Что такое подделка электронных писем? Определение и принцип работы.

Вы получаете электронное письмо от банка с просьбой срочно подтвердить данные вашей учетной записи. Имя отправителя выглядит правильным. Адрес электронной почты кажется знакомым. Вы переходите по ссылке, вводите свой пароль и только потом понимаете, что страница вовсе не является сайтом вашего банка.

Подделка электронных писем делает это возможным. Это один из самых распространенных методов фишинговых атак, мошенничества и распространения вредоносного ПО, и он работает, потому что люди инстинктивно доверяют письмам, которые выглядят так, будто пришли из знакомых источников. Что делает подделку электронных писем особенно опасной, так это то, что злоумышленникам не нужно взламывать реальный аккаунт. Они манипулируют техническими полями, которые контролируют отображение информации об отправителе в вашем почтовом ящике, делая сообщение похожим на подлинное, не получая доступа к реальной системе, которую оно якобы представляет.

Понимание принципов работы подделки электронных писем позволяет легче выявлять тревожные признаки на ранних стадиях и предпринимать практические шаги для защиты личной и деловой электронной почты от злоупотреблений.

Что такое подделка электронных писем?

Подмена адреса электронной почты — это преднамеренная фальсификация информации об отправителе электронного письма с целью создания видимости того, что сообщение отправлено кем-то или откуда-то, кем оно на самом деле не является. Адрес отправителя, имя отправителя или поле «Ответить» изменяются таким образом, чтобы отображалась информация о доверенном лице, например, коллеге, банке, государственном учреждении или известном бренде, в то время как фактический отправитель совершенно другой.

Чем отличаются поддельные электронные письма от обычных?

В легитимном электронном письме техническая информация об отправителе и отображаемая информация об отправителе совпадают. Когда ваш коллега отправляет вам электронное письмо, адрес, отображаемый в вашем почтовом ящике, совпадает с адресом, который фактически передал сообщение через почтовые серверы.

В поддельном электронном письме эти данные не совпадают. Отображаемое имя или адрес отправителя являются вымышленными, тогда как фактическая передача происходит с другого, часто не связанного с ним сервера, контролируемого злоумышленником. Получатели видят только отображаемую информацию, а не технические детали маршрутизации, скрытые в заголовках электронного письма.

Почему злоумышленники подделывают электронные письма

В зависимости от типа атаки, подмена данных служит нескольким целям:

• Кража учетных данных: Перенаправление получателей на поддельные страницы входа, которые позволяют получить имена пользователей и пароли.
• Финансовое мошенничество: Выдача себя за руководителей или поставщиков для санкционирования мошеннических платежей.
• Доставка вредоносных программ: Заставлять получателей открывать вложения или переходить по ссылкам, которые устанавливают вредоносное программное обеспечение.
• Ущерб бренду: Рассылка спама или вредоносного контента от имени легитимной организации.

Данные показывают, что Фишинг по-прежнему составляет более 90% зарегистрированных случаев социальной инженерии, а подделка электронных писем является основополагающим методом, позволяющим осуществлять большинство таких атак.

Как работает спуфинг электронной почты?

Подделка электронных писем использует уязвимость протокола Simple Mail Transfer Protocol (SMTP), технологии, отвечающей за отправку электронных писем. При первоначальной разработке SMTP не были предусмотрены требования для проверки личности отправителя.

Каждое электронное письмо содержит заголовки: технические поля метаданных, которые записывают информацию о передаче, такую ​​как сервер отправки, метки времени и данные отправителя. Ключевые заголовки, на которые нацелены злоумышленники, следующие:

• От: Адрес, отображаемый получателям в их почтовом ящике.
• Ответить на: Куда направляются ответы, когда получатели отвечают
• Return-Path: Куда попадают уведомления о недоставке (часто раскрывающие реальный адрес отправителя)

Протокол SMTP позволяет отправителям устанавливать в этих полях любые значения по своему усмотрению. Когда почтовый клиент отображает сообщение, он показывает значение поля «От», а не фактическую информацию о передаче. Это несоответствие между тем, что видят пользователи, и тем, что фактически передается, является уязвимостью, которую использует подмена данных.

Злоумышленники используют SMTP-серверы (собственные, скомпрометированные или открытые ретрансляторы) для отправки сообщений с измененными заголовками. Они устанавливают поле «От» на доверенный адрес (ваш банк, ваш генеральный директор, известный поставщик), в то время как фактический отправляющий сервер не имеет никакого отношения к этой организации. Большинство получателей никогда не смотрят дальше отображаемых имени и адреса, что делает подделку на уровне отображения очень эффективной.

Роль пробелов в аутентификации

Правильно настроенные протоколы аутентификации (SPF, DKIM, DMARC) предназначены для обнаружения подмены адресов путем проверки того, что отправляющие серверы имеют право отправлять данные от имени заявленных доменов. Однако, Microsoft Research Исследование 2025 года показало, что использование общей инфраструктуры электронной почты значительно усиливает уязвимости для подмены адресов, а методы подмены SMTP позволяют злоумышленникам обходить защиту SPF и DMARC в определенных конфигурациях, что подчеркивает, почему одной лишь аутентификации недостаточно для полного решения проблемы.

обратный путь email Это поле часто раскрывает реальный адрес отправителя, но большинство получателей и даже многие инструменты безопасности не проверяют его достаточно тщательно во время первоначальной оценки доставки.

Распространенные типы атак с подделкой электронных писем

Подмена данных может принимать несколько форм, и каждая из них использует различные аспекты отображения и обработки информации об отправителе электронного письма.

