Подделка электронных писем: значение, примеры и способы предотвращения.

В почтовый ящик вашего финансового менеджера приходит электронное письмо от генерального директора с просьбой о срочном банковском переводе. Имя отправителя указано правильно, и тон письма кажется подходящим. Единственная проблема в том, что генеральный директор его так и не отправил.

Это подделка электронных писем, один из самых распространенных и дорогостоящих видов киберпреступлений, направленных против бизнеса сегодня. В отличие от вредоносных программ или сложных хакерских атак, атаки с использованием поддельных писем не требуют сложных технических уловок. Часто достаточно правдоподобного имени отправителя и занятого получателя, у которого нет времени перепроверять данные. Статистика спама в электронной почте Доказательства показывают, что значительная часть вредоносного почтового трафика связана с той или иной формой обмана личности, что делает этот риск необходимым для понимания и активной защиты каждого бизнеса.

В этом руководстве объясняется, как работают атаки с использованием поддельных электронных писем, как они обычно выглядят в реальных ситуациях и какие практические шаги могут предпринять компании для их предотвращения.

Что такое подделка электронных писем?

Подделка электронных писем — это практика отправки писем, которые ложно выдают себя за письма от доверенного отправителя, например, коллеги, руководителя, поставщика или известной компании, с целью обманом заставить получателя совершить вредоносное действие. Таким действием может быть перевод денег, передача учетных данных для входа в систему, переход по вредоносной ссылке или разглашение конфиденциальной информации.

Отличием подделки личности от обычного спама является целенаправленная атака. Атаки с использованием подделки личности создаются для того, чтобы использовать существующие отношения или ожидание доверия. Злоумышленник не пытается что-то продать, а пытается выдать себя за другого человека.

Важно отметить, что для подделки электронных писем злоумышленнику не требуется доступ к учетной записи настоящего отправителя. В большинстве случаев они просто создают видимость легитимности, используя технические уловки или методы социальной инженерии. Именно это делает данный метод таким доступным для злоумышленников и таким опасным для организаций любого размера.

Как работает подделка электронных писем

Злоумышленники используют три основных метода, чтобы их электронные письма выглядели так, будто они отправлены от чужого имени.

Подделка отображаемого имени

В почтовых клиентах, таких как Outlook и Gmail, отображаемое имя отправителя отображается четко, в то время как фактический адрес электронной почты часто скрыт, если получатель не щелкнет по нему, чтобы развернуть. Злоумышленники используют это, устанавливая свое отображаемое имя как «Джон Смит, генеральный директор», отправляя письма с совершенно не связанного с отправителем адреса, например, с другого адреса. [электронная почта защищена]Многие получатели никогда не проверяют адрес, указанный после имени.

Использование похожих или поддельных доменов

Более изощренная тактика заключается в регистрации домена, который выглядит почти идентично реальному домену, используемому компанией. Если ваша организация использует acmecorp.com, злоумышленник может зарегистрировать что-то вроде acme-corp.com, acmecorp.net или acrnecorp.com, где незаметно изменен всего один символ.

На первый взгляд, эти адреса кажутся легитимными. Поскольку сам домен существует и может отправлять электронные письма в обычном режиме, сообщения с него часто проходят базовые проверки отправителя. Это делает атаку сложнее обнаружить, чем простую подмену отображаемого имени. Этот метод тесно связан с подделка электронной почтыи эти два слова часто используются вместе.

Взлом реального аккаунта

Когда злоумышленник получает доступ к реальному почтовому аккаунту посредством фишинга, кражи учетных данных или утечки данных, он может отправлять сообщения непосредственно с легитимного адреса. Это самая сложная для обнаружения форма подделки, поскольку электронные письма действительно отправляются с того адреса, с которого они выдают себя. В этом случае основными средствами защиты являются надежные средства аутентификации и мониторинга.

Распространенные типы атак с использованием поддельных электронных писем

Атаки с использованием поддельных учетных данных происходят по предсказуемым схемам. Понимание наиболее распространенных сценариев помогает командам быстрее распознавать их и реагировать на них.

Имитация генерального директора и руководителя

Эта атака, также известная как компрометация корпоративной электронной почты (BEC) или мошенничество с участием генерального директора, заключается в том, что злоумышленник выдает себя за высокопоставленного руководителя, как правило, генерального директора, финансового директора или другого руководителя, чтобы оказать давление на сотрудника и заставить его совершить несанкционированные действия.

