Подмена электронной почты - это киберпреступление, в ходе которого злоумышленник подделывает адрес "От" в заголовке письма, чтобы выдать себя за законного отправителя. Эта тактика не дает покоя брендам уже несколько десятилетий. При отправке электронного письма адрес "От" не отображает сервер, с которого оно было отправлено; вместо этого он показывает домен, введенный в процессе создания адреса. Это затрудняет обнаружение подделки без специальных мер по борьбе с ней, что способствует успеху таких атак.
Спуфинг широко используется киберпреступниками для рассылки спама и фишинга. По имеющимся данным, число инцидентов, связанных с фишингом, увеличилось на 220 % по сравнению со средними показателями за год во время крупных глобальных событий, таких как пандемия. Фишинг - это мошенническая попытка получить конфиденциальную информацию, такую как имена пользователей, пароли, данные кредитных карт (включая номера PIN-кодов), часто в злонамеренных целях; сам термин означает "вылавливание" жертвы путем притворного доверия. Поддельные электронные письма часто содержат вредоносные ссылки или вложения, чтобы обманом заставить жертву раскрыть такие конфиденциальные данные. Они также могут манипулировать жертвами, заставляя их загружать вредоносные программы, вирусы и служить вектором для доставки выкупного ПО.
Ключевые выводы
- Подмена электронной почты подделывает адреса отправителей, выдавая их за доверенные источники, что позволяет использовать фишинг, распространять вредоносное ПО и наносить значительный финансовый и репутационный ущерб.
- Надежная защита предполагает многоуровневый подход: внедрение аутентификации электронной почты (SPF, DKIM, DMARC, BIMI), использование почтовых фильтров, защищенных шлюзов и обучение сотрудников.
- Правильное управление SPF-записями (соблюдение лимитов поиска, обновление списков IP-адресов) и применение DMARC (p=reject/quarantine) очень важны для эффективности аутентификации.
- Злоумышленники используют различные техники, включая подделку отображаемых имен, использование легитимных доменов (через уязвимости SMTP) и похожих доменов, чтобы обмануть получателей.
- Люди могут помочь обнаружить поддельные письма, внимательно изучая данные отправителя, проверяя необычное содержимое/ссылки и проверяя подозрительные запросы по отдельным каналам.
Как остановить поддельные письма?
1. Внедрение протоколов проверки подлинности электронной почты
Помимо трех основных, другие протоколы, такие как MTA-STS (SMTP MTA Strict Transport Security) и TLS-RPT (TLS Reporting), также способствуют повышению безопасности экосистемы электронной почты, обеспечивая шифрование и предоставляя отчеты о проблемах с TLS-соединением.
- SPF (Sender Policy Framework): Один из основных протоколов аутентификации электронной почты, который, наряду с DKIM и DMARC, помогает предотвратить подделку электронной почты. Записи SPF имеют ограничение в 10 обращений к DNS, что позволяет снизить стоимость обработки каждого письма. Хотя настройка SPF зачастую проста, ее поддержка представляет собой сложную задачу. Существует значительный риск превышения лимита в 10 DNS-поисков, особенно при использовании нескольких сторонних отправителей электронной почты. Если этот лимит превышен, SPF нарушается, легитимные электронные письма не проходят проверку подлинности, а ваш домен становится более уязвимым для спуфинга и атак, связанных с компрометацией деловой электронной почты (BEC).
- DKIM (DomainKeys Identified Mail): Протокол проверки подлинности электронной почты, подписывающий все исходящие сообщения, чтобы предотвратить подделку почты. Использование DKIM позволяет сохранить целостность исходящей почты, что помогает в борьбе с атаками, подменяющими почту.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): DMARC - это протокол аутентификации электронной почты, который позволяет организациям защититься от поддельных и фишинговых атак. Он работает как слой поверх SPF и DKIM, позволяя владельцам доменов публиковать политику, согласно которой принимающие почтовые серверы должны обрабатывать сообщения, не прошедшие проверку подлинности и соответствия SPF или DKIM. Это помогает получателям электронной почты распознать, когда письмо приходит не из одобренных доменов компании, и дает инструкции (например, карантин, отклонение), как безопасно избавляться от таких неавторизованных писем.
Остановите поддельные письма с помощью PowerDMARC!
2. Регулярно отслеживайте трафик электронной почты
Следите за трафиком электронной почты и источниками отправки, просматривая отчеты DMARC вашего домена. отчёты DMARC. Эти комплексные отчеты дают подробный обзор ваших каналов электронной почты, активности домена, заголовков электронной почты и источников сообщений. Они помогут быстро обнаружить попытки подмены вашего домена, чтобы вы могли принять немедленные меры.
