Förfalskning av e-postnamn är en av de vanligaste typer av sociala ingenjörsattacker som innebär att uppgifter förfalskas för att på konstgjord väg ändra andra personers uppfattning. Spoofade e-postmeddelanden kan lura även de mest ärliga anställda i en organisation att tro att de kommunicerar med VD:n eller andra högre chefer.
Det mest övertygande falska e-postmeddelandet kommer nästan alltid att komma igenom, eftersom även personer som ska kontrollera det kommer att bli lurade av det falska utseendet.
Hackare använder sina falska identiteter för att få alla inblandade i en online-transaktion att tro att de pratar med en viss person utan att veta att det finns en annan person bakom skärmen.
Syftet med denna process är därför att göra det möjligt för hackare att "fejka tills de klarar sig" i sin försök till nätfiske.
Vad är Display Name Spoofing?
Spoofing av e-postadresser är en e-postbedrägeri som utförs av bedragare som använder någons riktiga namn (som är känt av mottagaren) som adress i sina e-postmeddelanden.
Detta görs genom att registrera ett giltigt e-postkonto med en annan e-postadress, men med samma namn som den kontakt som de vill föreställa sig. Därför tror mottagaren att han/hon får ett e-postmeddelande från en betrodd person i sina kontakter, men det är inte han/hon själv.
Till exempel:
En hackare kan utge sig för att vara "Ben, VD för XYZ-företaget" genom att använda exakt det namn som "Ben, VD" har skapat på sin officiella e-postadress. Sedan använder han detta falska namn på en giltig men annorlunda e-postadress än den e-postadress som används av "Ben, VD".
Eftersom de flesta moderna e-postplattformar som Outlook bara visar avsändarens namn (i stället för avsändarens faktiska e-postadress From:) för mottagaren - för att underlätta för användaren - kan mottagaren gå i hackarens fälla.
Mottagaren kommer att acceptera att e-postmeddelandet är legitimt skickat av "Ben, vd:n" när det i själva verket inte är det eftersom avsnittet From: (som vanligtvis är dolt som standard i de flesta e-postplattformar) innehåller en annan e-postadress än den som "Ben, vd:n" faktiskt använder.
Display Name Spoofing blir ett vitt utbrett nätfiskebedrägeri: Men varför?
Under årens lopp har det blivit allt vanligare att använda falska namn i nätfiskebedrägerier. Detta beror på att om man visar ett namn som är identiskt med den faktiska e-postadressen From: kan man lura många människor att tro att det faktiskt kommer från någon de känner eller litar på.
➜ Spridning av smarta telefoner
Att förfalskningar av e-postnamn blir en utbredd nätfiskebedrägeri på grund av spridningen av smarttelefoner.
Eftersom e-postklienter på mobila enheter inte visar metadata för e-postmeddelanden, kan man förfalskas med e-postnamn. Detta innebär att när en mottagare öppnar ett e-postmeddelande från någon som han inte känner, ser han endast avsändarens e-postnamn och inte adressen From:.
Som du kan föreställa dig är det lätt för en bedragare att lura människor att tro att de interagerar med någon de känner.
➜ kringgår försvarsmekanismer för spoofing
Anledningen till att denna typ av bedrägeri är så effektiv är att förfalskning av e-postnamn sker via en legitim e-postadress. Eftersom de flesta motåtgärder mot spoofing, t.ex. SpamAssassin, inte kan användas, är det ofta mycket svårt att filtrera bort dessa phishingmejl.
➜ E-postmetadata är dolda
De flesta människor är vana vid att ett e-postmeddelande ska se ut som om det kommer från vänner eller familj. I verkligheten läser de flesta människor inte hela metadatan i ett e-postmeddelande och går därför i fällan.
Det är därför hackare kan rikta in sig på användargränssnitt som utformats med användarvänlighet som prioritet. De flesta moderna e-postklientprogram visar inte metadata för att underlätta läsningen; därför är From:-adressen dold tills mottagaren klickar på den för att se alla metadata.
