Что такое спуфинг?
Спуфинг электронной почты - это приём, используемый в спаме и фишинговых атаках, с целью обмана пользователей и распространения вредоносного ПО. Он направлен на то, чтобы убедить получателя, что письмо получено от надёжного источника. Отправитель подделывает заголовки писем, чтобы переадресовать пользователя на мошеннический адрес, который большинство людей не отличает от настоящего. Такие письма обычно содержат вредоносные вложения и ссылки, переход по которым может привести к компрометированию конфиденциальных данных и краже денежных средств.Примеры работы спуфинга электронной почты
Например, мошенник может направить письмо, якобы от Сбербанка. В сообщении запугивают, что Ваш счёт в банке заблокирован и предлагают перейти по ссылке для дальнейшей разблокировки. Если жертва перейдет по ней, злоумышленники попытаются получить данные для входа в онлайн-банк. Зачастую мошенники берут элементы с официального веб-сайта, чтобы сделать сообщение более правдоподобным.
Существует много сайтов, которые позволяют отправлять фейковые письма. Некоторые из них бесплатные, а за какие-то нужно заплатить. Эти сервисы позиционируются, как законные и целью их существования является розыгрыш друзей.
К сожалению, не все почтовые службы имеют протоколы безопасности. Серверы получателей и ПО для защиты от вредоносных программ могут помочь обнаружить и отфильтровать поддельные сообщения. Почтовые клиенты, настроенные на использование SPF, DKIM и DMARC будут автоматически отклонять электронные письма, не прошедшие проверку или отправлять их в папку «Спам» пользователя.
Способы защиты от спуфинга
SPF (Sender Policy Framework) — это протокол безопасности, установленный в качестве стандарта в 2014 году. SPF умеет находить поддельные электронные письма, и большинство почтовых служб часто используют его для борьбы с фишингом. Для использования SPF владелец домена настраивает TXT- запись, указав все IP-адреса, которым разрешено совершать отправку почты от имени домена. Если эта DNS-запись настроена, при получении сообщения серверы электронной почты получателя ищут IP-адрес, чтобы проверить, что он соответствует авторизованным IP-адресам домена электронной почты. Если есть совпадение, в поле Received-SPF отображается статус PASS. Если его нет, будет статус FAIL. Получатели должны проверять этот статус, когда приходят сообщения со ссылками или вложениями.
Это первый маркер, который говорит о том, что это именно вы рассылаете информацию от имени своего домена. Потому, настройка SPF важна для безопасного взаимодействия и повышения вероятности доставки вашей почты.
DKIM (Domain Keys Identified Mail) – вторая ступень защиты при передаче данных между почтовыми серверами. Это механизм, который работает через ключи шифрования - приватный ключ прикрепляется к письму, а публичный ключ, используемый для проверки - добавляется в DNS домена. При несоответствии ключа, или отсутствии публичного или приватного ключа - проверка DKIM считается не пройденной. Два ключа работают в связке. Когда сервер получателя видит письмо, он запрашивает ваш публичный ключ. С его помощью он расшифровывает скрытую подпись, которая подтверждает ваше авторство. Соответственно, если DKIM у вас не установлен, многие почтовые сервера будут отклонять получение ваших писем. Это способ авторизации, который нельзя игнорировать.
DMARC (Domain-based Message Authentication, Reporting and Conformance) – третий этап защиты. Это технология, которая определяет, что делать с вашими сообщениями, если они не прошли аутентификацию с помощью SPF и DKIM. Это правило, которое вы устанавливаете для писем, отправленных от вашего имени. Настроив все 3 метода, вы защищаете своих получателей от использования вашего домена мошенниками.
Рекомендации для защиты от спуфинг-атак:
1. Организуйте защиту от спуфинга при помощи SPF.
SPF даёт возможность указать серверы и домены, с которых разрешено совершать отправку писем от имени вашей компании. Когда почтовые серверы получают письмо из вашего домена, они проверяют, является ли сервер отправителя разрешенным. Так серверы подтверждают, что письма, действительно, пришли от вашей организации.2. Увеличьте показатель безопасности исходящей почты с помощью DKIM.
При использовании DKIM в каждое сообщение, отправляемое от компании, добавляется зашифрованная цифровая подпись. Посредством открытого ключа почтовые серверы считывают подпись и проверяют, на самом ли деле письмо пришло из вашего домена. DKIM также позволяет предотвратить изменение содержимого письма во время его передачи от сервера к серверу.
3. Оптимизируйте защиту от спама при помощи DMARC.
DMARC сообщает принимающим почтовым серверам, как поступить с полученными письмами, которые не прошли проверку SPF или DKIM. Так же DMARC отправляет отчеты с информацией о том, какие письма прошли или не прошли такую проверку. На основе данных отчетов можно обнаружить возможные почтовые атаки и другие уязвимости.4. По желанию, можно добавить логотип своего бренда к письмам, прошедшим аутентификацию DMARC.
Поддержку стандарта BIMI в вашем домене можно включить после завершения настройки DMARC. Если почтовый клиент получателя поддерживает стандарт BIMI, он может посмотреть логотип вашего бренда сразу после того, как будет проведена аутентификация писем механизмом защиты DMARC.
НЕ рекомендуется делать:
1. Не переходите по сомнительным источникам.
Если ссылка была отправлена мошенником, переход по ней может нанести вред вашему пк.
2. Не отвечайте на сообщения от неизвестных отправителей.
Если отправителя невозможно идентифицировать, не отвечайте на сообщение от него. Это предотвратит любое общение с потенциальным злоумышленником.
3. Избегайте разглашения вашей личной и конфиденциальной информации (например, номер банковской карты, логины и пароли и т.д.).
4. Не используйте одинаковый пароль на разных ресурсах.
Для всех своих аккаунтов генерируйте сложные пароли, которые мошенникам будет трудно подобрать. Периодически изменяйте их на случай, если злоумышленник узнает хоть один из них.
Данные рекомендации помогут защититься вам от спуфинга электронной почты.