Как правило, объектами таких запросов становятся сотрудники, имеющие полномочия в отношении финансовых операций или доступ к конфиденциальным данным, такие как финансовые отделы, отделы кадров, бухгалтеры по расчету заработной платы и помощники руководителей. Запросы оформляются таким образом, чтобы создать ощущение срочности и конфиденциальности: «Не привлекайте к этому никого другого, обработайте запрос до закрытия рынка».

К типичным целям мошенничества относятся банковские переводы, покупка подарочных карт, запросы данных о заработной плате (формы W-2) и изменение реквизитов для прямого зачисления средств. ФБР Центр рассмотрения жалоб на преступление в Интернете (IC3) BEC (Business Email Compromise) неизменно признается одной из категорий киберпреступлений с наибольшими убытками в мире, ежегодно приводящими к миллиардным потерям.

Имитация поставщиков и партнеров

В этом сценарии злоумышленники выдают себя за известного поставщика, подрядчика или делового партнера. Как правило, им удается получить достаточно информации об этих отношениях, часто из общедоступных источников или в результате предыдущих утечек данных, чтобы их электронные письма выглядели правдоподобно.

Типичная атака заключается в отправке поддельного счета-фактуры, который выглядит идентично реальным счетам-фактурам поставщика, с одним изменением: номером банковского счета. Получатель обрабатывает платеж, который выглядит как обычная операция, и средства поступают на счет злоумышленника. Возврат средств затруднен, а зачастую и вовсе невозможен (к моменту обнаружения мошенничества).

Этот тип атаки особенно опасен, поскольку он использует в своих целях сложившееся доверие. Получателя не просят делать ничего необычного, а лишь оплатить услуги поставщика, с которым он регулярно сотрудничает.

выдавая себя за сотрудника службы поддержки клиентов.

Злоумышленники выдают себя за сотрудников службы поддержки клиентов какой-либо компании или сервиса. Вместо того чтобы обманывать сотрудников внутри организации, они нацеливаются на обычных пользователей или клиентов этого сервиса. Они рассылают электронные письма, которые выглядят так, будто отправлены из службы поддержки известной компании (банка, поставщика программного обеспечения или платформы электронной коммерции), предупреждая получателя о проблеме с учетной записью, требующей немедленного решения.

Цель обычно заключается в краже учетных данных. В электронном письме содержится ссылка на убедительную поддельную страницу входа, где жертва вводит свое имя пользователя и пароль, передавая их непосредственно злоумышленнику. Этот подход также связан с фарминг Методы, при которых пользователей перенаправляют на поддельные веб-сайты, созданные для того, чтобы выглядеть законными. Украденные учетные данные затем могут быть использованы для захвата аккаунта, перепродажи или для осуществления дальнейших атак.

 Как предотвратить подделку электронных писем

Для эффективной защиты от подделки электронных писем необходим многоуровневый подход. Ни один отдельный механизм защиты не является достаточным: технические средства защиты, осведомленность человека и внутренние процедуры должны работать в комплексе.

Протоколы аутентификации электронной почты

Три протоколы аутентификации электронной почты Протоколы, работающие через DNS, помогают предотвратить подмену домена. Эти протоколы следует настроить для каждого домена, который ваша организация использует для отправки электронной почты, не только для основного домена, но и для любых дополнительных или неактивных доменов, которые все еще принадлежат вашей организации.

• SPF (структура политики отправителей): DNS-запись, в которой перечислены почтовые серверы, которым разрешено отправлять электронную почту, используя ваш домен. Когда принимающий сервер проверяет входящее сообщение, он проверяет, находится ли отправляющий сервер в списке разрешенных. Если нет, сообщение может быть помечено как подозрительное или отклонено.
• DKIM (почта, идентифицированная DomainKeys): Добавляет криптографическую подпись к исходящим сообщениям, которую принимающий сервер может проверить. Это подтверждает, что электронное письмо действительно отправлено с вашего домена и не было изменено в процессе передачи.
• DMARC (аутентификация сообщений на основе домена, отчетность и соответствие): DMARC дополняет SPF и DKIM, позволяя владельцам доменов указывать, что должно происходить, когда сообщение не проходит аутентификацию: только мониторинг, помещение в карантин или отклонение. DMARC также отправляет владельцу домена отчеты, показывающие, какие серверы отправляют электронную почту, используя этот домен, что помогает отслеживать и контролировать авторизованные источники отправки.

