Как определить, что письмо поддельное: Красные флажки, на которые следует обратить внимание
Последнее обновление:
9 Время чтения: 9 минут
Ключевые выводы
- Поддельный адрес электронной почты может быть одноразовым, временным или сгенерированным случайным образом; он не всегда свидетельствует о злонамеренных намерениях, но всегда заслуживает тщательной проверки.
- К числу распространенных признаков подозрительности относятся подозрительные доменные имена, случайно сгенерированные строки, известные домены одноразовой электронной почты, а также адреса, не проходящие базовую проверку на правильность синтаксиса.
- Фишинговые письма часто отправляются с поддельных или сфальсифицированных адресов, призванных имитировать адреса законных отправителей.
- Компаниям следует внедрять проверку адресов электронной почты в режиме реального времени при регистрации, чтобы выявлять одноразовые и поддельные адреса до того, как они попадут в систему.
- Не каждый временный или одноразовый адрес электронной почты свидетельствует о злых намерениях, однако умение отличить использование в целях конфиденциальности от мошеннического использования является ключом к эффективному обнаружению.
Вы только что получили письмо по электронной почте или кто-то зарегистрировался на вашей платформе, указав адрес, который выглядит подозрительно. Домен выглядит странно, имя кажется сгенерированным случайным образом, и что-то здесь не так. Как же понять, что это поддельный адрес электронной почты?
Поддельные адреса электронной почты встречаются гораздо чаще, чем думает большинство людей. Это могут быть как одноразовые адреса, созданные для защиты от спама, так и анонимные почтовые ящики, которые мошенники используют для сокрытия своей истинной личности.
Некоторые из них безобидны. Другие же являются серьезным сигналом тревоги, предшествующим фишинговым письмам, мошенническим регистрациям или злоупотреблению учетными записями.
В этом руководстве рассказывается о наиболее распространённых признаках мошенничества, доступных инструментах для проверки подлинности электронных писем, а также о методах обнаружения, которые действительно работают.
Что такое поддельный адрес электронной почты?
Поддельный адрес электронной почты — это любой адрес, который не соответствует реальной постоянной личности. Это может быть одноразовый адрес, срок действия которого истекает через несколько минут, временная учетная запись, созданная специально для защиты от спама, или поддельный адрес, сгенерированный мошенником с целью выдать себя за другого человека.
Здесь следует провести важное различие. Не все поддельные письма являются вредоносными. Многие люди используют временный адрес электронной почты просто для того, чтобы защитить свой личный почтовый ящик от спама и рекламных рассылок при регистрации в онлайн-сервисах, загрузке файлов или доступе к бесплатным пробным версиям. Это выбор в пользу конфиденциальности.
Более опасная категория — это поддельные или мошеннические поддельные электронные письма; адреса, специально сформированные с целью ввести получателей в заблуждение, заставив их поверить, что сообщение пришло от надежного источника: вашего банка, генерального директора, компании-перевозчика или государственного учреждения.
Рекомендуем прочитать: Что такое защита от подделки адресов электронной почты?
Признаки поддельного адреса электронной почты
Не каждый поддельный адрес электронной почты выглядит явно подозрительно. Некоторые из них выглядят нелепо и их легко распознать, в то время как другие тщательно подделаны и на первый взгляд выглядят вполне правдоподобно. Именно знание конкретных признаков, как визуальных, так и технических, позволяет отличить упущенную угрозу от обнаруженной.
1. Имя для отображения и фактический адрес не совпадают
Это самый старый трюк из всех известных, и до сих пор один из самых эффективных. В поле «Имя отправителя» указано «PayPal Security» или «Ваша ИТ-служба», но фактический адрес отправителя выглядит примерно так: [email protected].
Всегда раскрывайте полное поле «Отправитель» — никогда не полагайтесь только на отображаемое имя.
Это особенно эффективно на мобильных устройствах, где большинство почтовых клиентов по умолчанию скрывают полный адрес. Злоумышленники, которые используют подделку отображаемого имени в электронной почте , полагаются именно на эту «слепую зону», чтобы выдавать себя за руководителей и авторитетные бренды, при этом им не нужно взламывать настоящие учетные записи.
