Шифрование электронной почты защищает тело сообщения и вложения, но обычно не скрывает отправителя, получателя, тему письма или метки времени передачи. Транспортное шифрование (TLS)...
Основные выводы
- Подделка личности (спуфинг) — это использование поддельных учетных записей для обхода фильтров и создания видимости доверия; фишинг же использует эту репутацию для манипулирования жертвами с целью побудить их к совершению вредоносных действий.
- В большинстве сложных фишинговых атак используется подмена данных для создания видимости легитимности, что делает их комбинацию значительно опаснее, чем любая из угроз по отдельности.
- Протоколы аутентификации (SPF, DKIM, DMARC) предотвращают подделку на техническом уровне; обучение сотрудников и навыки проверки данных предотвращают фишинг на человеческом уровне.
В ваш почтовый ящик приходит письмо от вашего ИТ-отдела. В нем вас просят подтвердить свои учетные данные для входа, перейдя по ссылке. Адрес отправителя выглядит правильно, и форматирование кажется знакомым. Ничего подозрительного не обнаруживается. Вы переходите по ссылке, вводите пароль и, сами того не подозревая, передаете его злоумышленнику, который создал поддельную страницу входа, имитирующую систему вашей компании.
В этой ситуации сочетаются две отдельные угрозы, действующие сообща: одна создала видимость легитимности сообщения, другая использовала эту легитимность для кражи ваших учетных данных. Различие между подменой и фишингом — одно из наиболее часто путаемых понятий в кибербезопасности. Люди часто используют эти термины как синонимы, но они описывают разные вещи: один — это метод, другой — цель. Знание того, что есть что, помогает применять правильные меры защиты, распознавать предупреждающие знаки и понимать, почему атаки успешны даже против технически подкованных целей.
Что такое спуфинг?
Подмена данных — это действие, заключающееся в фальсификации технического идентификатора, такого как адрес отправителя электронной почты, доменное имя, веб-сайт, идентификатор вызывающего абонента или IP-адрес, с целью выдать себя за доверенный источник.
В контексте электронной почты подмена адреса отправителя (спуфинг) заключается в манипулировании техническими полями, которые определяют, как информация об отправителе отображается получателям. Злоумышленники подделывают адрес отправителя, чтобы показать доверенное имя и домен, регистрируют похожие домены, которые проходят визуальную проверку, или манипулируют заголовками электронных писем, чтобы сообщения выглядели так, будто они отправлены с легитимных серверов, которые они не контролируют.
Подмена личности — это, прежде всего, техническая атака. Она заключается в манипулировании системами и протоколами таким образом, чтобы сообщение, устройство или веб-сайт выглядели так, будто они исходят из надежного источника. Хотя многие атаки в конечном итоге направлены на людей, сама подмена личности работает за счет использования уязвимостей в технологиях проверки личности.
Это касается не только прямого мошенничества. Во многих случаях непосредственной целью является не кража учетных данных или финансовая выгода, а разведка, проверка средств защиты или подготовка к более масштабной атаке.
Основные виды подделки электронных писем:
- Подмена отображаемого имени: Отображение названия «ИТ-поддержка» при использовании случайного или не связанного с темой адреса отправителя.
- Подмена домена: Отправка с сайтов cornpany.com или company-support.com вместо company.com
- Прямая подмена электронных писем: Подделка поля «От» для отображения реального, легитимного адреса с помощью манипуляций с заголовками SMTP.
- Подделка сайта: Создание реплицированных сайтов на похожих доменах, которые перехватывают введенные учетные данные.
Что такое фишинг?
Фишинг — это целенаправленная атака с использованием методов социальной инженерии, при которой рассылаются мошеннические сообщения с целью побудить получателей к совершению вредоносных действий, таких как переход по вредоносным ссылкам, загрузка вредоносного ПО, предоставление учетных данных или перевод средств. Название отражает саму концепцию: забросить широкую сеть и ждать, пока жертвы клюнут на приманку.
Более 38 миллиона фишинговых атак были обнаружены по всему миру только в 2024 году, что составляет четверть из всех инцидентов в сфере кибербезопасности, выявленных в том году. Фишинг нацелен на человеческую психологию, используя такие инстинкты, как доверие, срочность, страх и авторитет, чтобы подавить критическое мышление и побудить к немедленным действиям, прежде чем получатели остановятся, чтобы проверить информацию.
Главная характеристика фишинга — это намерение. Каждая фишинговая атака имеет конкретную цель: получение учетных данных для входа в систему, распространение программ-вымогателей, перенаправление платежа, кража личных данных или получение первоначального доступа к сети организации. Сообщение, канал и метод обмана — все это служит достижению этой цели.
Распространенные каналы фишинга:
- Фишинг по электронной почте: Наиболее распространенный канал: мошеннические сообщения, рассылаемые широкой аудитории.
