Спуфинг электронной почты – актуально?
16/09/2022
Нередко сотрудники вашей компании, разбирая корпоративную почту, могут наткнуться на странные письма от, казалось бы, знакомых им адресатов, но с подозрительным содержанием или вложениями. Во вложении может храниться вредоносный файл или же письмо, которое призывает направить в ответ конфиденциальные данные и тем самым нарушить политику информационной безопасности. Подобные атаки именуются спуфингом, и главная их цель – обмануть работника, выдавая себя за знакомого ему отправителя.
Spoofing (от англ. spoof – обманывать, подделывать, имитировать) – это подделка адреса отправителя в электронных письмах.
Для каких вредоносных целей используют данный метод?
- Спам. Рассылка сообщений от имени известных организаций или контактов получателя.
- Фишинг. Подделка email-адреса отправителя, чтобы убедить жертву перейти по ссылке на фишинговый ресурс и ввести на нем учетные данные от своего аккаунта.
- Компрометация корпоративной почты. Преступники притворяются сотрудниками, клиентами, партнерами или подрядчиками организации с целью вынудить передать им конфиденциальную информацию.
- Вымогательство. Мошенник отправляет пользователю письмо от имени самого пользователя, утверждает, что взломал его почту, и требует деньги за возврат контроля над ящиком.
Каким образом можно определить, что письмо не является легитимным?
Как правило, в любом почтовом сервисе есть возможность просмотра свойств письма (структуры), а именно дополнительной информации о почтовом сервере отправителя и других служебных заголовков протокола SMTP. Неладное можно легко заметить, если сравнить свойства письма, полученного от реального адресата, и злоумышленника (даже если поля "от кого/From" у них идентичные).
Для полноценной защиты от поддельных писем на уровне компании существует набор технологий, закрывающих уязвимости протокола SMTP:
- Sender Police Framework (SPF) проверяет подлинность почтового сервера, с которого пришло письмо.
- DomainKeys Identified Mail (DKIM) защищает письмо от подделки при помощи цифровой подписи.
- Domain-based Message Authentication, Reporting and Conformance (DMARC) позволяет управлять технологиями SPF и DKIM и совершенствует их.
В случае получения странных писем, даже от известного вам адресата, я всегда рекомендую обращаться в ваш отдел информационной безопасности, так как осторожность никогда не бывает лишней.