Настройка DMARC на политику «отклонить» — это самая надежная защита, но организации обычно начинают с политики «мониторинга», чтобы понять, какой легитимный почтовый трафик они получают, прежде чем вводить строгие правила. Шифрование электронной почты Это добавляет еще один уровень защиты, обеспечивая сохранность содержимого сообщения как при передаче, так и в состоянии покоя.

Обучение и осведомленность сотрудников

Технические средства контроля блокируют некоторые попытки подмены личности, но многие атаки разработаны таким образом, чтобы обойти автоматические фильтры и попасть в реальные почтовые ящики. Именно поэтому обучение персонала имеет важное значение.

Сотрудники всех уровней должны понимать:

• Как проверить, действительно ли адрес электронной почты отправителя отображается, а не только его имя. В большинстве почтовых клиентов при наведении курсора на имя отправителя или щелчке по нему отображается фактический адрес.
• Признаки манипуляций, основанных на стремлении к срочности, включают сообщения, оказывающие давление с целью заставить их действовать быстро, пропускать обычные этапы утверждения или скрывать запрос от руководства.
• Что делать, если запрос кажется необычным, даже если он, по-видимому, исходит от знакомого контакта? Быстрый телефонный звонок для проверки всегда быстрее, чем восстановление после мошенничества.
• Как работают похожие домены и на что обращать внимание, если адрес кажется немного не таким, как переставленные буквы, добавленные дефисы или другой домен верхнего уровня.

Обучение должно быть практическим и повторяющимся, а не разовым. Имитация фишинговых кампаний, в ходе которых ИТ-специалисты или специалисты по безопасности рассылают сотрудникам поддельные электронные письма, имитирующие их действия, является одним из наиболее эффективных способов повышения осведомленности и выявления тех, кому требуется дополнительная помощь.

Инструменты и фильтры безопасности

Специально разработанные инструменты безопасности обеспечивают возможности обнаружения и блокировки, которые не покрываются базовой фильтрацией электронной почты.

• Фильтры защиты от фишинга и подделки сканируют входящие сообщения на наличие признаков, связанных с выдачей себя за другое лицо, таких как несовпадающие домены, подозрительные данные в заголовках, похожие адреса отправителей и известные вредоносные ссылки.
• Решения для почтовых шлюзов размещаются между интернетом и вашим почтовым сервером, выполняя дополнительные проверки, прежде чем сообщения попадут в почтовые ящики сотрудников.
• Сервисы мониторинга доменов оповещают вас о регистрации новых доменов, очень похожих на ваш, предоставляя вам заблаговременное предупреждение о потенциальной атаке с использованием похожих доменов до того, как они будут использованы.
• Инструменты для создания отчетов DMARC преобразуют необработанные отчеты DMARC в удобочитаемые панели мониторинга, что упрощает выявление неавторизованных отправителей, использующих ваш домен.

Работа с устоявшимися компании по безопасности электронной почты могут помочь вам оценить, какие инструменты подходят для размера вашей организации, ее инфраструктуры и профиля рисков.

Процедуры проверки

Последний уровень защиты — процедурный: внутренние рабочие процессы, требующие внеполосной проверки запросов высокого риска, независимо от того, насколько легитимным выглядит электронное письмо.

К эффективным процедурам проверки относятся:

• Действует строгая политика, согласно которой запросы на банковские переводы, изменение платежей или предоставление конфиденциальных данных не одобряются исключительно на основании электронной почты. Любой такой запрос, независимо от того, от кого он, как кажется, исходит, должен быть подтвержден по телефону или лично с использованием контактного номера из вашего внутреннего справочника, а не номера, указанного в электронном письме.
• Для финансовых транзакций, превышающих определенный порог, требуется двойное подтверждение. Наличие двух разных людей, проверяющих и утверждающих платеж, значительно затрудняет успешное использование одного электронного письма, отправленного под чужим именем.
• Четкий порядок действий в случае получения подозрительных электронных писем. Сотрудники должны точно знать, к кому и как обращаться, если они получили сообщение, которое кажется подозрительным, и должны чувствовать себя в безопасности, сообщая о нем без страха быть опозоренными.

Внедрение этих процедур ничего не стоит, и зачастую они более эффективны, чем технические средства контроля, для предотвращения атак с использованием методов социальной инженерии.

Что делать, если вы стали жертвой подделки электронных писем?

Если вы обнаружили, что кто-то выдает себя за вашу организацию или что сотрудник стал жертвой атаки, действуйте быстро. Первые часы имеют значение.

