Spoofing nazwy wyświetlanej na poczcie elektronicznej jest jednym z rodzajów ataków socjotechnicznych który polega na fałszowaniu danych w celu sztucznego modyfikowania percepcji innych osób. Spofingowane e-maile mogą oszukać nawet najbardziej uczciwych pracowników organizacji, którzy myślą, że komunikują się z prezesem zarządu lub innymi członkami wyższej kadry kierowniczej.
Najbardziej przekonujący spoofed email prawie zawsze się przebije, ponieważ nawet osoby, które mają go sprawdzić, dadzą się nabrać na jego oszukańczy wygląd.
Hakerzy wykorzystują swoje fałszywe tożsamości, aby wszystkie osoby uczestniczące w transakcji online myślały, że rozmawiają z jedną konkretną osobą, nie wiedząc, że za ekranem kryje się inna osoba.
Dlatego też celem tego procesu jest umożliwienie hakerom "udawania, aż im się uda" w ich próby phishingu.
Co to jest Display Name Spoofing?
Email Display Name Spoofing to oszustwo e-mailowe popełniane przez oszustów, którzy wykorzystują czyjeś prawdziwe imię i nazwisko (znane odbiorcy) jako nazwę wyświetlaną w swoich wiadomościach e-mail.
Odbywa się to poprzez zarejestrowanie ważnego konta e-mail z innym adresem e-mail, ale nazwą wyświetlaną taką samą jak kontakt, pod który chcą się podszyć. Dlatego odbiorca będzie myślał, że dostaje wiadomość od zaufanej osoby z jego kontaktów - ale to nie jest on.
Na przykład:
Haker może podszywać się pod "Bena, prezesa firmy XYZ", używając dokładnej nazwy wyświetlanej, którą "Ben, prezes" ustawił na swoim oficjalnym adresie e-mail. A następnie zastosować tę sfałszowaną nazwę wyświetlania do ważnego, ale innego adresu e-mail niż rzeczywisty adres e-mail używany przez "Bena, dyrektora generalnego".
Ponieważ większość nowoczesnych platform pocztowych, takich jak Outlook, wyświetla odbiorcy tylko nazwę nadawcy (zamiast rzeczywistego adresu nadawcy From: email) - ze względu na przyjazność dla użytkownika - odbiorca może wpaść w pułapkę zastawioną przez hakera.
Odbiorca zaakceptuje e-mail wysłany przez "Bena, dyrektora generalnego", podczas gdy w rzeczywistości nie jest, ponieważ sekcja From: (która jest zwykle domyślnie ukryta przez większość platform pocztowych) ma inny adres e-mail niż "Ben, dyrektor generalny" faktycznie używa.
Display Name Spoofing staje się szeroko rozpowszechnionym oszustwem phishingowym: Ale dlaczego?
Z biegiem lat, użycie spoofingu nazwy użytkownika stało się coraz bardziej powszechne w oszustwach phishingowych. Dzieje się tak dlatego, że wyświetlanie nazwy identycznej z faktycznym adresem From: może oszukać wiele osób, aby uwierzyły, że wiadomość pochodzi od kogoś, kogo znają lub komu ufają.
➜ Rozpowszechnienie smartfonów
Email display name spoofing staje się powszechnym oszustwem phishingowym z powodu rozpowszechnienia smartfonów.
Ponieważ klienci poczty elektronicznej na urządzeniach mobilnych nie wyświetlają metadanych wiadomości, pozwala to na spoofing nazwy wyświetlanej przez e-mail. Oznacza to, że gdy odbiorca otworzy wiadomość od nieznanej mu osoby, zobaczy tylko nazwę nadawcy, a nie adres Od:.
Jak można sobie wyobrazić, ułatwia to oszustom oszukiwanie ludzi, by myśleli, że wchodzą w interakcję z kimś, kogo znają.
➜ Obchodzi mechanizmy obrony przed spoofingiem
Powodem, dla którego ten rodzaj oszustwa jest tak skuteczny, jest to, że spoofing nazwy wyświetlanej wiadomości e-mail odbywa się za pośrednictwem legalnego adresu e-mail. Ponieważ omija większość środków zapobiegających spoofingowi, takich jak SpamAssassin, te wiadomości phishingowe są często bardzo trudne do odfiltrowania.
Metadane wiadomości e-mail są ukryte
Większość ludzi jest przyzwyczajona do idei, że e-mail powinien wyglądać tak, jakby pochodził od ich przyjaciół lub rodziny. W rzeczywistości większość ludzi nie czyta pełnych metadanych wiadomości e-mail i w ten sposób wpada w pułapkę.
To dlatego hakerzy mogą celować w interfejsy użytkownika, które zostały zaprojektowane z myślą o łatwości użytkowania jako priorytecie. Większość nowoczesnych aplikacji klientów poczty elektronicznej nie pokazuje metadanych dla ułatwienia; dlatego adres Od: jest ukryty przed wzrokiem, dopóki odbiorca nie kliknie na niego, aby zobaczyć pełne metadane.
