Forfalskning av e-postvisningsnavn er en av typene sosiale ingeniørangrep som involverer forfalskning av data for å kunstig endre oppfatningen til andre individer. Forfalskede e-poster kan lure selv de mest ærlige ansatte i en organisasjon til å tro at de kommuniserer med administrerende direktør eller andre toppledere.
Den mest overbevisende falske e-posten vil nesten alltid komme gjennom, siden selv folk som skal sjekke den vil bli lurt av dens falske utseende.
Hackere bruker sine falske identiteter for å få alle de involverte i en netttransaksjon til å tro at de snakker med en bestemt person uten at de vet at det er en annen person bak skjermen.
Derfor er formålet med denne prosessen å gjøre det mulig for hackere å "falske det til de klarer det" i phishing-forsøkene sine .
Hva er forfalskning av visningsnavn?
Forfalskning av e-postvisningsnavn er en e-postsvindel utført av svindlere som bruker noens virkelige navn (kjent for mottakeren) som visningsnavn for e-postene deres.
Dette gjøres ved å registrere en gyldig e-postkonto med en annen e-postadresse, men visningsnavnet er det samme som kontakten de vil utgi seg for. Derfor vil mottakeren tro at de får en e-post fra en betrodd person i kontaktene sine – men det er ikke dem.
For eksempel:
En hacker kan utgi seg for å være "Ben, administrerende direktør i XYZ-selskapet" ved å bruke det eksakte visningsnavnet som "Ben, administrerende direktør" har satt opp på sin offisielle e-postadresse. Og bruk deretter dette forfalskede visningsnavnet på en gyldig, men annen e-postadresse enn den faktiske e-postadressen som brukes av "Ben, administrerende direktør".
Siden de fleste moderne e-postplattformer som Outlook bare viser e-postavsenderens navn (i stedet for avsenderens faktiske Fra: e-postadresse) til mottakeren – for brukervennlighetens skyld – kan mottakeren gå i fellen satt av hackeren.
Mottakeren vil godta e-posten som er lovlig sendt av "Ben, administrerende direktør" når det i virkeligheten ikke er fordi Fra:-delen (som vanligvis er skjult som standard av de fleste e-postplattformer) har en annen e-postadresse enn "Ben, administrerende direktør" faktisk bruker.
Forfalskning av visningsnavn Blir en utbredt phishing-svindel: Men hvorfor?
Gjennom årene har bruken av spoofing med visningsnavn blitt mer og mer vanlig i phishing-svindel. Dette er fordi å vise et navn som er identisk med den faktiske Fra:-e-postadressen kan lure mange mennesker til å tro at det faktisk er fra noen de kjenner eller stoler på.
➜ Utbredelse av smarttelefoner
Forfalskning av e-postvisningsnavn er i ferd med å bli en utbredt phishing-svindel på grunn av spredningen av smarttelefoner.
Siden e-postklienter på mobile enheter ikke viser en e-posts metadata, tillater det forfalskning av e-postvisningsnavn. Dette betyr at når en mottaker åpner en e-post fra noen han ikke kjenner, vil han bare se avsenderens e-postvisningsnavn og ikke Fra:-adressen.
Som du kan forestille deg, gjør dette det enkelt for en svindler å lure folk til å tro at de samhandler med noen de kjenner.
➜ Omgår forfalskningsforsvarsmekanismer
Grunnen til at denne typen svindel er så effektiv, er at forfalskningen av e-postens visningsnavn skjer via en legitim e-postadresse. Fordi den omgår de fleste mottiltak mot spoofing, for eksempel SpamAssassin, er det ofte svært vanskelig å filtrere bort slike phishing-e-poster.
➜ E-postmetadata er skjult
De fleste er vant til ideen om at en e-post skal se ut som den kom fra venner eller familie. I virkeligheten leser de fleste ikke alle metadataene til en e-post og faller dermed i fellen.
Dette er grunnen til at hackere kan målrette mot brukergrensesnitt som er designet med brukervennlighet som en prioritet. De fleste moderne e-postklient-apper viser ikke metadata for enkel beredskap; Derfor er Fra:-adressen skjult fra vanlig visning til en mottaker klikker på den for å se fullstendige metadata.
