Подмена отображаемого имени электронной почты является одним из типов атак социальной инженерии который включает в себя фальсификацию данных для искусственного изменения восприятия других людей. Поддельные электронные письма могут обмануть даже самых честных сотрудников организации, заставив их думать, что они общаются с генеральным директором или другими руководителями высшего звена.
Самое убедительное поддельное письмо почти всегда пройдет, поскольку даже люди, которые должны его проверять, будут одурачены его мошенническим видом.
Хакеры используют свои фальшивые личности, чтобы заставить всех участников онлайн-транзакции думать, что они разговаривают с одним конкретным человеком, не зная, что за экраном находится другой человек.
Таким образом, цель этого процесса - дать хакерам возможность "притворяться, пока не получится" в своих попытках фишинга.
Ключевые выводы
- Хакеры выдают себя за доверенных лиц, используя поддельное имя, в то время как адрес электронной почты отличается.
- Мобильные почтовые клиенты скрывают метаданные, что позволяет поддельным письмам обманывать пользователей.
- Подмена отображаемого имени обходит обычные фильтры электронной почты, так как использует легитимный адрес электронной почты.
- Всегда проверяйте метаданные электронной почты и используйте SPF, DKIM и DMARC для проверки подлинности.
- PowerDMARC блокирует поддельные электронные письма, используя передовые протоколы и машинное обучение для обнаружения фишинга.
Что такое подмена отображаемого имени?
Подмена отображаемого имени электронной почты - это мошенничество с использованием реального имени человека (известного получателю) в качестве отображаемого имени для своих писем. Они могут отправить что-то простое, как спам, от имени друга.
Это делается путем регистрации действующего аккаунта электронной почты с другим адресом электронной почты, но с тем же именем, что и у контакта, за которого хотят выдать себя. Таким образом, получатель будет думать, что получает письмо от доверенного лица из списка контактов, но это не он.
Например:
Хакер может выдавать себя за "Бена, генерального директора компании XYZ", используя точное отображаемое имя, которое "Бен, генеральный директор" установил на своем официальном адресе электронной почты. А затем применить это поддельное отображаемое имя к действительному, но отличному от реального адресу электронной почты, используемому "Беном, генеральным директором".
Поскольку большинство современных платформ электронной почты, таких как Outlook, просто отображают имя отправителя письма (вместо фактического адреса электронной почты отправителя From:) для получателя - ради удобства пользователя - получатель может попасть в ловушку, расставленную хакером.
Получатель примет письмо за законное, отправленное "Беном, генеральным директором", хотя на самом деле это не так, потому что в разделе From: (который обычно скрыт по умолчанию в большинстве почтовых платформ) указан другой адрес электронной почты, чем тот, который на самом деле использует "Бен, генеральный директор".
Остановите спуфинг с помощью PowerDMARC!
Подмена отображаемого имени становится широко распространенной фишинговой аферой: Но почему?
С годами использование подмены отображаемого имени становится все более распространенным в фишинговых аферах. Это связано с тем, что отображение имени, идентичного реальному адресу электронной почты From:, может обмануть многих людей, заставив их поверить, что письмо действительно от человека, которого они знают или которому доверяют.
➜ Распространение смартфонов
Подмена отображаемого имени электронной почты становится широко распространенной фишинговой аферой из-за распространения смартфонов.
Поскольку почтовые клиенты на мобильных устройствах не отображают метаданные письма, это позволяет подменить отображаемое имя письма. Это означает, что когда получатель открывает письмо от незнакомого ему человека, он увидит только отображаемое имя почты отправителя, а не адрес From:.
Как вы можете себе представить, это позволяет мошенникам легко обмануть людей, заставив их думать, что они общаются с кем-то, кого они знают.
➜ Обход механизмов защиты от спуфинга
Причина эффективности этого вида мошенничества заключается в том, что подмена отображаемого имени электронной почты осуществляется через легитимный адрес электронной почты. Поскольку этот способ обходит большинство средств защиты от спуфинга, таких как SpamAssassin, такие фишинговые письма зачастую очень трудно отфильтровать.
➜ Метаданные электронной почты скрыты
Большинство людей привыкли к тому, что электронное письмо должно выглядеть так, как будто оно пришло от их друзей или родственников. В действительности большинство людей не читают полные метаданные электронного письма и таким образом попадают в ловушку.
Именно поэтому хакеры могут атаковать пользовательские интерфейсы, которые были разработаны с учетом простоты использования в качестве приоритета. Большинство современных почтовых клиентов не показывают метаданные для удобства; поэтому адрес From: скрыт от посторонних глаз, пока получатель не нажмет на него, чтобы увидеть полные метаданные.