Większość odbiorców nie czyta pełnych wiadomości e-mail - polegają oni jedynie na nazwie wyświetlanej w celu ich uwierzytelnienia. W ten sposób dają się nabrać na to oszustwo phishingowe, ponieważ zakładają, że jeśli wiadomość e-mail wygląda jak ta, którą znają, to musi być legalna i bezpieczna.
Jak uniknąć stania się ofiarą Email Display Name Spoofing?
Nie polegaj na nazwach wyświetlanych w celu uwierzytelnienia wiadomości e-mail. Jeśli nie masz pewności, sprawdź, czy wiadomość została wysłana od osoby, za którą się podaje. Tutaj znajdziesz więcej przydatnych wskazówek, jak zapobiegać spoofingowi nazw użytkownika.
1. Najpierw przejdź do wiadomości e-mail, o której mowa i wyodrębnij z niej wszystkie metadane. To da ci dostęp do nazwy nadawcy, adresu e-mail i kompletnych informacji o nagłówku wiadomości. Jeśli jest to spoofing, to jest prawdopodobne, że niektóre z metadanych nie jest to, co wydaje. Na przykład, jeśli zauważysz, że adres e-mail nie pasuje do żadnego innego konta na Twojej liście kontaktów, to jest to dobra wskazówka, że jest to oszustwo phishingowe.
2. Sprawdź swój SPF records. Są to listy domen, które zezwoliły na dostarczenie (lub odrzucenie) poczty z ich domeny.
3. Sprawdź swój DKIM rekordy. Są to listy domen, które podpisały Twoją pocztę swoim kluczem prywatnym, aby zweryfikować jej autentyczność. Jeśli któryś z tych rekordów nie pasuje do domeny w nagłówku maila, to jest to dobra wskazówka, że jest to spoofing.
4. Sprawdź rekordy DMARC. Są to listy domen, które skonfigurowały politykę odrzucania poczty, jeśli nie przejdzie ona którejkolwiek z powyższych kontroli. Jeśli ten rekord nie pasuje do domeny w nagłówku wiadomości e-mail, to jest to dobra wskazówka, że jest to spoofing.
5. Jeśli widzisz hiperłącze, które wygląda jak wskazujące na oficjalną stronę, ale przenosi Cię gdzie indziej, jest to dobra wskazówka na spoofing. Jeśli widzisz literówki lub inne błędy w tekście wiadomości e-mail, może to również wskazywać na spoofing nazwy wyświetlanej przez e-mail.
Tworzenie reguły transportowej dla spoofingu nazwy wyświetlanej w poczcie e-mail
Reguły transportowe to sposób na blokowanie lub dopuszczanie określonych wiadomości e-mail, które zostały wysłane spoza organizacji. Są one stosowane do poszczególnych wiadomości e-mail, co oznacza, że można ich użyć do określenia, które wiadomości powinny lub nie powinny być dostarczane.
Zasada transportu dla CEO "Bena" jest następująca:
| Zastosuj tę regułę, jeśli...
1. Nadawca znajduje się poza organizacją. 2. Nagłówek wiadomości pasuje do... Nagłówek "Od" pasuje do "Ben". Zrób to... Prepend the Disclaimer ‘<disclaimer>’ |
Dzięki tej regule transportowej każda wiadomość e-mail pochodząca spoza organizacji i zawierająca słowo "Ben" w nagłówku From zostanie zablokowana i wysłana do zdefiniowanej przez użytkownika skrzynki pocztowej. Dzięki temu fałszywy Ben nie jest w stanie podrobić adresu i nazwy rzeczywistego Bena. Stopka dołączona do każdej zablokowanej wiadomości ostrzega użytkowników, że nie jest to autentyczna wiadomość biznesowa i nie należy jej otwierać ani na nią odpowiadać.
Jak PowerDMARC walczy z Email Display Name Spoofing dla ochrony Twojego biznesu?
Fałszowanie nazwy użytkownika w e-mailu jest coraz częstsze, a PowerDMARC jest tutaj, aby pomóc Ci z tym walczyć. Egzekwujemy DMARC protokoły DMARC, takie jak DKIM i SPF, które są niezbędnymi narzędziami do zwalczania spoofingu wiadomości e-mail. Wykorzystujemy również uczenie maszynowe do generowania modelu predykcyjnego zagrożeń związanych ze spoofingiem wiadomości e-mail, a następnie łączymy te przewidywania z zaawansowanymi narzędziami analizy treści, aby zmaksymalizować ochronę przed atakami typu phishing.
W ten sposób, jeśli ktoś wyśle e-maila podszywającego się pod Ciebie w nadziei, że oszuka Twoich pracowników, aby na niego kliknęli, nie uda mu się to, ponieważ filtr wyłapie zarówno spoofing nazwy użytkownika, jak i typosquatting.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.
- PowerDMARC i Zendata nawiązują partnerstwo w celu zwiększenia bezpieczeństwa domeny - 25 kwietnia 2024 r.
- PowerDMARC współpracuje z CNS w celu rozwoju praktyk bezpieczeństwa poczty elektronicznej na Bliskim Wschodzie - 24 kwietnia 2024 r.