加强电子邮件安全的关键策略

关键要点

在对抗不断增长的电子邮件安全威胁及合规性审查中，金融机构正逐渐重视一种长期存在的电子邮件验证系统，即“基于域名的邮件认证报告与合规”（DMARC），以减少网络犯罪的风险。该系统由PayPal、谷歌、微软和雅虎于2012年推出，旨在降低金融欺诈风险。尽管过去十年金融行业在这方面做出了巨大努力，但网络犯罪依然在不断上升。

为了应对日益增加的电子邮件泄露和合规性审查，越来越多的金融机构开始重新考虑在更大范围内应用早已存在的电子邮件验证系统，来遏制网络犯罪的蔓延。

DMARC系统最初在2012年由PayPal、谷歌、微软和雅虎共同推出，专门设计用于减少经济损失，特别是那些十年前就已经普遍存在的欺诈电子邮件导致的损失。现在，随着的频率和成本不断上升，以及金融监管机构对未能有效遏制网络犯罪的机构进行打击，银行、信用社和投资公司正更加关注DMARC，即使之前并未重视。

据DMARC供应商Valimail的首席技术官SethBlank称，。

“DMARC在这里是一个关键的防御手段，”Blank表示。“DMARC是二元的——你要么处于强制执行状态，要么不处于。如果你没有达到强制执行的标准，你就会面临网络攻击的风险。”

DMARC起源于在线支付和金融领域。实际上，DMARC的诞生是为了减少商业电子邮件诈骗及其他钓鱼相关的骗局，特别是为了降低__支付和金融欺诈。

在2000年代初，随着在线商业的迅速发展，P2P支付巨头PayPal每小时就遭受2300美元的欺诈损失，Blank说道。到2010年，诈骗者通过“伪造公司的电子邮件域名发送钓鱼信息”，每月盗取PayPal客户的数千万美元。

“诈骗者利用消费者对[支付网站]的信任，欺骗客户分享账户信息，甚至直接向错误的收款人转账，”Blank称。“而且，PayPal知道这些行为严重损害了其声誉。”因此，DMARC应运而生。

十年后：尽管金融行业在解决这一问题方面做出了巨大努力，FBI的调查发现，仅在去年，BEC诈骗就让组织遭受近24亿美元的损失。在2021年，该局还表示，有近324,000起与钓鱼相关的诈骗报告。

更近期的，由美国证券交易委员会（SEC）提出的立法，凸显了金融机构在保护客户信息方面的责任，尤其是在BEC猖獗的情况下。在2021年，和程序上的失误，导致电子邮件账户被攻破，个人信息被泄露。例如，未经授权的人接管了60个
而这些账户“并未按照Cetera的网络安全政策进行保护”，Blank补充道。

同样，在2018年9月至2019年12月之间，网络犯罪分子侵犯了15名KMS员工和4,900名KMS客户的电子邮件账户，Blank指出。此次攻击后，KMS直到2020年5月才制定出书面的网络安全政策或程序。进一步的SEC调查发现，该公司直到2020年8月才开始实施这一书面政策。

“这些钓鱼事件和[BEC](https://www.scworld.com/brief/email-security/fbi-over-43b-in-
bec-losses-reported-in-five