Большинство получателей не читают полные сообщения электронной почты - они просто полагаются на отображаемое имя для проверки подлинности. Таким образом, они попадаются на эту фишинговую аферу, поскольку полагают, что если электронное письмо похоже на знакомое им, то оно должно быть законным и безопасным.
Как не стать жертвой подмены отображаемого имени электронной почты?
Когда коллеги получают спам с вашим именем в теме письма, убедитесь, что они прошли все необходимые процедуры проверки, прежде чем открыть письмо. Если они не уверены, попросите их проверить обмен письмами, чтобы убедиться, что оно действительно от того, за кого себя выдает. Вот еще несколько полезных советов о том, что делать, если кто-то отправляет электронные письма с вашим именем или если вы получаете поддельные письма.
1. Во-первых, перейдите к сообщению электронной почты и извлеките из него все метаданные. Это даст вам доступ к имени отправителя, адресу электронной почты и полной информации о заголовке сообщения. Если это подделка, то, скорее всего, некоторые метаданные не соответствуют действительности. Например, если вы заметите, что адрес электронной почты не совпадает с другими учетными записями в вашем списке контактов, то это верный признак того, что это фишинговое мошенничество.
2. Проверьте свой SPF записи. Это списки доменов, которые разрешили доставку (или отклонили) почты из своего домена.
3. Проверьте свой DKIM записи. Это списки доменов, которые подписали вашу почту своим закрытым ключом для проверки ее подлинности. Если какая-либо из этих записей не совпадает с доменом в заголовке письма, то это верный признак того, что это подделка.
4. Проверьте записи DMARC. Это списки доменов, в которых установлена политика отклонения почты, если она не проходит ни одну из вышеперечисленных проверок. Если эта запись не совпадает с доменом в заголовке письма, то это верный признак того, что это подделка.
5. Если вы видите гиперссылку, которая выглядит так, будто указывает на официальную страницу, но ведет куда-то в другое место, это верный признак подделки. Если вы видите опечатки или другие ошибки в тексте письма, это также может быть признаком подделки имени, отображаемого в электронной почте.
Создание транспортного правила для подмены отображаемого имени электронной почты
Транспортные правила - это способ блокировать или разрешать определенные электронные письма, отправленные из-за пределов организации. Они применяются к отдельным сообщениям электронной почты, что означает, что вы можете использовать их для указания того, какие сообщения должны или не должны быть доставлены.
Транспортное правило для генерального директора "Бена" выглядит следующим образом:
Применяйте это правило, если... 1. Отправитель находится за пределами организации. 2. Заголовок сообщения совпадает... Заголовок 'From' совпадает с заголовком 'Ben'. Сделайте следующее... Prepend the Disclaimer ‘<disclaimer>’ |
С помощью этого транспортного правила любое сообщение электронной почты, приходящее извне организации и содержащее слово "Ben" в заголовке From, будет блокироваться и отправляться в определенный пользователем почтовый ящик. Это предотвращает возможность поддельного Бена подделать адрес и отображаемое имя настоящего Бена. Отказ от ответственности, добавляемый к каждому заблокированному сообщению, предупреждает пользователей о том, что это не подлинное деловое письмо, и его не следует открывать или отвечать на него.
Как PowerDMARC борется с подменой отображаемого имени электронной почты для защиты вашего бизнеса?
Число случаев подмены отображаемого имени электронной почты растет, и PowerDMARC готова помочь вам в борьбе с этим явлением. Мы обеспечиваем соблюдение DMARC протоколы, такие как DKIM и SPF, которые являются важнейшими инструментами для борьбы с подделкой электронной почты. Мы также используем машинное обучение для создания прогностической модели угроз подделки электронной почты, а затем объединяем эти прогнозы с передовыми инструментами анализа контента для обеспечения максимальной защиты от фишинговых атак по электронной почте.
Таким образом, если кто-то создал письмо с вашим именем в надежде обманом заставить ваших сотрудников кликнуть на него, оно не пройдет, потому что фильтр отлавливает подмену отображаемого имени электронной почты, а также опечатки.
- Автоматизированные инструменты Pentest революционизируют электронную почту и кибербезопасность - 3 февраля 2025 г.
- Пример из практики MSP: Hubelia упростила управление безопасностью клиентского домена с помощью PowerDMARC - 31 января 2025 г.
- 6 лучших решений DMARC для MSP в 2025 году - 30 января 2025 г.