Email spoofing jest rosnącym problemem dla bezpieczeństwa organizacji. Spoofing występuje wtedy, gdy haker wysyła wiadomość e-mail, która wydaje się być wysłana z zaufanego źródła/domeny. Email spoofing nie jest nową koncepcją. Definiowany jako "fałszowanie nagłówka adresu e-mail w celu stworzenia wrażenia, że wiadomość została wysłana od kogoś lub gdzieś indziej niż rzeczywiste źródło", nęka marki od dziesięcioleci. Za każdym razem, gdy wysyłany jest email, adres From nie pokazuje, z jakiego serwera został on wysłany - zamiast tego wyświetla domenę wprowadzoną podczas procesu tworzenia adresu, nie wzbudzając tym samym żadnych podejrzeń u odbiorców emaili.
Przy dzisiejszej ilości danych przechodzących przez serwery poczty elektronicznej nie powinno dziwić, że spoofing jest problemem dla firm.Pod koniec 2020 roku stwierdziliśmy, że liczba incydentów phishingowych wzrosła o oszałamiające 220% w porównaniu ze średnią roczną podczas szczytu globalnej pandemii lęków. Ponieważ nie wszystkie ataki spoofingowe są przeprowadzane na dużą skalę, rzeczywista liczba może być znacznie wyższa. Jest rok 2021, a problem wydaje się tylko pogarszać z każdym rokiem. Dlatego też marki korzystają z bezpiecznych protokołów, aby uwierzytelnić swoje e-maile i uniknąć złych zamiarów aktorów stanowiących zagrożenie.
Email Spoofing: Co to jest i jak to działa?
Email spoofing jest wykorzystywany w atakach phishingowych w celu nakłonienia użytkowników do myślenia, że wiadomość pochodzi od osoby lub podmiotu, który znają lub któremu mogą zaufać. Cyberprzestępca wykorzystuje atak spoofingowy, aby nakłonić odbiorców do myślenia, że wiadomość pochodzi od kogoś, kogo nie znają. W ten sposób atakujący mogą wyrządzić ci krzywdę, nie pozwalając ci ich wyśledzić. Jeśli zobaczysz wiadomość e-mail od IRS z informacją, że zwrot pieniędzy został wysłany na inne konto bankowe, może to być atak spoofingowy. Ataki phishingowe mogą być również przeprowadzane za pomocą spoofingu e-mail, który jest oszukańczą próbą uzyskania poufnych informacji, takich jak nazwy użytkownika, hasła i dane karty kredytowej (numery PIN), często w złośliwych celach. Termin ten pochodzi od "łowienia" ofiary poprzez udawanie, że jest godna zaufania.
W protokole SMTP, gdy wiadomości wychodzące są przypisywane do adresu nadawcy przez aplikację kliencką, serwery poczty wychodzącej nie mają możliwości stwierdzenia, czy adres nadawcy jest prawdziwy, czy też sfałszowany. W związku z tym, spoofing poczty elektronicznej jest możliwy, ponieważ system poczty elektronicznej używany do reprezentowania adresów e-mail nie zapewnia sposobu dla serwerów wychodzących, aby zweryfikować, że adres nadawcy jest uzasadniony. Dlatego duże firmy z branży decydują się na protokoły takie jak SPF, DKIM i DMARC, aby autoryzować swoje legalne adresy e-mail i zminimalizować ataki podszywania się.
Anatomia ataku typu Email Spoofing
Każdy klient poczty e-mail korzysta z określonego interfejsu programu aplikacyjnego (API) do wysyłania wiadomości e-mail. Niektóre aplikacje pozwalają użytkownikom na skonfigurowanie adresu nadawcy wiadomości wychodzącej z rozwijanego menu zawierającego adresy e-mail. Jednak możliwość ta może być również wywołana za pomocą skryptów napisanych w dowolnym języku. Każda otwarta wiadomość pocztowa ma adres nadawcy, który wyświetla adres aplikacji lub usługi poczty elektronicznej użytkownika, od którego pochodzi. Poprzez rekonfigurację aplikacji lub usługi atakujący może wysyłać wiadomości e-mail w imieniu dowolnej osoby.
