E-mail display name spoofing is een van de soorten social engineering-aanvallen waarbij gegevens worden vervalst om de perceptie van andere personen kunstmatig te veranderen. Gespoofde e-mails kunnen zelfs de meest eerlijke werknemers van een organisatie doen geloven dat zij communiceren met de CEO of andere hogere leidinggevenden.
De meest overtuigende gespoofde e-mail komt er bijna altijd doorheen, omdat zelfs mensen die de e-mail moeten controleren, zich laten misleiden door het frauduleuze uiterlijk ervan.
Hackers gebruiken hun valse identiteiten om alle betrokkenen bij een online transactie te laten denken dat ze met één bepaalde persoon praten, zonder dat ze weten dat er een andere persoon achter het scherm zit.
Daarom is het doel van dit proces om hackers in staat te stellen "te doen alsof tot ze het maken" in hun phishing pogingen.
Wat is Display Name Spoofing?
E-mail Display Name Spoofing is een e-mailoplichting door fraudeurs die iemands echte naam (bekend bij de ontvanger) gebruiken als displaynaam voor hun e-mails.
Dit wordt gedaan door een geldig e-mailaccount te registreren met een ander e-mailadres maar dezelfde weergavenaam als het contact dat ze willen imiteren. Daarom zal de ontvanger denken dat hij een e-mail krijgt van een vertrouwde persoon in zijn contacten - maar hij is het niet.
Bijvoorbeeld:
Een hacker kan zich voordoen als "Ben, de CEO van XYZ bedrijf" door de exacte weergavenaam te gebruiken die "Ben, de CEO" heeft ingesteld op zijn officiële e-mailadres. En dan deze valse weergavenaam toepassen op een geldig maar ander e-mailadres dan het eigenlijke e-mailadres dat "Ben, de CEO" gebruikt.
Aangezien de meeste moderne e-mailplatforms zoals Outlook alleen de naam van de afzender weergeven (in plaats van het werkelijke Van: e-mailadres van de afzender) aan de ontvanger - omwille van de gebruiksvriendelijkheid - kan de ontvanger in de val lopen die de hacker heeft opgezet.
De ontvanger zal aannemen dat de e-mail legitiem is verzonden door "Ben, de CEO" terwijl dat in werkelijkheid niet zo is omdat het Van: gedeelte (dat meestal standaard verborgen is bij de meeste e-mail platforms) een ander e-mailadres heeft dan "Ben, de CEO" in werkelijkheid gebruikt.
Display Name Spoofing wordt een wijdverspreide Phishing Scam: Maar waarom?
In de loop der jaren is het gebruik van "display name spoofing" steeds gebruikelijker geworden bij phishing-zwendel. Dit komt doordat het weergeven van een naam die identiek is aan het werkelijke Van: e-mailadres veel mensen kan doen geloven dat het echt van iemand komt die zij kennen of vertrouwen.
Proliferatie van smartphones
E-mail display name spoofing is een wijdverspreide phishing-zwendel aan het worden door de verspreiding van smartphones.
Omdat e-mailclients op mobiele apparaten de metadata van een e-mail niet weergeven, is het mogelijk de e-mailnaam te spoofen. Dit betekent dat wanneer een ontvanger een e-mail opent van iemand die hij niet kent, hij alleen de displaynaam van de afzender ziet en niet het Van: adres.
Zoals u zich kunt voorstellen, maakt dit het voor een oplichter gemakkelijk om mensen te laten denken dat ze contact hebben met iemand die ze kennen.
Omzeilt afweermechanismen tegen spoofing
De reden dat deze vorm van fraude zo effectief is, is dat het spoofen van e-mailweergavenamen gebeurt via een legitiem e-mailadres. Omdat het de meeste tegenmaatregelen tegen spoofing, zoals SpamAssassin, omzeilt, zijn deze phishingmails vaak erg moeilijk uit te filteren.
E-mailmetadata is verborgen
De meeste mensen zijn gewend aan het idee dat een e-mail eruit moet zien alsof hij van hun vrienden of familie afkomstig is. In werkelijkheid lezen de meeste mensen niet de volledige metadata van een e-mail en trappen dus in de val.
Daarom kunnen hackers zich richten op gebruikersinterfaces die zijn ontworpen met gebruiksgemak als prioriteit. De meeste moderne e-mailprogramma's tonen geen metadata voor het gebruiksgemak; daarom is het Van: adres onzichtbaar totdat een ontvanger erop klikt om de volledige metadata te zien.
