Спуфинг электронной почты – актуально?

Нередко сотрудники вашей компании, разбирая корпоративную почту, могут наткнуться на странные письма от, казалось бы, знакомых им адресатов, но с подозрительным содержанием или вложениями. Во вложении может храниться вредоносный файл или же письмо, которое призывает направить в ответ конфиденциальные данные и тем самым нарушить политику информационной безопасности. Подобные атаки именуются спуфингом, и главная их цель – обмануть работника, выдавая себя за знакомого ему отправителя.

Spoofing (от англ. spoof – обманывать, подделывать, имитировать) – это подделка адреса отправителя в электронных письмах.

Для каких вредоносных целей используют данный метод?

• Спам. Рассылка сообщений от имени известных организаций или контактов получателя.
• Фишинг. Подделка email-адреса отправителя, чтобы убедить жертву перейти по ссылке на фишинговый ресурс и ввести на нем учетные данные от своего аккаунта.
• Компрометация корпоративной почты. Преступники притворяются сотрудниками, клиентами, партнерами или подрядчиками организации с целью вынудить передать им конфиденциальную информацию.
• Вымогательство. Мошенник отправляет пользователю письмо от имени самого пользователя, утверждает, что взломал его почту, и требует деньги за возврат контроля над ящиком.

Каким образом можно определить, что письмо не является легитимным?

Как правило, в любом почтовом сервисе есть возможность просмотра свойств письма (структуры), а именно дополнительной информации о почтовом сервере отправителя и других служебных заголовков протокола SMTP. Неладное можно легко заметить, если сравнить свойства письма, полученного от реального адресата, и злоумышленника (даже если поля "от кого/From" у них идентичные).

Для полноценной защиты от поддельных писем на уровне компании существует набор технологий, закрывающих уязвимости протокола SMTP:

• Sender Police Framework (SPF) проверяет подлинность почтового сервера, с которого пришло письмо.
• DomainKeys Identified Mail (DKIM) защищает письмо от подделки при помощи цифровой подписи.
• Domain-based Message Authentication, Reporting and Conformance (DMARC) позволяет управлять технологиями SPF и DKIM и совершенствует их.

В случае получения странных писем, даже от известного вам адресата, я всегда рекомендую обращаться в ваш отдел информационной безопасности, так как осторожность никогда не бывает лишней.