ghi DNS.
Mỗi hệ thống email nhận một email có mục đích từ tên miền đó sẽ lấy khóa chung từ bản ghi DNS và cố gắng giải mã tin nhắn ẩn. Nếu nó thành công, nó sẽ biết rằng email đến từ đúng nơi. Nếu thất bại, nó sẽ biết rằng người gửi đã bị giả mạo.
DMARC liên quan gì
DMARC, viết tắt của Xác thực, Báo cáo và Tuân thủ Tin nhắn dựa trên Tên miền, là một hệ thống bao gồm SPF và DKIM trong khi đưa ra một số tùy chọn, thiết lập chính sách và báo cáo khi cần.
Khi bạn thiết lập DMARC, về cơ bản, bạn sẽ chỉ định phương thức nào được sử dụng cho các email từ tên miền của bạn (có thể cả hai), cũng như những gì nên được thực hiện khi phát hiện ra các email không đáp ứng tiêu chuẩn đã chọn của bạn. Bạn cũng có thể thiết lập thông báo để kích hoạt để bạn sẽ biết về các nỗ lực mạo danh địa chỉ email của mình ( giống như cách bạn có thể nhận thông báo về các thay đổi đối với trang web WordPress ).
Cách hành động để giữ an toàn cho email của bạn
Nếu bạn muốn email của mình đáng tin cậy và người nhận cảm thấy an toàn khi truy cập chúng, bạn nên chắc chắn làm mọi thứ có thể để bảo vệ chống gian lận. Ít nhất, hãy thực hiện ba bước sau:
- Bảo vệ cẩn thận danh sách email của bạn. Ngay cả khi bạn đảm bảo rằng mọi email tự xưng là từ tên miền của bạn sẽ được kiểm tra, vẫn rất nguy hiểm cho những kẻ lừa đảo nắm giữ danh sách địa chỉ của bạn, bởi vì rất nhiều người (thường là từ các thế hệ cũ) sẽ không kiểm tra người gửi rất chặt chẽ nếu nội dung rõ ràng giống với một cái gì đó họ nhận ra. Bảo vệ danh sách email của bạn để mọi người sẽ có ít lý do hơn để nhắm mục tiêu đối tượng của bạn ( dù sao bạn cũng nên làm điều này sau GDPR ).
- Cấu hình một khung bảo mật. Bạn có thể sử dụng SPF, DKIM hoặc DMARC – nhưng bất kể bạn làm gì, hãy đảm bảo tuân theo các thực tiễn tốt nhất cho bất kỳ hệ thống nào bạn đang sử dụng và xác nhận rằng nó hoạt động. Nếu bạn sử dụng phần mềm tự động hóa email cho tiếp thị của mình, hãy đảm bảo thiết lập nó như một nguồn đáng tin cậy để các email mà nó phân phối không bị từ chối là bất hợp pháp khi giao hàng.
- Cảnh báo người đăng ký của bạn phải cẩn thận. Đã làm mọi thứ bạn có thể về phía phương trình, vẫn đáng để tiếp cận với khán giả của bạn (đặc biệt nếu nó không rành về công nghệ) để cảnh báo họ về triển vọng lừa đảo . Cho họ biết loại tin nhắn nào bạn sẽ gửi cho họ – và loại tin nhắn nào bạn sẽ không bao giờ gửi – và mời họ liên hệ trực tiếp với bạn nếu họ không chắc chắn về tin nhắn mà bạn cho là đã gửi cho họ.
Làm tất cả những điều này và bạn sẽ có thể tiến hành với một mức độ chắc chắn được cải thiện nhiều rằng email của bạn sẽ an toàn và khán giả của bạn sẽ được bảo vệ khỏi mối đe dọa lớn về gian lận email.