Однако чтение этих отчетов может оказаться непростой задачей. Из-за сложного XML-формата необработанных отчетов DMARC нетехническим пользователям часто бывает трудно их расшифровать. Мы рекомендуем использовать анализатор отчетов DMARC для анализа этих отчетов в удобочитаемый формат. Это избавит вас от технических сложностей и сделает их понятными для любого пользователя.
Существуют также инструменты, позволяющие выполнить поиск человека по электронной почте, которые помогут раскрыть более подробную информацию об отправителе и эффективно остановить эти атаки.
3. Используйте фильтры электронной почты для борьбы со спуфингом
Антиспуфинг-фильтры анализируют входящие электронные письма на предмет подозрительных характеристик и признаков подделки. К ним могут относиться несовпадающие адреса отправки, фишинговые сигнатуры, вредоносные вложения и т. д. Фильтры должны быть применены в ваших почтовых клиентах и службах и правильно настроены, чтобы предотвратить попадание поддельных писем в почтовый ящик.
4. Настройка пользовательского адреса "От"
Установите пользовательский адрес "From" с включенными для него протоколами проверки подлинности электронной почты SPF, DKIM и DMARC. Это не позволит неавторизованным отправителям использовать ваш домен и подписывать токены от вашего имени. Чтобы предотвратить подмену электронной почты, домен вашей компании должен использовать принудительную политика DMARC "карантин" или "отклонение".
5. Обучение сотрудников безопасности электронной почты
Ваши сотрудники - самое слабое звено в вашей организации, которое может непреднамеренно подвергнуть ваш домен подделке. Обучение сотрудников может превратить это слабое звено в сильнейшую защиту от почтового мошенничества! Бесплатные курсы по безопасности электронной почты позволяют узнать о векторах атак, передовых методах и предупреждающих знаках, помогая вашим сотрудникам оставаться информированными и бдительными.
6. Внедрение BIMI (Brand Indicators for Message Identification)
BIMI это визуальная функция защиты электронной почты, которая требует соблюдения политики DMARC для отображения логотипа вашего бренда непосредственно в почтовых ящиках получателей рядом с вашими проверенными сообщениями. Прикрепляя логотип бренда к электронной почте, BIMI повышает доверие и надежность. Если злоумышленник отправит письмо, представляющееся письмом от вашего домена, но оно не пройдет проверку DMARC (и, соответственно, проверку BIMI), на его письме не будет отображаться ваш логотип, что облегчит получателям распознавание подделки. Это не только поможет остановить подделку электронной почты, но и повысит узнаваемость бренда при получении легитимного письма. Обратите внимание, что для правильной настройки BIMI в вашем домене должна быть установлена политика DMARC(p=quarantine или p=reject) и BIMI-совместимый SVG-логотип.
7. Использование решений для шлюзов электронной почты
Шлюзы электронной почты отфильтровывают фишинговые письма для повышения безопасности входящей электронной почты. Эти шлюзы объединяют в себе технологии искусственного интеллекта, "песочницы" и анализа угроз для активного обнаружения и предотвращения почтовых угроз.
Как хакеры подделывают ваш адрес электронной почты?
Если вы ответили утвердительно на вопрос "Подделывают ли меня", значит, вы должны знать, как обманывают угрозы. Таким образом, в следующий раз вы будете более осторожны.
Подмена адреса возможна потому, что простой протокол передачи почты (SMTP) по умолчанию не проверяет подлинность адреса отправителя в электронном сообщении; серверы исходящей почты часто не имеют возможности определить, подлинный он или поддельный. Злоумышленники используют это, подделывая синтаксис электронной почты, иногда используя скрипты или манипулируя API почтовых клиентов для настройки адреса отправителя. Это позволяет им отправлять тысячи поддельных сообщений с подлинного почтового домена, зачастую не требуя глубоких знаний в области программирования. Вот некоторые распространенные методы:
Подмена через отображаемое имя
В этом случае подделывается только отображаемое имя отправителя электронной почты путем создания нового аккаунта электронной почты с тем же именем, что и у имитируемого контакта. Однако отображаемый адрес электронной почты отправителя будет другим.
Эти письма не помечаются как спам, потому что выглядят законными.
