基于身份的反网络钓鱼解决方案的领先提供商Valimail今天发布了其2020年税收欺诈报告的调查结果。在报告中，Valimail分析了200个可能因税收欺诈而被冒充的域名的公共DNS记录，包括2019年《财富》 100强(最大的一些雇主)，各州税收部门，联邦税收机构和知名税种准备服务。Valimail发现，这些组织中的大多数组织都对基于电子邮件的欺诈(包括网络钓鱼，BEC和W-2 /个人信息欺诈)缺乏足够的保护。

“威胁演员在历史上一直利用重大事件来增强网络钓鱼攻击，税收季节也不例外”

推这个

Valimail的分析重点在于基于域的消息身份验证，报告和一致性(DMARC)和发件人策略框架(SPF)记录的存在性和有效性。在所分析的所有领域中，有78%的组织缺少DMARC记录或未实施其DMARC政策。但是，有91%的域具有SPF记录，这表明愿意实施电子邮件身份验证-尽管SPF不能保护域以防网络钓鱼者欺骗“发件人：”字段。如果没有执行DMARC，攻击者就可以欺骗这些组织的域并发起令人信服的与税收相关的网络钓鱼攻击。

Valimail首席执行官兼联合创始人亚历山大·加西亚·托巴尔(AlexanderGarcía-Tobar)表示：“威胁演员历来利用大型事件来增强网络钓鱼攻击，而且纳税季节也不例外。” “但是，我们今天处于独特的位置：不仅是税收旺季，而且大流行迫使立法者采取积极行动来限制社会互动，结果，许多最近失业的人都在面临工资损失。这些人可能指望快速报税，或者他们可能对最近更改的报税截止日期感到困惑。这使人们更容易受到令人信服的税收骗局的侵害，网络分子总是愿意利用不确定性。不幸，

Valimail的税收欺诈报告的其他主要发现包括：

州税务机关最容易受到域名欺骗的影响：在所分析的55家税务机关中，有49家缺少DMARC记录或在执行时没有DMARC政策。

被分析的6个联邦机构中有5个在执行时受到DMARC的保护，强调了《2018年国土安全绑定操作指令18-01》中概述的做法的有效性。

在分析的16种税收准备服务中，只有7种(44%)在执行时受到DMARC的保护。

2019年《财富》 100强企业中有77家不受DMARC保护。

DMARC执行的总体比率较低，这表明要消除由域名欺骗和网络钓鱼引起的与税收相关的欺诈和身份盗用，还有很多工作要做。

关于Valimail

Valimail是一家领先的基于身份的反网络钓鱼公司，自2015年以来一直确保数字通信在全球范围内的可信赖性。Varimail提供了唯一完整的云本地平台，用于验证和验证发件人身份，以阻止网络钓鱼，保护和扩大品牌，并确保合规。Valimail赢得了十多个享有声望的网络安全技术大奖，并且每月为一些世界最大的公司(包括Uber，Splunk，Yelp，Fannie Mae，Mercedes Benz USA和联邦航空管理局)认证数十亿条消息。