De flesta mottagare läser inte hela e-postmeddelanden - de förlitar sig bara på visningsnamnet för att autentisera dem. Därför faller de för denna phishing-bedrägeri eftersom de antar att om ett e-postmeddelande ser ut som en person som de känner till måste det vara legitimt och säkert.
Hur undviker du att bli ett offer för spoofing av e-postnamn?
Lita inte på visningsnamn för att autentisera e-post. Om du är osäker bör du kontrollera e-postmeddelandet för att se om det verkligen kommer från den som det utger sig för att vara. Här finns fler användbara tips för att förhindra att du förfalskat e-postnamn.
1. Gå först till e-postmeddelandet i fråga och extrahera alla metadata från det. På så sätt får du tillgång till avsändarens namn, e-postadress och fullständig information om e-posthuvudet. Om det rör sig om spoofing är det troligt att en del av metadata inte är vad de verkar vara. Om du till exempel märker att e-postadressen inte stämmer överens med några andra konton i din kontaktlista är det en bra indikation på att det här är en phishing-bedrägeri.
2. Kontrollera din SPF poster. Detta är listor över domäner som har tillåtit att post från deras domän levereras (eller avvisas).
3. Kontrollera din DKIM poster. Detta är listor över domäner som har signerat ditt e-postmeddelande med sin privata nyckel för att verifiera dess äkthet. Om någon av dessa poster inte stämmer överens med domänen i e-posthuvudet är det en bra indikation på att det rör sig om spoofing.
4. Kontrollera dina DMARC-poster. Detta är listor över domäner som har inrättat en policy för att avvisa e-post om den inte klarar någon av ovanstående kontroller. Om den här posten inte stämmer överens med domänen i e-posthuvudet är det en bra indikation på att det rör sig om spoofing.
5. Om du ser en hyperlänk som ser ut att peka på en officiell sida, men som leder dig någon annanstans, är det ett bra tecken på spoofing. Om du ser stavfel eller andra fel i texten i e-postmeddelandet kan detta också vara en indikation på spoofing av e-postnamn.
Skapa en transportregel för spoofing av visningsnamn för e-post
Transportregler är ett sätt att blockera eller tillåta specifika e-postmeddelanden som har skickats utanför organisationen. De tillämpas på enskilda e-postmeddelanden, vilket innebär att du kan använda dem för att ange vilka meddelanden som ska levereras eller inte.
Transportregeln för VD "Ben" är följande:
Tillämpa denna regel om...
1. Avsändaren finns utanför organisationen. 2. En rubrik i ett meddelande matchar... "From"-rubriken matchar "Ben". Gör följande... Prepend the Disclaimer ‘<disclaimer>’ |
Med den här transportregeln blockeras alla e-postmeddelanden som kommer från en annan organisation och som innehåller ordet "Ben" i rubriken From och skickas till en användardefinierad brevlåda. Detta förhindrar att den falska Ben kan förfalska den riktiga Bens adress och visningsnamn. I den ansvarsfriskrivning som bifogas varje blockerat meddelande informeras användarna om att detta inte är ett autentiskt affärsmail och att det inte bör öppnas eller besvaras.
Hur PowerDMARC bekämpar spoofing av e-postnamn för att skydda ditt företag?
Förfalskning av e-postnamn ökar och PowerDMARC hjälper dig att bekämpa det. Vi tillämpar DMARC protokoll som DKIM- och SPF-kontroller, som är viktiga verktyg för att bekämpa förfalskning av e-post. Vi använder också maskininlärning för att generera en prediktiv modell för hot mot e-postspoofing och kombinerar sedan dessa prediktioner med avancerade verktyg för innehållsanalys för att maximera ditt skydd mot phishingattacker via e-post.
Om någon skickar ut ett e-postmeddelande som låtsas komma från dig i hopp om att lura dina anställda att klicka på det, kommer det inte att gå igenom eftersom filtret även tar emot falska e-postnamn. typosquatting.