Подмена отображаемого имени электронной почты является одним из типов атак социальной инженерии который включает в себя фальсификацию данных для искусственного изменения восприятия других людей. Поддельные электронные письма могут обмануть даже самых честных сотрудников организации, заставив их думать, что они общаются с генеральным директором или другими руководителями высшего звена.
Самое убедительное поддельное письмо почти всегда пройдет, поскольку даже люди, которые должны его проверять, будут одурачены его мошенническим видом.
Хакеры используют свои фальшивые личности, чтобы заставить всех участников онлайн-транзакции думать, что они разговаривают с одним конкретным человеком, не зная, что за экраном находится другой человек.
Таким образом, цель этого процесса заключается в том, чтобы позволить хакерам "притворяться, пока не получится" в своих попытках фишинга.
Что такое подмена отображаемого имени?
Подмена отображаемого имени электронной почты - это мошенничество, совершаемое мошенниками, которые используют чье-то настоящее имя (известное получателю) в качестве отображаемого имени для своих писем.
Это делается путем регистрации действующего аккаунта электронной почты с другим адресом электронной почты, но с тем же именем, что и у контакта, за которого хотят выдать себя. Таким образом, получатель будет думать, что получает письмо от доверенного лица из списка контактов, но это не он.
Например:
Хакер может выдавать себя за "Бена, генерального директора компании XYZ", используя точное отображаемое имя, которое "Бен, генеральный директор" установил на своем официальном адресе электронной почты. А затем применить это поддельное отображаемое имя к действительному, но отличному от реального адресу электронной почты, используемому "Беном, генеральным директором".
Поскольку большинство современных платформ электронной почты, таких как Outlook, просто отображают имя отправителя письма (вместо фактического адреса электронной почты отправителя From:) для получателя - ради удобства пользователя - получатель может попасть в ловушку, расставленную хакером.
Получатель примет письмо за законное, отправленное "Беном, генеральным директором", хотя на самом деле это не так, потому что в разделе From: (который обычно скрыт по умолчанию в большинстве почтовых платформ) указан другой адрес электронной почты, чем тот, который на самом деле использует "Бен, генеральный директор".
Подмена отображаемого имени становится широко распространенной фишинговой аферой: Но почему?
С годами использование подмены отображаемого имени становится все более распространенным в фишинговых аферах. Это связано с тем, что отображение имени, идентичного реальному адресу электронной почты From:, может обмануть многих людей, заставив их поверить, что письмо действительно от человека, которого они знают или которому доверяют.
➜ Распространение смартфонов
Подмена отображаемого имени электронной почты становится широко распространенной фишинговой аферой из-за распространения смартфонов.
Поскольку почтовые клиенты на мобильных устройствах не отображают метаданные письма, это позволяет подменить отображаемое имя письма. Это означает, что когда получатель открывает письмо от незнакомого ему человека, он увидит только отображаемое имя почты отправителя, а не адрес From:.
Как вы можете себе представить, это позволяет мошенникам легко обмануть людей, заставив их думать, что они общаются с кем-то, кого они знают.
➜ Обход механизмов защиты от спуфинга
Причина эффективности этого вида мошенничества заключается в том, что подмена отображаемого имени электронной почты осуществляется через легитимный адрес электронной почты. Поскольку этот способ обходит большинство средств защиты от спуфинга, таких как SpamAssassin, такие фишинговые письма зачастую очень трудно отфильтровать.
➜ Метаданные электронной почты скрыты
Большинство людей привыкли к тому, что электронное письмо должно выглядеть так, как будто оно пришло от их друзей или родственников. В действительности большинство людей не читают полные метаданные электронного письма и таким образом попадают в ловушку.
Именно поэтому хакеры могут атаковать пользовательские интерфейсы, которые были разработаны с учетом простоты использования в качестве приоритета. Большинство современных почтовых клиентов не показывают метаданные для удобства; поэтому адрес From: скрыт от посторонних глаз, пока получатель не нажмет на него, чтобы увидеть полные метаданные.