Подделка через легитимные домены
В этом методе злоумышленники используют доверенный адрес электронной почты в заголовке 'From' (например, [email protected]). В этом случае и отображаемое имя, и адрес электронной почты будут содержать поддельные данные.
Хакеры не захватывают внутреннюю сеть; вместо этого они используют простой протокол передачи почты (SMTP), чтобы вручную указать адреса "Кому" и "От".
Подделка с помощью похожих доменов
Если домен защищен, подделать его невозможно. Поэтому поддельщикам приходится создавать похожий домен. Например, используя 0 (ноль) вместо O (15-я буква английского алфавита). Например, вместо www.amazon.com они могут создать www.amaz0n.com.
Этот трюк работает, поскольку большинство получателей не замечают таких незначительных изменений в написании.
Распознавание признаков спуфинга
Признаки поддельных писем
Вы должны быть настороже, если:
- вы видите в своем "ящике для отправлений" письма, отправленные не вами.
- вы получаете ответы на письма, инициированные не вами.
- ваш пароль изменился, и это сделано не вами.
- люди получают мошеннические электронные письма от вашего имени.
Советы получателям по выявлению поддельных писем
Хотя организации используют технические средства защиты, люди также играют важную роль в обнаружении потенциально вредоносных писем. Будьте осторожны, если вы получили письмо и заметили его:
- Несоответствие информации об отправителе: Внимательно проверьте доменное имя отправителя. Выглядит ли оно немного не так (например, "example.co" вместо "example.com") или совершенно не так, как вы ожидаете?
- Плохая грамматика и опечатки: Многие фишинговые письма содержат заметные орфографические или грамматические ошибки.
- Подозрительные ссылки или вложения: Наводите курсор на ссылки (не нажимая!), чтобы увидеть фактический URL-адрес назначения. Опасайтесь неожиданных вложений, особенно от неизвестных отправителей.
- Язык срочности или угроз: Распространенной тактикой являются письма, создающие ложное ощущение срочности или страха, чтобы заставить действовать немедленно.
- Просьбы о предоставлении конфиденциальной информации: Легальные организации редко запрашивают по электронной почте пароли, номера социального страхования или полные данные кредитных карт.
- Общие приветствия: Письма, начинающиеся со слов "Уважаемый клиент" вместо вашего имени, могут быть тревожным сигналом, хотя и не всегда решающим.
- Если вы не уверены, не переходите по ссылкам и не открывайте вложения. Свяжитесь с предполагаемым отправителем по известному отдельному каналу связи (например, через его официальный сайт или по телефону), чтобы проверить подлинность письма, или сообщите о нем в свой ИТ-отдел.
Как поддельные письма могут навредить вам
Поддельные письма - это как ящик Пандоры, ведь большая часть кибератак (по некоторым исследованиям, более 70 %) начинается с вредоносного письма, а многие утечки данных связаны с тактикой социальной инженерии, такой как подделка. Они могут вызвать целый ворох неприятностей, приводящих к таким опасным последствиям, как:
- Подделка может привести к отправке фишинговых писем от вашего имени с целью кражи конфиденциальной информации, такой как логин и данные кредитной карты.
- Подделка может привести к атакам BEC. Киберпреступники выдают себя за руководителей законных компаний, чтобы перевести деньги или поделиться конфиденциальной информацией.
- Поддельные письма могут привести к распространению вредоносных и шпионских программ, а также к атакам с целью выкупа.
- Неоднократные атаки на ваш домен могут привести к значительному ухудшению репутации и снижению доверия к бренду, что может вызвать нежелание клиентов открывать даже законные электронные письма. Это также может быть связано с нарушением прав на торговую марку или интеллектуальную собственность. Такие атаки могут привести к значительным финансовым потерям для организаций.
- Продолжение успешных попыток подмены может привести к краже личных данных и несанкционированному доступу к учетным записям.
- Организации, не обеспечившие безопасность своих почтовых доменов, могут столкнуться с нормативными штрафами или юридическими последствиями в соответствии с несколькими нормативными документами.
- Поддельные электронные письма, направленные на поставщиков или продавцов, могут поставить под угрозу деловые отношения, привести к мошенническим операциям, утечке данных или сбоям в работе.
Что делать, если мой домен подменяют?
Если вы подозреваете, что ваш адрес электронной почты был использован для атаки с подменой домена, следуйте приведенным ниже рекомендациям по борьбе с подменой домена:
- Проверьте отчеты DMARC на наличие попыток подмены
- Усильте политику DMARC (например, перейдите от отсутствия к карантину или отклонению).