De fleste mottakere leser ikke fullstendig e-postutveksling – de stoler bare på visningsnavnet for å autentisere dem. Dermed faller de for denne phishing-svindel fordi de antar at hvis en e-post ser ut som en de kjenner, så må den være legitim og trygg.
Hvordan unngå å bli et offer for falsk e-postvisningsnavn?
Ikke stol på visningsnavn for å autentisere e-post. Hvis du ikke er sikker, så sjekk e-postutvekslingen for å se om den faktisk er fra hvem den sier den er. Her er flere nyttige tips for å forhindre forfalskning av e-postvisningsnavn.
1. Gå først over til den aktuelle e-postmeldingen og trekk ut alle metadataene fra den. Dette vil gi deg tilgang til avsenderens navn, e-postadresse og fullstendig e-posthodeinformasjon. Hvis dette er spoofing, er det sannsynlig at noen av metadataene ikke er som de ser ut til. Hvis du for eksempel legger merke til at e-postadressen ikke stemmer overens med noen andre kontoer i kontaktlisten din, er det en god indikasjon på at dette er en phishing-svindel.
2. Sjekk SPF- postene dine. Dette er lister over domener som har tillatt at e-post fra domenet deres blir levert (eller avvist).
3. Sjekk DKIM- postene dine. Dette er lister over domener som har signert e-posten din med sin private nøkkel for å bekrefte autentisiteten. Hvis noen av disse postene ikke samsvarer med domenet i e-posthodet, er det en god indikasjon på at dette er forfalskning.
4. Sjekk DMARC-postene dine. Dette er lister over domener som har satt opp en policy for å avvise e-post hvis den mislykkes i noen av kontrollene ovenfor. Hvis denne posten ikke samsvarer med domenet i e-posthodet, er det en god indikasjon på at dette er forfalskning.
5. Hvis du ser en hyperkobling som ser ut som den peker til en offisiell side, men tar deg et annet sted, er dette en god indikasjon på forfalskning. Hvis du ser skrivefeil eller andre feil i teksten i e-posten, kan dette også være en indikasjon på forfalskning av e-postvisningsnavn.
Opprette transportregel for falsk e-postvisningsnavn
Transportregler er en måte å blokkere eller tillate bestemte e-poster som er sendt fra utenfor organisasjonen. De brukes på individuelle e-postmeldinger, noe som betyr at du kan bruke dem til å spesifisere hvilke meldinger som skal eller ikke skal leveres.
Transportregelen for administrerende direktør "Ben" er som følger:
Bruk denne regelen hvis...
1. Avsender befinner seg utenfor organisasjonen. 2. En meldingsoverskrift samsvarer med... 'Fra'-overskrift samsvarer med 'Ben'. Gjør følgende... Prepend the Disclaimer ‘<disclaimer>’ |
Med denne transportregelen vil enhver e-postmelding som kommer fra utenfor organisasjonen og inneholder ordet "Ben" i Fra-overskriften, bli blokkert og sendt til en brukerdefinert postboks. Dette hindrer den falske Ben fra å kunne forfalske den faktiske Bens adresse og visningsnavn. Ansvarsfraskrivelsen foran hver blokkerte melding varsler brukere om at dette ikke er en autentisk forretnings-e-post og ikke bør åpnes eller besvares.
Hvordan PowerDMARC bekjemper forfalskning av e-postvisningsnavn for å beskytte bedriften din?
Forfalskning av e-postvisningsnavn er på vei oppover, og PowerDMARC er her for å hjelpe deg med å bekjempe det. Vi håndhever DMARC- protokoller som DKIM- og SPF-sjekker, som er viktige verktøy for å bekjempe e-postforfalskning. Vi bruker også maskinlæring for å generere en prediktiv modell av e-postforfalskningstrusler og deretter kombinere disse spådommene med avanserte innholdsanalyseverktøy for å maksimere beskyttelsen mot e-postfiskingangrep.
På den måten hvis noen sender ut en e-post som utgir seg for å være fra deg i håp om å lure de ansatte til å klikke på den, vil de ikke komme gjennom fordi filteret vil fange opp e-postvisningsnavnforfalskning samt skrivefeil .