Большинство получателей не читают полные сообщения электронной почты - они просто полагаются на отображаемое имя для проверки подлинности. Таким образом, они попадаются на эту фишинговую аферу, поскольку полагают, что если электронное письмо похоже на знакомое им, то оно должно быть законным и безопасным.
Как не стать жертвой подмены отображаемого имени электронной почты?
Не полагайтесь на отображаемые имена для проверки подлинности электронной почты. Если вы не уверены, проверьте электронное сообщение, чтобы убедиться, что оно действительно от того, за кого себя выдает. Вот еще полезные советы по предотвращению подмены отображаемых имен электронной почты.
1. Во-первых, перейдите к сообщению электронной почты и извлеките из него все метаданные. Это даст вам доступ к имени отправителя, адресу электронной почты и полной информации о заголовке сообщения. Если это подделка, то, скорее всего, некоторые метаданные не соответствуют действительности. Например, если вы заметите, что адрес электронной почты не совпадает с другими учетными записями в вашем списке контактов, то это верный признак того, что это фишинговое мошенничество.
2. Проверьте свой SPF записи. Это списки доменов, которые разрешили доставку (или отклонили) почты из своего домена.
3. Проверьте свой DKIM записи. Это списки доменов, которые подписали вашу почту своим закрытым ключом для проверки ее подлинности. Если какая-либо из этих записей не совпадает с доменом в заголовке письма, то это верный признак того, что это подделка.
4. Проверьте записи DMARC. Это списки доменов, для которых установлена политика отклонения почты, если она не проходит ни одну из вышеперечисленных проверок. Если эта запись не совпадает с доменом в заголовке письма, то это верный признак того, что это подделка.
5. Если вы видите гиперссылку, которая выглядит так, будто указывает на официальную страницу, но ведет куда-то в другое место, это верный признак подделки. Если вы видите опечатки или другие ошибки в тексте письма, это также может быть признаком подделки имени, отображаемого в электронной почте.
Создание транспортного правила для подмены отображаемого имени электронной почты
Транспортные правила - это способ блокировать или разрешать определенные электронные письма, отправленные из-за пределов организации. Они применяются к отдельным сообщениям электронной почты, что означает, что вы можете использовать их для указания того, какие сообщения должны или не должны быть доставлены.
Транспортное правило для генерального директора "Бена" выглядит следующим образом:
| Применяйте это правило, если...
1. Отправитель находится за пределами организации. 2. Заголовок сообщения совпадает... Заголовок 'From' совпадает с заголовком 'Ben'. Сделайте следующее... Prepend the Disclaimer ‘<disclaimer>’ |
С помощью этого транспортного правила любое сообщение электронной почты, приходящее извне организации и содержащее слово "Ben" в заголовке From, будет блокироваться и отправляться в определенный пользователем почтовый ящик. Это предотвращает возможность поддельного Бена подделать адрес и отображаемое имя настоящего Бена. Отказ от ответственности, добавляемый к каждому заблокированному сообщению, предупреждает пользователей о том, что это не подлинное деловое письмо, и его не следует открывать или отвечать на него.
Как PowerDMARC борется с подменой отображаемого имени электронной почты для защиты вашего бизнеса?
Число поддельных имен электронной почты растет, и компания PowerDMARC готова помочь вам в борьбе с этим явлением. Мы обеспечиваем соблюдение DMARC протоколы, такие как DKIM и SPF, которые являются важнейшими инструментами для борьбы с подделкой электронной почты. Мы также используем машинное обучение для создания прогностической модели угроз подделки электронной почты, а затем объединяем эти прогнозы с передовыми инструментами анализа содержимого для максимальной защиты от фишинговых атак по электронной почте.
Таким образом, если кто-то отправит письмо, выдавая его за ваше, в надежде обманом заставить ваших сотрудников кликнуть на него, оно не пройдет, потому что фильтр будет отлавливать подмену отображаемого имени электронной почты, а также типосквоттинг.
- Может ли блокчейн помочь повысить безопасность электронной почты? - 9 мая 2024 г.
- Прокси для дата-центров: Раскрытие рабочей лошадки мира прокси - 7 мая 2024 г.
- Kimsuky использует политику DMARC "None" в последних фишинговых атаках - 6 мая 2024 г.