E-post är trasig av design—och de visste det från början
Ingenting är sant. Allt är tillåtet. Inklusive—särskilt—e-postavsändaradresser. SMTP specificerades i RFC 821 1982 för betrodda akademiker som trodde alla var ärliga. Fyrtiotre år senare, 2025, är e-postautentisering fortfarande valfri. Detta är inte en bugg. Det är en funktion. För någon. Gissa vem?
Tänk själv. Ifrågasätt auktoriteter. Ifrågasätt det där brådskande mejlet från "din VD" som begär iTunes-presentkort. Ifrågasätt "IT-support" som ber om ditt lösenord via e-post. Ifrågasätt varför e-post—den mest kritiska affärskommunikationskanalen—har säkerhetsarkitekturen hos ett vykort. FNORD. Din inkorg är en hotvektor och har alltid varit det.
På Hack23 är vi paranoida nog om e-post för att anta att allt är fientligt tills motsatsen bevisats kryptografiskt. E-postsäkerhet är inte hoppbaserad filtrering och användarmedvetenhetsträning—det är obligatorisk SPF/DKIM/DMARC-verkställighet som automatiskt sätter förfalskade domäner i karantän innan de når mänskliga ögonglobar. För människor är sårbarheten. Alltid har varit. Hårdvaru-2FA (YubiKey) för alla konton—ingen SMS, ingen TOTP, inga "bara den här gången"-undantag. Kvartalsvisa nätfiske-simuleringar där vi medvetet attackerar vårt eget folk för att mäta klickfrekvensen. Vi vapenar paranoia.
UPPLYSNING: Din VD behöver inga iTunes-kort. Det är inte din VD. Det är en angripare som vet att e-postavsändaradresser är trivialt förfalskade och de flesta människor litar på vad de ser snarare än vad som är tekniskt sant. Välkommen till Chapel Perilous, där du ifrågasätter varje e-post, verifierar varje begäran genom olika kanaler och inser att e-postsäkerhet är en självmotsägelse utan kryptografiskt bevis. Är du paranoid nog för att verifiera out-of-band?
Vårt tillvägagångssätt: Gmail Workspace (för Google läser redan alla dina e-postmeddelanden ändå, kan lika gärna få Advanced Protection och Security Sandbox i utbyte), DNS-nivåautentisering (SPF/DKIM/DMARC med karantänpolicy—för förtroende måste verifieras kryptografiskt) och systematisk nätfiske-utbildning (för användare är den svagaste länken och starkaste försvaret samtidigt). Detta demonstrerar cybersäkerhetskonsultkompetens genom mätbar paranoia konverterad till tekniska kontroller. Fullständiga detaljer i vår publika Nätverkssäkerhetspolicy — E-postsäkerhetsarkitektur. Ja, publik. För obskyritet är inte säkerhet—det är bara obskyritet. FNORD.
Redo att implementera ISO 27001-efterlevnad? Lär dig om Hack23:s cybersäkerhetskonsulttjänster och vårt unika publika ISMS-tillvägagångssätt.
De fem e-posthotkategorierna: Varför e-post är primär angreppsvektor
1. 🎣 Nätfiske & Riktat nätfiske
Klicka på den här länken för att verifiera ditt konto. Massnätfiske riktar sig mot alla. Riktat nätfiske riktar sig mot specifika individer med efterforskade personliga detaljer. Båda stjäl autentiseringsuppgifter eller levererar skadlig programvara.
Försvar: Gmail Advanced Protection, länkomskrivning, bilagasandbox, obligatorisk säkerhetsutbildning med simulerade nätfiske-tester kvartalsvis.
Nätfiske fungerar för människor litar på visuella ledtrådar (logotyper, formatering) över teknisk verklighet (faktisk avsändardomän).
2. 💰 Business Email Compromise (BEC)
VD behöver banköverföring ASAP. Utger sig för att vara chefer för att begära brådskande finansiella transaktioner. FBI rapporterar 43 miljarder dollar förlorade globalt 2016-2021. Mest framgångsrik cyberattacktyp efter ekonomisk påverkan.
Försvar: DMARC-karantänpolicy blockerar förfalskade domäner. Out-of-band-verifiering obligatorisk för finansiella begäranden >500 €. Detektering av visningsnamnsförfalskning i Gmail.
BEC riktar sig mot ekonomiavdelningar för de är tränade att svara brådskande på chefsbegäranden—säkerhet vs efterlevnadskonflikt.
3. 🦠 Skadlig programvara & Ransomware-leverans
Faktura.pdf.exe bifogad. Skadliga bilagor levererar ransomware, keyloggrar, fjärråtkomsttrojaner. Makroaktiverade Office-dokument förblir effektiv angreppsvektor trots decennier av varningar.
Försvar: Gmail Security Sandbox analyserar bilagor i isolerad miljö. Farliga bilagtyper blockerade (.exe, .scr, .vbs). Slutpunktsskydd (antivirus, EDR) som försvar-i-djup.