2. Домен немного не совпадает
Типосквоттинг — это когда злоумышленники регистрируют домены, которые выглядят почти идентично законным. К распространенным методам относятся:
- Замена букв на цифры, например paypa1.com, micros0ft.com
- Добавление дефисов или лишних слов, например support-google.net
- Использование незнакомого домена верхнего уровня, например amazon.com.co
- Замена визуально идентичных символов Unicode, например кириллической буквы «а» вместо латинской буквы «a»
Последний вариант особенно трудно заметить невооруженным глазом. Если домен выглядит правильно, но вызывает подозрения, вставьте его в инструмент проверки Unicode, чтобы проверить наличие нестандартных символов.
3. Адрес принадлежит известному домену одноразовой электронной почты
Некоторые домены созданы исключительно для формирования временных анонимных почтовых ящиков, не требующих подтверждения личности. Вот несколько наиболее распространённых из них:
| Домен | Введите . |
|---|---|
| mailinator.com | Одноразовый / общий почтовый ящик |
| guerrillamail.com | Сервис временных адресов электронной почты |
| trashmail.com | Одноразовый адрес электронной почты |
| temp-mail.org | Временный почтовый ящик |
| yopmail.com | Временный почтовый ящик |
Если запрос на регистрацию или входящее сообщение поступает с одного из этих адресов, то почти наверняка этот адрес не привязан к реальному, ответственному человеку.
4. Локальная часть выглядит так, будто она сгенерирована случайным образом
Настоящие адреса электронной почты соответствуют узнаваемым шаблонам. Поддельные адреса, сгенерированные с помощью инструментов для генерации случайных адресов, не соответствуют этим шаблонам; они выглядят примерно так: [email protected] или [email protected].
Если вы заметите такую схему в форме регистрации или в нежелательном сообщении, сразу же воспринимайте это как тревожный сигнал.
5. Адрес для ответа отличается от адреса отправителя
Законный отправитель редко нуждается в поле «Ответить», указывающем на какой-либо другой адрес.
Когда эти два поля не совпадают, особенно если адрес для ответа указывает на бесплатный почтовый аккаунт или посторонний домен, ваш ответ перенаправляется в обход видимого отправителя и попадает в руки того, кто на самом деле стоит за этой операцией.
Рекомендуем прочитать: Подделка электронной почты и фишинг: как защитить себя
6. Использование в тексте выражений, создающих ощущение срочности или угрозы
Это не сигнал, связанный с адресом, но он почти всегда сопровождает поддельные электронные письма. Обращайте внимание на такие фразы, как «ваша учетная запись будет заблокирована», «требуется немедленное действие» или «подтвердите свои данные в течение 24 часов».
Они созданы для того, чтобы вызвать панику и помешать трезвому мышлению. Легитимные организации не создают ложного чувства срочности, а фишинговые письма используют именно это давление, чтобы подтолкнуть получателей к действию, прежде чем они успеют подумать.
Упростите защиту электронной почты с помощью PowerDMARC!
Почему PowerDMARC?В отличие от обычных инструментов DMARC, PowerDMARC предлагает аналитику угроз на основе искусственного интеллекта, практические услуги по управлению и удобную платформу, которой доверяют более 1000 организаций по всему миру. Наша команда поможет вам настроить, контролировать и защитить ваш домен с помощью передовой поддержки и технологий.
|
Как проверить, поддельный ли адрес электронной почты
Умение распознавать визуальные признаки подделки — это лишь половина дела. Надёжная проверка подлинности электронного письма затрагивает технический уровень, лежащий в основе адреса. Именно эти методы позволяют получить однозначный ответ.
Сначала проверьте записи MX
Каждому легитимному почтовому домену требуются записи Mail Exchange (MX) для отправки и получения сообщений. Нет Отсутствие записей MX — значит, нет активного почтового сервера, а это означает, что адрес поддельный, срок его действия истек или он вымышленный.
Бесплатный инструмент поиска DNS выдает этот результат за считанные секунды.
Провести проверку SMTP
Инструменты проверки электронной почты подключаются напрямую к почтовому серверу и проверяют, существует ли конкретный почтовый ящик и активен ли он, не отправляя при этом реальное сообщение. Это позволяет узнать, есть ли за адресом реальный почтовый ящик, а не просто реальный домен.
Справочные списки доменов одноразовых адресов электронной почты
Доступны как бесплатные, так и коммерческие списки известных доменов для временной и одноразовой электронной почты.
Проверка адреса по этим базам данных позволяет мгновенно выявлять одноразовые аккаунты и адреса, сгенерированные случайным образом, ещё до того, как они попадут в ваши системы.
Просмотрите полные заголовки электронных писем
Заголовки электронных писем содержат всю необходимую информацию: маршрут передачи, IP-адрес отправителя и результаты аутентификации. На что следует обратить особое внимание:
- Соответствует ли исходный сервер заявленному домену отправителя?