De meeste ontvangers lezen geen volledige e-mails - ze vertrouwen alleen op de weergavenaam om zich te legitimeren. Ze trappen dus in deze phishing-zwendel omdat ze ervan uitgaan dat een e-mail die lijkt op een bekende, legitiem en veilig moet zijn.
Hoe voorkom je dat je slachtoffer wordt van Email Display Name Spoofing?
Vertrouw niet op weergavenamen om e-mail te verifiëren. Als u niet zeker bent, controleer dan de e-mailwisseling om te zien of de e-mail daadwerkelijk afkomstig is van wie hij zegt te zijn. Hier vindt u meer nuttige tips om spoofing van weergavenamen te voorkomen.
1. Ga eerst naar het e-mailbericht in kwestie en haal alle metadata eruit. Zo krijgt u toegang tot de naam van de afzender, het e-mailadres en de volledige informatie over de e-mailheaders. Als het om spoofing gaat, is het waarschijnlijk dat sommige metadata niet zijn wat ze lijken. Als u bijvoorbeeld merkt dat het e-mailadres niet overeenkomt met andere accounts in uw contactenlijst, dan is dat een goede indicatie dat het om phishing gaat.
2. Controleer uw SPF records. Dit zijn lijsten van domeinen die hebben toegestaan dat mail van hun domein wordt afgeleverd (of geweigerd).
3. Controleer uw DKIM records. Dit zijn lijsten van domeinen die uw e-mail hebben ondertekend met hun privésleutel om de authenticiteit ervan te verifiëren. Als een van deze records niet overeenkomt met het domein in de e-mail header, dan is dat een goede indicatie dat het om spoofing gaat.
4. Controleer uw DMARC-records. Dit zijn lijsten met domeinen die een beleid hebben ingesteld om e-mail te weigeren als deze niet voldoet aan een van de bovenstaande controles. Als dit record niet overeenkomt met het domein in de e-mailheader, dan is dat een goede indicatie dat het om spoofing gaat.
5. Als u een hyperlink ziet die lijkt te verwijzen naar een officiële pagina, maar u ergens anders naartoe brengt, is dit een goede indicatie van spoofing. Als u tikfouten of andere fouten in de tekst van de e-mail ziet, kan dit ook een indicatie zijn van e-mail display name spoofing.
Transportregel voor spoofing van e-mailweergave maken
Transportregels zijn een manier om specifieke e-mails die van buiten de organisatie zijn verzonden te blokkeren of toe te staan. Ze worden toegepast op individuele e-mailberichten, wat betekent dat u ze kunt gebruiken om aan te geven welke berichten wel of niet moeten worden afgeleverd.
De transportregel voor CEO "Ben" is als volgt:
| Pas deze regel toe als...
1. De afzender bevindt zich buiten de organisatie. 2. Een bericht kop komt overeen... "Van" kop komt overeen met "Ben". Doe het volgende... Prepend the Disclaimer ‘<disclaimer>’ |
Met deze transportregel wordt elk e-mailbericht dat van buiten de organisatie komt en het woord "Ben" bevat in de Van header geblokkeerd en naar een door de gebruiker gedefinieerde mailbox gestuurd. Dit voorkomt dat de valse Ben het adres en de weergavenaam van de echte Ben kan vervalsen. De disclaimer die aan elk geblokkeerd bericht wordt toegevoegd, waarschuwt gebruikers dat dit geen authentieke zakelijke e-mail is en niet moet worden geopend of beantwoord.
Hoe PowerDMARC E-mail Display Name Spoofing bestrijdt ter bescherming van uw bedrijf?
E-mail display name spoofing is in opkomst, en PowerDMARC is er om u te helpen dit te bestrijden. Wij handhaven DMARC protocollen zoals DKIM- en SPF-controles, die essentieel zijn voor de bestrijding van e-mailspoofing. Wij gebruiken ook machine learning om een voorspellend model van email spoofing bedreigingen te genereren en combineren deze voorspellingen met geavanceerde content analyse tools om uw bescherming tegen email phishing aanvallen te maximaliseren.
Als iemand dan een e-mail verstuurt die doet alsof hij van u komt in de hoop uw werknemers te verleiden erop te klikken, komt hij er niet door omdat het filter spoofing van e-mail display name en typosquatting.
