O governo dos Estados Unidos publicou um novo aviso de segurança cibernética alertando sobre tentativas de atores da ameaça norte-coreanos de enviar e-mails de maneira que pareçam ser de partes legítimas e confiáveis. O boletim conjunto foi publicado pela Agência de Segurança Nacional (NSA), pelo Federal Bureau of Investigation (FBI) e pelo Departamento de Estado. A técnica envolve especificamente a exploração de políticas de registros da autenticação, relatório e conformidade de mensagens baseadas em domínio DNS (DMARC) mal configuradas para ocultar tentativas de engenharia social. Com isso, os atores da ameaça podem enviar e-mails falsificados como se fossem do servidor de e-mail de um domínio legítimo. O abuso de políticas DMARC fracas tem sido atribuído a um grupo de atividades norte-coreano conhecido como Kimsuky, que começou a incorporar esse método em dezembro de 2023 como parte de esforços mais amplos de atingir especialistas em política externa. Descrevendo o adversário como um “especialista astuto em engenharia social”, a empresa de segurança empresarial disse que o grupo de hackers é conhecido por engajar seus alvos por períodos prolongados por meio de conversas benignas para construir confiança com eles. Muitas das entidades que o grupo Kimsuky tentou enganar não habilitaram ou aplicaram políticas DMARC, permitindo assim que essas mensagens de e-mail driblassem os controles de segurança e garantissem a entrega, mesmo se esses controles falharem. Recomenda-se que as organizações atualizem suas políticas DMARC para instruir seus servidores de e-mail a tratar mensagens de e-mail que falharem nas verificações como suspeitas ou spam (ou seja, quarentena ou rejeição) e recebam relatórios de feedback agregados configurando um endereço de e-mail no registro DMARC.