Powiedzmy, że teraz możliwe jest wysyłanie tysięcy fałszywych wiadomości z autentycznej domeny e-mail! Co więcej, nie trzeba być ekspertem w dziedzinie programowania, aby wykorzystać ten skrypt. Osoby odpowiedzialne za zagrożenia mogą edytować kod zgodnie z własnymi preferencjami i rozpocząć wysyłanie wiadomości przy użyciu domeny e-mail innego nadawcy. Dokładnie w ten sposób przeprowadzany jest atak typu email spoofing.
Email Spoofing jako wektor Ransomware
Spofing e-mailowy toruje drogę do rozprzestrzeniania się złośliwego oprogramowania i ransomware. Jeśli nie wiesz, co to jest ransomware, jest to złośliwe oprogramowanie, które wiecznie blokuje dostęp do twoich wrażliwych danych lub systemu i żąda pewnej sumy pieniędzy (okupu) w zamian za odszyfrowanie twoich danych ponownie. Ataki ransomware powodują, że organizacje i osoby prywatne tracą co roku mnóstwo pieniędzy i prowadzą do ogromnych naruszeń danych.
DMARC i uwierzytelnianie poczty elektronicznej działa również jako pierwsza linia obrony przed ransomware, chroniąc Twoją domenę przed złymi zamiarami spooferów i podszywających się pod nią osób.
Zagrożenia występujące w małych, średnich i dużych firmach
Tożsamość marki ma kluczowe znaczenie dla sukcesu firmy. Klienci lgną do rozpoznawalnych marek i polegają na ich spójności. Ale cyberprzestępcy wykorzystują wszystko, co w ich mocy, aby wykorzystać to zaufanie, zagrażając bezpieczeństwu klientów za pomocą wiadomości phishingowych, złośliwego oprogramowania i działań związanych z fałszowaniem wiadomości e-mail. Przeciętna organizacja traci rocznie od 20 do 70 milionów dolarów z powodu oszustw e-mailowych. Należy zauważyć, że spoofing może również wiązać się z naruszeniem znaków towarowych i innych praw własności intelektualnej, powodując znaczne szkody dla reputacji i wiarygodności firmy na dwa poniższe sposoby:
- Twoi partnerzy lub szanowani klienci mogą otworzyć fałszywą wiadomość e-mail i narazić na szwank swoje poufne dane. Cyberprzestępcy mogą wprowadzić do ich systemu oprogramowanie ransomware, co prowadzi do strat finansowych, poprzez spoofed e-maile podszywające się pod Ciebie. Dlatego następnym razem mogą być niechętni do otwierania nawet legalnych wiadomości e-mail, przez co stracą wiarę w Twoją markę.
- Serwery pocztowe odbiorców mogą oznaczyć Twoje legalne wiadomości jako spam i umieścić je w folderze wiadomości-śmieci z powodu utraty reputacji serwera, co drastycznie wpływa na wskaźnik dostarczalności wiadomości.
Tak czy inaczej, bez cienia wątpliwości, Twoja marka skierowana do klienta znajdzie się na końcu wszystkich komplikacji. Pomimo wysiłków profesjonalistów IT, 72% wszystkich cyberataków rozpoczyna się od złośliwej wiadomości e-mail, a 70% wszystkich naruszeń danych wiąże się z taktyką inżynierii społecznej w celu podrobienia domen firmowych - co sprawia, że praktyki uwierzytelniania wiadomości e-mail, takie jak DMARC, są priorytetem.