- Оповестите всех затронутых пользователей и внутренние команды
- Сообщайте об инцидентах, связанных с подделкой, своему поставщику электронной почты или службам безопасности.
- Используйте инструменты для отслеживания и анализа попыток спуфинга
Лучшие методы предотвращения подделки электронной почты
Ниже приведены некоторые проверенные и эффективные методы, которые помогут вам избежать подделки электронной почты:
Повышение осведомленности сотрудников
Сотрудники играют решающую роль в предотвращении подделки электронной почты, поскольку они часто являются первой линией защиты от атак. Организациям следует проводить обучение по распознаванию попыток фишинга, проверке данных об отправителе и надлежащему реагированию на подозрительные письма. Обучение сотрудников тому, что нужно искать и как реагировать на попытки подмены, может значительно снизить риск стать жертвой таких атак.
Ведите точные списки отправителей (SPF-записи)
Регулярно просматривайте и обновляйте запись SPF, чтобы убедиться, что в ней указаны только авторизованные в данный момент IP-адреса и сторонние поставщики, которым разрешено отправлять электронные письма от вашего имени. Если вы прекращаете сотрудничество с поставщиком, незамедлительно удалите его IP-адреса из записи SPF. Устаревшая запись может позволить использовать взломанную систему бывшего поставщика для отправки поддельных писем, которые проходят проверку SPF для вашего домена.
Применяйте практические советы по обеспечению безопасности электронной почты
Поощряйте пользователей не открывать вложения от неизвестных отправителей, проверять несоответствия в адресах электронной почты и сообщать о подозрительных сообщениях. Эти небольшие, но эффективные привычки могут свести к минимуму риск атак с использованием поддельных файлов.
Отключение отчетов о недоставке (NDR)
Предотвращение получения NDR из спама или поддельных писем гарантирует, что злоумышленники не получат обратную связь, которая может помочь им усовершенствовать свою тактику. Этот простой шаг может снизить вероятность будущих попыток подделки.
Инструменты и ресурсы для борьбы с подделкой электронной почты
Существует несколько инструментов, которые помогут вам в борьбе с подделками. К ним относятся:
Инструменты для выравнивания SPF
Записи SPF могут сломаться в результате слишком большого количества обращений к DNS. Этого можно избежать, используя инструменты для сглаживания SPF с макросы SPF и возможностями оптимизации. Если традиционные или динамические решения по сглаживанию могут дать временное облегчение, то продвинутые инструменты сглаживания SPF, часто использующие макросы SPF, могут быть более эффективными. Некоторые инструменты также предлагают такие функции, как периодические проверки на предмет изменения IP-адресов поставщиками услуг электронной почты, что помогает сохранить точность и актуальность записи SPF.
Считыватели DMARC XML
Отчеты DMARC отправляются в формате XML, который может быть трудно интерпретировать вручную. Считыватели DMARC XML разбирают эти отчеты в удобный для чтения формат, предоставляя информацию о сбоях аутентификации, неавторизованных отправителях и попытках подмены домена. Это помогает организациям отслеживать состояние безопасности электронной почты и принимать корректирующие меры.
Сторонние решения для защиты электронной почты
Передовые решения для защиты электронной почты используют передовую систему анализа угроз на основе искусственного интеллекта для обнаружения и прогнозирования моделей и тенденций атак. Эти новейшие технологии позволяют предотвратить поддельные письма еще до того, как они попадут в почтовые ящики! Например, PowerDMARC использует анализ Predictive Threat Intelligence для прогнозирования киберугроз на основе электронной почты еще до их возникновения.
Заключительные слова
Хотя подмена электронной почты является одной из самых постоянных угроз в кибермире, компании могут применять правильные инструменты и стратегии для ее предотвращения. Последовательный мониторинг, следование лучшим практикам аутентификации электронной почты и инвестиции в средства защиты от спуфинга позволяют снизить большую часть риска.
Предотвращая подмену электронной почты, вы можете защитить свой бренд от крупных финансовых потерь и следующей крупной утечки данных. Пришло время проявить инициативу, подписавшись на бесплатную пробную версию DMARCи начать защищать свои домены от подмены!
- Сбои в выравнивании доменов DKIM - исправления в RFC 5322 - 5 июня 2025 г.
- DMARCbis - что меняется и как подготовиться - 19 мая 2025 г.
- Что такое BIMI? Полное руководство по требованиям и настройке логотипа BIMI - 21 апреля 2025 г.