Filnamnstillägg kan förfalskas (faktura.pdf.exe visas som "faktura.pdf" med standardinställningar i Windows). Visa alltid filnamnstillägg.
4. 🕵️ Kontokompromiss & Dataexfiltrering
Komprometterade autentiseringsuppgifter möjliggör beständig åtkomst. Stulna e-postlösenord ger åtkomst till e-posthistorik, kontakter, kalender, Google Drive. Angripare använder komprometterade konton för laterala nätfiske-attacker mot kontakter.
Försvar: Hårdvaru-2FA (YubiKey) krävs för alla konton—ingen SMS-fallback. Lösenordshanterare (1Password) med unika lösenord per tjänst. Gmail Vault för granskningsloggkvarhållning.
E-postkompromiss är beständig—angripare upprätthåller åtkomst genom e-postvidarebefordringsregler och OAuth-token-bidrag även efter lösenordsändringar.
5. 🔍 E-postförfalskning & Domänimitation
SMTP tillåter avsändaradressförfalskning. Utan SPF/DKIM/DMARC kan vem som helst skicka e-post och påstå sig vara från vilken domän som helst. Typosquatting-domäner (hack23.com vs hack23.co) kringgår enkla kontroller.
Försvar: SPF (auktoriserade sändservrar), DKIM (kryptografisk signatur), DMARC (policyverkställighet: karantän/avvisa). Övervaka DMARC-rapporter för imitationsförsök.
SPF/DKIM/DMARC skyddar mottagare från e-postmeddelanden som påstår sig vara från din domän—skyddar ditt varumärkesomdöme, inte din inkorg.
E-postautentiseringsstack: SPF + DKIM + DMARC
| Teknologi | Syfte | Hack23-konfiguration | Validering |
|---|
| SPF (Sender Policy Framework) | Auktoriserar vilka e-postservrar som kan skicka från domän | TXT-post listar Gmail + SendGrid som auktoriserade avsändare | SPF Pass krävs, -all (hårt misslyckande) för oauktoriserad |
| DKIM (DomainKeys Identified Mail) | Kryptografisk signatur bevisar e-postautenticitet | Gmail signerar all utgående e-post med 2048-bitars RSA-nyckel | DKIM-signaturverifiering på inkommande e-post |
| DMARC (Domain-based Message Authentication) | Policyverkställighet: vad göra med misslyckad SPF/DKIM | p=quarantine för icke-justerad e-post, aggregerade rapporter till security@ | Veckovis DMARC-rapportanalys för imitationsförsök |
| MX-poster + TLS | E-postroutning med kryptering under överföring | Gmail MX-poster, verkställd TLS för e-posttransport | Opportunistisk TLS verifierad via Gmail-administratörskonsol |
DMARC-policyutveckling: Börja med p=none (övervakning), analysera rapporter i 30 dagar, flytta till p=quarantine (misslyckad e-post skickas till spam), eventuellt p=reject (hårt block). Vi är på p=quarantine med 95%+ legitim e-post som passerar autentisering.
AUTENTISERINGSUPPLYSNING: SPF/DKIM/DMARC skyddar ditt domänomdöme, inte din inkorg. De förhindrar andra från att förfalska din domän—inkommande nätfiske kräver olika kontroller (filtrering, träning, sandboxing).
Vårt tillvägagångssätt: Gmail Workspace + Hårdvaru-MFA + Utbildning
På Hack23 är e-postsäkerhet lagrat försvar som kombinerar tekniska kontroller och mänsklig medvetenhet:
📧 Gmail Workspace Enterprise-säkerhet:
- Advanced Protection: Förbättrad nätfiske/skadlig programvara-detektering med maskininlärning och omdömesanalys.
- Security Sandbox: Misstänkta bilagor analyserade i isolerad miljö före leverans.
- Länkomskrivning: URL:er i e-post omskrivna till klicktidsanalys—blockerar skadliga sajter även om länken var ren när den skickades.
- Gmail Vault: E-postkvarhållning (7 år) och juridisk spärrförmåga för efterlevnad och forensik.
- Administratörsvarningar: Automatiserade varningar för misstänkt aktivitet (massborttagningar, ovanliga inloggningsplatser, externa vidarebefordringsregler).
🔐 Hårdvaru-multifaktorautentisering:
- YubiKey-verkställighet: Alla Hack23-konton kräver hårdvaru-2FA-token—ingen SMS-fallback, inga TOTP-koder.
- Nätfiske-resistent: FIDO2/WebAuthn förhindrar MFA-bypass-attacker (reverse proxy-nätfiske, sessionskapning).
- Backup-tokens: Två YubiKeys per användare (primär + backup) lagrade separat för att förhindra utelåsning.
- Enhetsförtroende: Google Advanced Protection kräver enhetsverifiering för känslig dataåtkomst.