Меры немедленного реагирования:

1. Сдержать распространение ущерба: Если платеж был произведен, немедленно свяжитесь со своим банком, чтобы попытаться отозвать его. Финансовые учреждения имеют ограниченные возможности для вмешательства, поэтому скорость имеет решающее значение.
2. Сохраняйте доказательства: Не удаляйте электронные письма, отправленные мошенниками. Сохраняйте полные заголовки сообщений, скриншоты и всю связанную с ними переписку. Эта документация необходима для составления отчета и проведения последующего расследования.
3. Определите область применения: Определите, была ли атака направлена ​​на одного человека или на несколько учетных записей, и был ли получен доступ к конфиденциальным данным, таким как учетные данные, финансовые отчеты или личная информация, или же эти данные были переданы третьим лицам.
4. Сбросить скомпрометированные учетные данные: Если был осуществлен доступ к каким-либо учетным записям, принудительно сбросьте пароли и немедленно аннулируйте активные сессии. Включите многофакторную аутентификацию, если она еще не была активирована.

Сообщение и уведомление:

• Сообщите об инциденте в соответствующее управление по борьбе с киберпреступностью вашей страны. В США это IC3 ФБР (ic3.gov).
• Если речь идет о данных клиентов, проконсультируйтесь со своим юридическим отделом относительно обязательств по уведомлению о нарушении конфиденциальности в соответствии с применимыми правилами защиты данных (GDPR, CCPA и другими, в зависимости от вашей юрисдикции).
• Уведомите пострадавших партнеров или поставщиков, если их личные данные были использованы в атаке, поскольку они могут столкнуться с аналогичными угрозами.
• Сообщите своему почтовому провайдеру и, если применимо, попросите сообщить о злоупотреблении в отношении домена, выдающего себя за другое лицо.

После принятия незамедлительных мер реагирования проведите анализ инцидента: как произошла атака, какие меры контроля оказались неэффективными и какие изменения необходимы для снижения риска повторения инцидента. Очистка электронной почты В рамках этого обзора были рассмотрены конфигурации инфраструктуры и безопасности.

Защитите свой домен, прежде чем злоумышленники используют его против вас.

Одним из часто упускаемых из виду аспектов защиты от подделки является качество и безопасность ваших собственных методов отправки электронной почты. Организации с плохо поддерживаемыми списками рассылки, непроверенными базами данных контактов или неправильно настроенной инфраструктурой отправки более уязвимы как для злоупотребления доменом, так и для непреднамеренной отправки писем, которые почтовые сервисы воспринимают с подозрением.

Подтверждение по элетронной почте Это часть эффективной практики обеспечения безопасности электронной почты, которая поддерживает вашу общую систему безопасности. DeBounce проверяет адреса электронной почты, не отправляя никаких сообщений, удаляя из ваших списков недействительные, одноразовые и адреса высокого риска, благодаря чему ваш домен формирует стабильную и заслуживающую доверия репутацию отправителя. Домен с сильной репутацией сложнее убедительно подделать и его легче защитить при сообщении о злоупотреблениях.

Обработайте свой список рассылок с помощью DeBounce. чтобы убедиться, что ваши исходящие отправления корректны, проверены и работают в вашу пользу.

Создавайте системы защиты, соответствующие угрозе.

Умение выдавать себя за другого человека в электронной почте успешно, потому что оно нацелено на доверие: доверие, которое сотрудники оказывают знакомому имени, доверие, которое клиенты оказывают известному бренду, доверие, благодаря которому электронная почта является функциональным инструментом для бизнеса. Злоумышленникам не нужно взламывать брандмауэры, когда они могут просто притвориться тем, кому вы уже доверяете.

Описанные в этом руководстве меры защиты: аутентификация SPF, DKIM и DMARC; обучение персонала; инструменты фильтрации безопасности; и внутренние процедуры проверки, направлены как на техническую, так и на человеческую составляющую проблемы. Ни одна из них сама по себе недостаточна, но вместе они значительно затрудняют осуществление атак с использованием поддельных учетных записей и упрощают их выявление.

Начните с записей аутентификации. Если ваш домен еще не публикует политику DMARC, это самый эффективный технический шаг, который вы можете предпринять прямо сейчас. Добавьте к этому обучение персонала и четкую процедуру проверки платежей, и вы устраните уязвимости, которые чаще всего используются в успешных атаках с использованием поддельных учетных записей.