- Сделал ли SPF прошел или провалился?
- Сделал DKIM прошел или провалился?
- Что означает DMARC результат?
В Gmail откройте меню с тремя точками и выберите «Показать оригинал». В Outlook перейдите в меню «Файл», а затем выберите «Свойства».
Проверить результаты проверки SPF, DKIM и DMARC
Эти три протокола являются техническим стандартом, позволяющим проверить, действительно ли электронное письмо отправлено тем, от кого оно якобы исходит:
| Протокол | Что проверяется |
|---|---|
| SPF | Имеет ли отправляющий сервер право отправлять сообщения от имени этого домена? |
| DKIM | Было ли сообщение подделано во время передачи? |
| DMARC | Что должно произойти в случае сбоя SPF или DKIM? |
Если письмо не проходит все три проверки, оно не проходит аутентификацию, и адресу «От» нельзя доверять. Бесплатный инструмент проверки DMARC от PowerDMARC показывает вам точно то, что видят принимающие серверы при проверке аутентификации вашего домена.
Предотвратите фишинговые атаки с помощью PowerDMARC!
|
Как поддельные адреса электронной почты используются в фишинговых атаках
Поддельные адреса электронной почты являются основным средством для фишинга, мошенничества и крупномасштабных атак с использованием поддельных личностей. Понимание того, как злоумышленники их используют, поможет вам распознавать угрозы, которые в противном случае выглядели бы совершенно законными.
Подмена домена
Злоумышленники регистрируют домены, отличающиеся от названий легальных брендов всего на одну букву, и массово рассылают с них фишинговые письма. Поскольку такие домены технически существуют, базовые спам-фильтры часто пропускают их.
Без применения DMARC на реальном домене, ничто не помешает поддельным сообщениям попадать в почтовые ящики.
Обработка заголовков
SMTP — протокол, лежащий в основе электронной почты, — по умолчанию не проверяет личность отправителя. Любой человек, обладающий базовыми техническими знаниями, может изменить заголовок «From», чтобы отобразить любой адрес по своему усмотрению.
Это техническая основа атак типа «Business Email Compromise» (BEC), и вот почему SPF, DKIM и DMARC были созданы специально для устранения этого пробела в аутентификации.
Массовое создание фальшивых аккаунтов
Генераторы случайных адресов электронной почты и сервисы одноразовых адресов позволяют легко создавать сотни фальшивых учетных записей на платформах, где не проводится проверка при регистрации. Эти учетные записи используются для:
- Распространение спам-сообщений на разных платформах
- Проведение атак с использованием метода «credential stuffing»
- Манипулирование отзывами или показателями вовлечённости
- Создание инфраструктуры для крупных мошеннических кампаний
Подделка отображаемого имени
Сочетая надежный отображаемый псевдоним с не связанным с ним адресом отправителя, злоумышленники выдают себя за руководителей, сотрудников финансовых отделов и известные бренды, при этом не взламывая ни одной реальной учетной записи.
Это основной механизм, лежащий в основе целевых специализированных фишинговых атак, при которых наличие достаточного количества личной информации делает подделку личности убедительной.
Как Пабло Эррерос упростил управление DNS с помощью PowerDMARC
Достигнут показатель безопасности доменов на уровне 100% для всех управляемых доменов
Упрощенное управление SPF, DKIM и DMARC для нескольких доменов
Более быстрая регистрация клиентов благодаря автоматизированным проверкам аутентификации
Повышение показателей доставки электронной почты и репутации домена
Что делать, если вы получили письмо с поддельного адреса
Действия, которые следует предпринять сразу после обнаружения подозрительного письма, либо позволяют свести риск к минимуму, либо, наоборот, усугубляют его. Вот правильная последовательность действий.
Необходимые меры:
- Ни на что не нажимайте. Сначала наведите курсор на ссылку, чтобы проверить URL-адрес. Если он не совпадает с доменом отправителя, не нажимайте на него.
- Не отвечайте. Даже сам факт ответа подтверждает, что ваш адрес активен, а это представляет ценность для злоумышленников, проводящих массовые рассылки.
- Проверьте полный адрес отправителя. Раскройте поле «Отправитель» и обратите внимание на типосквоттинг, замены символов в Unicode, а также на любое несоответствие между отображаемым именем и фактическим доменом.