- Целевой фишинг: Целенаправленные атаки по электронной почте с использованием персонализированных исследований о конкретных лицах.
- SMS-фишинг (смишинг): Текстовые сообщения, содержащие вредоносные ссылки или инструкции.
- Голосовой фишинг (вишинг): Телефонные звонки с использованием поддельных удостоверений личности для получения информации.
- Фишинг в социальных сетях: Мошеннические сообщения, фейковые аккаунты или вредоносные ссылки через социальные сети.
- Фейковые сайты: Целевые страницы, предназначенные для сбора учетных данных, вводимых жертвами.
В чём разница между фишингом и спуфингом?
Подмена адреса и фишинг — взаимосвязанные, но различные явления. Понимание их различий в различных аспектах проясняет как принципы работы атак, так и применяемые методы защиты.
Основные цели
Подмена адресов в первую очередь нацелена на системы и протоколы, а затем уже на людей. Первоначальная цель — техническая: фильтры электронной почты проверяют легитимность отправителя, системы DNS преобразуют доменные имена, а системы аутентификации проверяют личности. Обходя эти технические проверки, подмена создает условия для обмана на уровне человеческого фактора.
К числу распространенных целей для подмены IP-адресов относятся:
- Системы аутентификации электронной почты (проверка SPF, DKIM, DMARC)
- DNS-серверы и инфраструктура разрешения доменных имен
- Системы маршрутизации сети и присвоения IP-адресов
- Системная аутентификация и контроль доступа
- Отдельные почтовые клиенты, отображающие информацию об отправителе
Фишинг напрямую воздействует на психологию человека. Цель — вызвать определённую реакцию у определённого типа людей. Выбор цели зависит от уровня доступа и авторитета:
- Индивидуальные потребители (банковские учреждения, розничная торговля, учетные данные для потокового вещания)
- Руководители высшего звена (финансовые полномочия, доступ к конфиденциальным данным)
- Сотрудники финансового и кадрового отделов (обработка платежей, контроль заработной платы)
- ИТ-администраторы (доступ к системе, возможности сброса учетных данных)
- Целые отрасли с общими уязвимостями (здравоохранение, финансы)
Цель нападения
Цель спуфинга — создать видимость достоверности и обойти фильтры, создав условия, которые сделают последующую атаку более эффективной. Поддельные сообщения попадают в почтовые ящики, которые в противном случае их бы отфильтровали. Поддельные личности получают доверие, которое обычно требует подтверждения. Конкретные цели спуфинга включают:
- Финансовая выгода за счет неправомерно направленных платежей
- Кража данных посредством запросов данных, имитирующих действия других лиц.
- Распространение вредоносного ПО через вложения, выглядящие надежными.
- Несанкционированный доступ посредством настройки кражи учетных данных.
Цель фишинга — достижение прямого результата путем извлечения выгоды из жертв:
- Сбор учетных данных для доступа к аккаунтам и их перепродажи.
- Финансовое хищение посредством мошеннических платежей или прямого доступа к счетам.
- Кража личных данных посредством сбора персональных данных
- Распространение вредоносного ПО посредством загрузки по инициативе пользователя.
- Корпоративный шпионаж посредством утечки конфиденциальных данных.
Ключевые методы
Методы подмены местоположения являются техническими и работают на уровне инфраструктуры:
- Манипулирование заголовками электронных писем для подделки полей «Отправитель» и «Ответчик».
- Регистрация доменов с похожими адресами (company-inc.com, c0mpany.com)
- Отравление DNS-кэша для перенаправления трафика легитимного домена
- Подмена IP-адреса для сокрытия истинного происхождения сети.
- Манипулирование идентификатором вызывающего абонента для подмены личности по телефону.
Методы фишинга носят коммуникативный характер и действуют на человеческом уровне:
- Поддельные страницы авторизации, которые до пикселя имитируют страницы легитимных сайтов.
- Злонамеренный ссылки в электронных письмах перенаправление на страницы сбора учетных данных
- Вложенные файлы, содержащие вредоносное ПО и замаскированные под легитимные документы.
- Срочные запросы, использующие служебное положение и нехватку времени.
- В корпоративных электронных письмах, распространяемых с целью компрометации, отправители выдают себя за руководителей или поставщиков.
Советы по обнаружению
Подделка и фишинг оставляют разные следы. Признаки подделки, как правило, проявляются в технических деталях, в то время как предупреждающие знаки фишинга часто отражаются в тоне и содержании сообщения.
Распознавание подделки:
- Проверьте фактический адрес отправителя, помимо отображаемого имени (наведите курсор или щелкните, чтобы показать полный адрес).
