Подписка
МЕНЮ
Подписка

Спуфинг электронной почты – актуально?

16/09/2022

Нередко сотрудники вашей компании, разбирая корпоративную почту, могут наткнуться на странные письма от, казалось бы, знакомых им адресатов, но с подозрительным содержанием или вложениями. Во вложении может храниться вредоносный файл или же письмо, которое призывает направить в ответ конфиденциальные данные и тем самым нарушить политику информационной безопасности. Подобные атаки именуются спуфингом, и главная их цель – обмануть работника, выдавая себя за знакомого ему отправителя.

Spoofing (от англ. spoof – обманывать, подделывать, имитировать) – это подделка адреса отправителя в электронных письмах.

Для каких вредоносных целей используют данный метод?

  • Спам. Рассылка сообщений от имени известных организаций или контактов получателя.
  • Фишинг. Подделка email-адреса отправителя, чтобы убедить жертву перейти по ссылке на фишинговый ресурс и ввести на нем учетные данные от своего аккаунта.
  • Компрометация корпоративной почты. Преступники притворяются сотрудниками, клиентами, партнерами или подрядчиками организации с целью вынудить передать им конфиденциальную информацию.
  • Вымогательство. Мошенник отправляет пользователю письмо от имени самого пользователя, утверждает, что взломал его почту, и требует деньги за возврат контроля над ящиком.

Каким образом можно определить, что письмо не является легитимным?

Как правило, в любом почтовом сервисе есть возможность просмотра свойств письма (структуры), а именно дополнительной информации о почтовом сервере отправителя и других служебных заголовков протокола SMTP. Неладное можно легко заметить, если сравнить свойства письма, полученного от реального адресата, и злоумышленника (даже если поля "от кого/From" у них идентичные).

Для полноценной защиты от поддельных писем на уровне компании существует набор технологий, закрывающих уязвимости протокола SMTP:

  • Sender Police Framework (SPF) проверяет подлинность почтового сервера, с которого пришло письмо.
  • DomainKeys Identified Mail (DKIM) защищает письмо от подделки при помощи цифровой подписи.
  • Domain-based Message Authentication, Reporting and Conformance (DMARC) позволяет управлять технологиями SPF и DKIM и совершенствует их.

В случае получения странных писем, даже от известного вам адресата, я всегда рекомендую обращаться в ваш отдел информационной безопасности, так как осторожность никогда не бывает лишней.

Денис Богданов

 

 

 

Денис Богданов
Руководитель отдела информационной безопасности ООО МФК "ВЭББАНКИР"
 

Решения по кибербезопасности для предприятий

Темы:Информационная безопасностьЖурнал "Системы безопасности" №4/2022