- Проверьте заголовки. Проверьте результаты проверки SPF, DKIM и DMARC. Неудовлетворительный результат для письма, якобы отправленного банком или известным брендом, подтверждает факт подделки.
- Сообщите об этом. Перешлите информацию в свой ИТ-отдел или службу безопасности. В Великобритании сообщите об этом в NCSC по адресу [email protected]. В США перешлите информацию по адресу [email protected].
Если вы уже нажали кнопку или ввели учетные данные:
- Немедленно смените уязвимые пароли
- Включить многофакторную аутентификацию для этих учетных записей
- Свяжитесь со своим банком, если были переданы какие-либо финансовые данные
- Проведите проверку безопасности на вашем устройстве
Использование проверки на мошенничество поможет вам быстро определить, является ли полученное вами сообщение мошенническим, прежде чем предпринимать какие-либо дальнейшие действия.
Пресекайте поддельные письма у источника с помощью PowerDMARC
Знание признаков поддельного адреса электронной почты — это уже половина дела. Вторая половина — наличие инфраструктуры аутентификации, которая улавливает то, что упускает человеческий глаз.
PowerDMARC обеспечивает организациям полную прозрачность в отношении всех источников, отправляющих электронную почту от их имени, обеспечивает соблюдение политик DMARC, которые блокируют поддельные сообщения до того, как они поступят в почтовый ящик, и выявляет угрозы в режиме реального времени с помощью интеллектуальной отчетности.
Более 2000 организаций и государственных учреждений по всему миру доверяют PowerDMARC, благодаря чему злоумышленникам становится значительно сложнее выдать себя за ваш домен, злоупотребить вашим брендом или обмануть ваших клиентов с помощью мошеннических писем.
Начните бесплатную пробную версию и обеспечьте безопасность своей электронной почты уже сегодня.
Вопросы и ответы
1. Законно ли использовать поддельный адрес электронной почты?
Использование вымышленных адресов электронной почты в целях защиты конфиденциальности, тестирования или защиты от спама, как правило, является законным. Однако использование вымышленных адресов для мошенничества, выдачи себя за другое лицо, кражи личных данных или иных противоправных действий противоречит закону. Всегда ознакомьтесь с условиями предоставления услуг любой платформы, на которой вы регистрируетесь.
2. Как долго действует временный или поддельный адрес электронной почты?
Срок действия зависит от конкретного сервиса: временные адреса электронной почты обычно действуют от 10 минут до 24 часов, одноразовые адреса — от нескольких дней до нескольких недель, а «одноразовые» адреса — до тех пор, пока вы их поддерживаете. Точные сроки действия всегда следует уточнять в условиях использования конкретного сервиса.
3. Можно ли отправлять или отвечать на электронные письма с поддельным адресом электронной почты?
Большинство сервисов временной и одноразовой электронной почты позволяют только получать письма, но не отправлять их. Некоторые сервисы одноразовой почты допускают отправку писем, но их функционал зачастую ограничен. Прежде чем рассчитывать на двустороннюю переписку, проверьте возможности конкретного сервиса.
4. Являются ли поддельные адреса электронной почты безопасными и конфиденциальными?
Уровень безопасности и конфиденциальности значительно различается в зависимости от сервиса. Авторитетные провайдеры временных адресов электронной почты обеспечивают надежную защиту конфиденциальности, однако некоторые из них могут вести журналы регистрации данных или предоставлять доступ к ним посторонним лицам. Ни в коем случае не используйте поддельные адреса электронной почты для учетных записей, связанных с конфиденциальной информацией, например в банковской сфере или сфере здравоохранения, и всегда ознакомьтесь с политикой конфиденциальности любого сервиса, которым вы пользуетесь.
5. Что такое одноразовый адрес электронной почты?
Временный почтовый ящик, созданный с помощью таких сервисов, как Mailinator или Guerrilla Mail. Он не требует подтверждения личности и автоматически удаляется по истечении заданного времени. Часто используется для обеспечения конфиденциальности, но также широко ассоциируется с созданием фальшивых аккаунтов и массовой рассылкой спама.
6. Как DMARC помогает предотвратить атаки с использованием поддельных писем?
DMARC определяет, как принимающим серверам следует обрабатывать письма, не прошедшие проверку SPF или DKIM. При использовании политики p=reject поддельные письма, выдающие себя за ваш домен, блокируются до того, как попадают в почтовый ящик адресата, что делает эту технологию одним из самых эффективных технических средств защиты от злоупотреблений с использованием поддельных писем.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