DMARC: Twoje kompleksowe rozwiązanie przeciwko spoofingowi poczty elektronicznej
Domain-Based Message Authentication, Reporting and Conformance(DMARC) to protokół uwierzytelniania wiadomości e-mail, który po prawidłowym wdrożeniu może drastycznie zminimalizować ataki typu spoofing, BEC i podszywanie się. DMARC działa w połączeniu z dwoma standardowymi praktykami uwierzytelniania - SPF i DKIM, w celu uwierzytelniania wiadomości wychodzących, zapewniając sposób na określenie serwerom odbierającym, w jaki sposób powinny reagować na wiadomości e-mail, które nie przeszły pomyślnie kontroli uwierzytelniania.
Przeczytaj więcej o tym, czym jest DMARC?
Jeśli chcesz chronić swoją domenę przed złymi intencjami spooferów, pierwszym krokiem jest prawidłowe wdrożenie DMARC. Ale zanim to zrobisz, musisz skonfigurować SPF i DKIM dla swojej domeny. Darmowe generatory rekordów SPF i DKIM w PowerDMARC mogą pomóc Ci w wygenerowaniu tych rekordów, które zostaną opublikowane w DNS za pomocą jednego kliknięcia. Po pomyślnym skonfigurowaniu tych protokołów, przejdź przez następujące kroki, aby wdrożyć DMARC:
- Wygeneruj bezbłędny rekord DMARC za pomocą darmowego generatora rekordów DMARC firmy PowerDMARC.
- Opublikuj rekord w DNS swojej domeny
- Stopniowe przechodzenie do polityki egzekwowania DMARC p=odrzuć
- Monitoruj swój ekosystem poczty elektronicznej i otrzymuj szczegółowe raporty dotyczące uwierzytelniania i raporty kryminalistyczne (RUA/RUF) dzięki naszemu narzędziu do analizy DMARC.
Ograniczenia, które należy pokonać podczas egzekwowania DMARC
Opublikowałeś wolny od błędów rekord DMARC i przeszedłeś na politykę egzekwowania, a mimo to napotykasz na problemy z dostarczaniem emaili? Problem może być o wiele bardziej skomplikowany niż myślisz. Jeśli jeszcze nie wiedziałeś, Twój protokół uwierzytelniający SPF ma limit 10 odwołań do DNS. Jednakże, jeśli korzystasz z usług dostawców poczty w chmurze i różnych zewnętrznych dostawców, możesz łatwo przekroczyć ten limit. Jak tylko to zrobisz, SPF się zepsuje i nawet legalne maile nie będą uwierzytelnione, co doprowadzi do tego, że Twoje maile wylądują w folderze śmieci lub w ogóle nie zostaną dostarczone.
Ponieważ rekord SPF zostaje unieważniony z powodu zbyt wielu wyszukiwań DNS, domena ponownie staje się podatna na ataki typu email spoofing i BEC. Dlatego też utrzymanie limitu SPF 10 lookupów jest niezbędne dla zapewnienia dostarczalności poczty elektronicznej. Dlatego zalecamy PowerSPF, automatyczny SPF flattener, który zmniejsza rekord SPF do pojedynczej instrukcji include, negując nadmiarowe i zagnieżdżone adresy IP. Przeprowadzamy również okresowe kontrole w celu monitorowania zmian wprowadzanych przez dostawców usług do ich odpowiednich adresów IP, zapewniając, że rekord SPF jest zawsze aktualny.
PowerDMARC łączy w sobie szereg protokołów uwierzytelniania poczty elektronicznej, takich jak SPF, DKIM, DMARC, MTA-STS, TLS-RPT i BIMI, aby zapewnić Twojej domenie wzrost reputacji i dostarczalności. Zarejestruj się już dziś, aby otrzymać darmowy analizator DMARC.
- Studium przypadku MSP: Hubelia upraszcza zarządzanie bezpieczeństwem domeny klienta dzięki PowerDMARC - 31 stycznia 2025 r.
- 6 najlepszych rozwiązań DMARC dla MSP w 2025 roku - 30 stycznia 2025 r.
- Rola protokołów uwierzytelniania w utrzymaniu dokładności danych - 29 stycznia 2025 r.