🎓 Obligatorisk säkerhetsmedvetenhetsutbildning:
- Kvartalsvisa nätfiske-simuleringar: Realistiska nätfiske-e-postmeddelanden skickade till alla anställda, klickspårning, åtgärdande utbildning för misslyckanden.
- Säkerhetsutbildning: Årlig omfattande utbildning (nätfiske, lösenordshantering, social ingenjörskonst, fysisk säkerhet).
- Incidentrapportering: Report Phishing-knapp i Gmail, security@-kontakt för misstänkta e-postmeddelanden, ingen skuldkultur för rapporter.
- Metrisk spårning: Nätfiske-simuleringens klickfrekvens (mål: <5%), utbildningens slutförandegrad (krävs: 100%), tid-till-rapport för misstänkta e-postmeddelanden.
💰 Protokoll för verifiering av finansiella begäranden:
- Out-of-band-verifiering: Alla finansiella begäranden >500 € kräver telefonsamtal eller personlig bekräftelse—aldrig e-post ensamt.
- Ändringsdetektering: Ändringar av bankkonton, betalningsdetaljer, banköverföringsinstruktioner kräver dubbelauktorisering.
- VD-bedrägerimedvetenhet: Explicit utbildning att VD aldrig kommer begära banköverföringar, presentkort eller lösenordsavslöjande via e-post.
- Brådska röd flagga: "BRÅDSKANDE," "KONFIDENTIELLT," "ASAP" i finansiella e-postmeddelanden utlöser ytterligare verifieringssteg.
🔍 Kontinuerlig e-postsäkerhetsövervakning:
- DMARC-rapporter: Veckovis analys av aggregerade och forensiska rapporter som identifierar imitationsförsök.
- Gmail-administratörsloggar: Kontinuerlig övervakning för misstänkt kontoaktivitet (inloggningsavvikelser, vidarebefordringsregler, OAuth-bidrag).
- Hotinformation: Google Workspace Alert Center-integration för automatiserade säkerhetsvarningar.
- Incidentrespons: Komprometterad konto-playbook (lösenordsåterställning, OAuth-återkallelse, sessionsavslutning, e-postsökning efter exfiltrering).
Fullständiga e-postsäkerhetskontroller dokumenterade i vår publika Nätverkssäkerhetspolicy — E-postsäkerhetsarkitektur med omfattande implementeringsguider för SPF, DKIM, DMARC, MTA-STS, TLS-RPT och WorkMail-konfiguration.
Välkommen till Chapel Perilous: E-post är fientlig som standard
Ingenting är sant. Allt är tillåtet. Inklusive e-postavsändaradresser. SMTP har ingen autentisering. Förtroende måste verifieras kryptografiskt (DKIM) eller avsändarauktoriserat (SPF/DMARC).
De flesta organisationer behandlar e-post som betrodd kommunikationskanal. De litar på avsändaradresser. De litar på visningsnamn. De litar på brådskepåståenden. De svarar på "VD"-begäranden utan verifiering. Sedan överför de 50 000 € till angripare och undrar vad som hände.
Vi vapenar skepticism. SPF/DKIM/DMARC-karantän blockerar förfalskade domäner automatiskt. Hårdvaru-2FA förhindrar kontokompromiss. Kvartalsvisa nätfiske-tester tränar människor att misstro e-post som standard. Out-of-band-verifiering för finansiella begäranden behandlar e-post som ej betrodd tills motsatsen bevisats.
Tänk själv, dumbom! Ifrågasätt brådskande VD-e-postmeddelanden. Ifrågasätt begäranden om lösenordsåterställning. Ifrågasätt "bara den här gången" MFA-bypass-begäranden. Ifrågasätt e-post som säker kommunikation—den är inte det, och har aldrig varit. (Spoiler: Verifiera genom olika kanaler.)
Vår konkurrensfördel: Vi demonstrerar cybersäkerhetskonsultkompetens genom mätbara e-postsäkerhetskontroller. SPF/DKIM/DMARC-verkställighet med publik DNS-verifiering. Hårdvaru-MFA med noll SMS-fallback. <5% nätfiske-simuleringens klickfrekvens. Publik e-postsäkerhetsdokumentation. Detta är inte e-postsäkerhetsteater—det är operativt försvar.
ULTIMAT UPPLYSNING: Du är nu i Chapel Perilous. Du kan fortsätta lita på e-postavsändaradresser och hoppas att anställda upptäcker nätfiske. Eller så kan du implementera SPF/DKIM/DMARC, hårdvaru-MFA och out-of-band-verifiering för finansiella begäranden. Din inkorg. Ditt val. Välj kryptografisk verifiering över hopp.
All hail Eris! All hail Discordia!
"Tänk själv, dumbom! Din VD behöver inga iTunes-kort. Det är inte din VD. Verifiera out-of-band."
— Hagbard Celine, Kapten på Leif Erikson 🍎 23 FNORD 5