- Проверьте наличие вариантов домена: пропущенные буквы, переставленные символы, лишние слова (company-support.com)
- Проверяйте HTTPS-сертификаты на веб-сайтах (проверяйте организацию-эмитента, а не только значок замка).
- Обратите внимание на несоответствия в возрасте домена (легальные организации не используют недавно зарегистрированные домены).
- Проверьте заголовки электронных писем непосредственно на наличие несоответствий между сервером и его источником.
Распознавание фишинга:
- Неожиданная срочность: «Действуйте немедленно», «Ваш аккаунт будет заблокирован».
- Стандартные приветствия: «Уважаемый клиент», «Уважаемый пользователь» вместо вашего настоящего имени.
- Запросы на предоставление учетных данных, изменение платежных данных или конфиденциальной информации по электронной почте.
- Подозрительные ссылки, где отображаемый текст URL не соответствует фактическому адресу.
- Грамматические несоответствия или незначительное отклонение от фирменного стиля форматирования.
- Предложения, которые кажутся слишком хорошими, чтобы быть правдой, или угрозы, которые кажутся несоразмерными.
Как работают вместе спуфинг и фишинг
Подмена данных и фишинг наиболее опасны в сочетании: подмена данных придает фишингу убедительность, а фишинг — финансовую выгоду, благодаря которой подмена данных оправдывает затраченные усилия.
Совокупный поток атак:
- Злоумышленник изучает цель: Определяет руководителей организации, поставщиков и модели коммуникации.
- Подмена данных создает легитимность: Зарегистрирует похожий домен или взломает почтовый аккаунт.
- Фишинг забрасывает приманку: Отправляет убедительное сообщение, используя поддельную личность, с конкретным вредоносным запросом.
- Жертва действует, полагаясь на доверие: Обрабатывает платеж, отправляет учетные данные или открывает вложение, поскольку поддельная личность прошла первоначальную проверку на достоверность.
- Нападающий достигает цели: Захватывает учетные данные, получает мошеннические платежи или получает доступ к системе.
Пример 1: Мошенничество с выставлением счетов поставщикам.
Сотрудник отдела расчетов с поставщиками получает, казалось бы, обычное электронное письмо от доверенного поставщика ([электронная почта защищена]) утверждают, что их банковские реквизиты изменились. Но реальный адрес — это... [электронная почта защищена]. Одна незаметная подмена букв. Легко пропустить. Запрос выглядит обычным, никто ничего не проверяет, и платеж отправляется напрямую на счет, контролируемый злоумышленником.
Пример 2: Кража учетных данных руководителя.
Сотрудник получает электронное письмо, якобы от технического директора, с указанием ссылки на новый корпоративный портал, требующий немедленной настройки учетных данных. Поддельный адрес отправителя содержит настоящее имя технического директора. Страница, на которую ведет ссылка, является точной копией системы аутентификации компании. Введенные учетные данные попадают непосредственно к злоумышленникам, которые используют их для доступа к внутренним системам.
Анализ фишинговых наборов, проведенный IBM. Исследование показало, что сектор информационных технологий является наиболее подверженной фишингу отраслью, на втором месте — финансовый и страховой секторы, что отражает тот факт, что сочетание фишинга и подделки электронных писем приносит злоумышленникам наибольшую отдачу.
Как предотвратить подделку и фишинг
Для эффективной профилактики необходимы технические средства контроля, направленные на противодействие подделке инфраструктуры, и человеческие средства контроля, учитывающие психологию фишинга.
Технический контроль
Внедрить DMARC В политике принудительного исполнения (p=отклонить или p=поместить в карантин) предотвращается использование вашего домена для несанкционированных сообщений в атаках с подменой адресов. DMARC в сочетании с SPF и DKIM создает технический барьер, который останавливает подмену адресов на уровне домена до того, как сообщения достигнут получателей.
MFA для электронной почты Многофакторная аутентификация предотвращает захват учетных записей: это наиболее убедительный метод подделки, поскольку он использует легитимные учетные записи. Даже когда фишинг успешно перехватывает пароли, многофакторная аутентификация не позволяет злоумышленникам получить доступ к учетным записям для отправки поддельных сообщений с реальных адресов.
Платформы фильтрации электронной почты, анализирующие поведенческие модели, выявляют поддельные сообщения, которые пропускают протоколы аутентификации, помечая сообщения, отклоняющиеся от обычных шаблонов отправки, содержащие язык, характерный для BEC-рассылок, или исходящие от подозрительной инфраструктуры.
Организационные стратегии
Технологии могут блокировать значительную часть попыток подделки и фишинга, но они не могут заменить человеческий суждения. Регулярное обучение, в ходе которого сотрудники учатся распознавать поддельных отправителей, подозрительные домены и манипулятивные запросы, укрепляет тот единственный уровень защиты, который злоумышленники все еще пытаются использовать. Практические симуляции, в ходе которых сотрудники отрабатывают навыки выявления и реагирования на реалистичные сценарии фишинга, как правило, гораздо эффективнее пассивного обучения в классе.
Четкие процедуры проверки также имеют ощутимое значение. Финансовые запросы всегда должны требовать подтверждения внеполосным способом с использованием проверенных контактных номеров, уже имеющихся в базе данных, а не номеров телефонов или ссылок, предоставленных в самом сообщении. Одна только эта мера предосторожности может остановить большинство мошеннических схем и фишинговых атак, направленных на совершение мошеннических платежей.
Гигиена списка рассылки
Поддержание чистый список адресов электронной почты Это снижает уязвимость организации перед обеими угрозами. Чистые списки с проверенными контактами обеспечивают точные сигналы репутации отправителя, которые помогают инструментам безопасности выявлять аномалии. Организации с высокой репутацией отправителя и стабильными моделями рассылки сложнее убедительно подделать. Проверка списков электронной почты удаляет недействительные, рискованные и непроверяемые адреса, которые ослабляют инфраструктуру рассылки, изучаемую злоумышленниками при планировании кампаний по подделке адресов.
Хорошо безопасность для email-маркетологов Сочетает аутентификацию, проверенные списки и постоянный мониторинг для создания устойчивых шаблонов отправки, которые позволяют обнаруживать попытки подмены с помощью поведенческого анализа.
Когда обращаться за профессиональной помощью
В некоторых случаях фишинга и подмены IP-адресов требуется помощь специалистов, выходящая за рамки внутренних возможностей компании. Обращайтесь за профессиональной помощью, когда:
- Повторяющиеся целенаправленные атаки: Если ваша организация сталкивается с постоянными и изощренными фишинговыми кампаниями, свидетельствующими о постоянном интересе злоумышленников, специалисты по безопасности могут оценить ваш профиль угроз и внедрить целенаправленные меры защиты.
- Произошли финансовые потери: В случае мошенничества с банковскими переводами или нецелевого использования средств необходимо незамедлительно связаться с вашим банком, правоохранительными органами и, возможно, специалистами по информационной безопасности для отслеживания и, возможно, возврата денежных средств.
- Есть подозрения на утечку данных: Если в результате фишинга произошла утечка учетных данных, несанкционированный доступ к системе или кража данных, специалисты по реагированию на инциденты должны оценить масштабы проблемы и ограничить ущерб.
- Обнаружено нарушение целостности системы: Для полного удаления вредоносного ПО, распространяемого посредством фишинга, и определения того, к чему был получен доступ, требуется профессиональная помощь.
- Ваш домен используется для подмены: Если клиенты или партнеры получают поддельные электронные письма с вашего домена, услуги анализа DMARC и мониторинга доменов могут выявить инфраструктуру атаки и определить ее масштабы.
Организации, чьи базы данных контактов содержат недействительные, устаревшие или опасные адреса, подвергаются повышенному риску, поскольку ненадлежащая гигиена списков сигнализирует злоумышленникам о слабой защите электронной почты. (DeBounce) проверка списка адресов электронной почты Выявляет и удаляет адреса, которые ослабляют репутацию отправителя и повышают уязвимость для фишинговых кампаний, нацеленных на ваш домен.
Выводы
Подмена адресов и фишинг играют разные роли в арсенале злоумышленника, и понимание этой разницы делает защиту эффективной. Подмена адресов имитирует технические идентификаторы, чтобы обойти фильтры и завоевать доверие; фишинг же использует это доверие, чтобы склонить жертв к совершению противоправных действий. Вместе они образуют наиболее распространенную и дорогостоящую комбинацию в киберпреступлениях, совершаемых по электронной почте.
Защита от подделки требует технических средств контроля: DMARC, SPF, аутентификация DKIM, предотвращающая подделку доменов, и многофакторная аутентификация (MFA), блокирующая захват учетных записей. Защита от фишинга требует человеческого контроля: обучения сотрудников, процедур проверки и поведенческой аналитики, выявляющей попытки социальной инженерии, которые пропускают технические фильтры.
Проверьте сегодня конфигурацию DMARC вашего домена и оцените уровень подготовки ваших сотрудников: когда ваша команда в последний раз тренировалась распознавать поддельные адреса отправителей в реалистичной ситуации?
Поддерживайте чистоту почтовой инфраструктуры в рамках вашей долгосрочной стратегии безопасности и обеспечения доставляемости писем. Используйте ДеБаунс Проверка списков контактов, удаление недействительных и рискованных адресов, а также поддержание стабильной репутации отправителя облегчают обнаружение и блокировку попыток подделки вашего домена. Надежная аутентификация и проверенные списки в совокупности создают основу, которая снижает риск как подделки, так и фишинга во всей вашей электронной переписке.