подмена отображаемого имени

Подмена отображаемого имени изменяет только видимое имя отправителя, используя при этом совершенно другой, часто явно не связанный с отправителем, адрес электронной почты. В вашем почтовом ящике отображается «Сара Чен, генеральный директор», но фактический адрес отправителя выглядит примерно так: [электронная почта защищена] или в явно не связанной области.

Этот метод работает, потому что многие почтовые клиенты отображают имя отправителя крупным шрифтом, а адрес — мелким шрифтом или полностью скрывают на мобильных устройствах. Злоумышленники рассчитывают на то, что получатели сосредоточатся на имени, а не на полном адресе. Часто объектами атак становятся руководители, специалисты ИТ-поддержки и финансовые учреждения, названия которых получатели знают и которым доверяют.

Подмена домена

Подмена домена использует фальшивые или похожие домены, чтобы адреса отправителей на первый взгляд выглядели легитимными. Вместо отправки с company.com злоумышленники регистрируют company-inc.com, cornpany.com или c0mpany.com, часто проходя мимо визуальной проверки.

Такой подход особенно опасен для бизнеса, поскольку злоумышленники могут выдавать себя за целые организации, а не только за отдельных лиц. Клиенты, получающие электронные письма с поддельного домена, могут совершать платежи, раскрывать информацию о своих счетах или загружать вредоносное ПО, полагая, что взаимодействуют с легитимной компанией.

мониторинг несколько записей SPF А правильная настройка аутентификации предотвратит использование вашего собственного домена таким образом против ваших клиентов и партнеров.

Прямая подмена адреса

Прямая подмена адреса заключается в подделке фактического адреса отправителя (From) для отображения реального, легитимного адреса электронной почты, который не контролируется злоумышленником. Технически это наиболее убедительный способ, поскольку получатели видят в своем почтовом ящике реальный, узнаваемый адрес (а не его копию).

Это основано на отсутствии строгого соблюдения правил DMARC в отношении поддельного домена. Когда организации не настроили DMARC для отклонения или помещения в карантин неаутентифицированных сообщений, злоумышленники могут использовать свои реальные адреса в поле «От» с достаточной уверенностью в том, что сообщения дойдут до получателей. Прямая подмена адресов часто используется при компрометации корпоративной электронной почты и атаках с выдачей себя за руководителя.

Признаки поддельного электронного письма

Поддельные сообщения созданы таким образом, чтобы выглядеть правдоподобно, но при внимательном рассмотрении выявляются несоответствия.

Проблемы с адресом отправителя:

• Отображаемое имя и фактический адрес электронной почты не совпадают.
• В домене содержатся незначительные орфографические ошибки (paypa1.com, arnazon.com, company-support.com).
• В адресе используется бесплатный почтовый сервис (Gmail, Yahoo), хотя это, по идее, корпоративная переписка.
• Адрес получателя (Reply-To) отличается от адреса отправителя (From), что приводит к перенаправлению ответов на учетные записи, контролируемые злоумышленниками.

Неожиданная срочность и необычные запросы:

• Тактика давления типа «Необходимы немедленные действия» или «Ответьте до конца дня»
• Неожиданные запросы на перевод средств, изменение платежных реквизитов или передачу учетных данных.
• Инструкции по обходу стандартных процедур («Не проходите обычную процедуру утверждения»)
• Запросы на подарочные карты, банковские переводы на новые счета или конфиденциальную информацию.

Языковые и стилистические несоответствия:

• Тон или стиль письма, не соответствующие обычному способу общения предполагаемого отправителя.
• Вместо вашего настоящего имени используйте стандартные приветствия («Уважаемый клиент», «Уважаемый пользователь»).
• Грамматические или орфографические ошибки, несовместимые с требованиями профессиональной организации.
• Форматирование немного отличается от формата подлинных сообщений, которые вы получали ранее.

Риски, связанные со ссылками и вложениями:

• Наведите курсор на ссылки перед нажатием; в отображаемом тексте URL указан один домен, а в фактическом целевом URL — другой.
• Неожиданные вложения, особенно исполняемые файлы или документы Office с запросом на включение макросов.
• Ссылки, ведущие на HTTP-страницы (а не HTTPS) или домены с подозрительными расширениями.

Уборка электронной почты Такие привычки, как, например, умение делать паузу перед выполнением срочных запросов и проверка информации по отдельным каналам, снижают риск стать жертвой хорошо продуманных поддельных сообщений.

Подделка электронных писем против фишинга

Подделка электронных писем и фишинг — тесно связанные, но разные понятия, которые часто путают. Фишинг Фишинг — это стратегия атаки, направленная на обман получателей с целью заставить их раскрыть конфиденциальную информацию, перейти по вредоносным ссылкам или загрузить вредоносное программное обеспечение. Цель фишинга — это сама афера.

Email spoofingС другой стороны, спуфинг — это метод, используемый для повышения убедительности фишинговых атак. Спуфинг создает впечатление, что сообщение исходит из надежного источника, повышая вероятность того, что получатели поверят фишинговому контенту и предпримут соответствующие действия.

Не весь фишинг использует подмену адреса: некоторые фишинговые письма приходят с реальных адресов, контролируемых злоумышленниками. И не вся подмена адреса является фишингом: некоторые случаи подмены используются просто для рассылки спама с сокрытием истинного отправителя. Но сочетание подмены и фишинга особенно эффективно и составляет большую часть мошенничества, связанного с электронной почтой.

Понимание обеих концепций помогает прояснить, почему средства защиты должны работать на двух уровнях: технические средства контроля, которые перехватывают поддельные сообщения до их доставки, и осведомленность пользователей, которая выявляет обманчивый контент, который все же проникает в систему.

Как защитить себя от подделки электронных писем

Для эффективной защиты необходимы иные привычки на индивидуальном уровне и более строгий технический контроль на организационном уровне.

для физических лиц

Безопасность часто сводится к тому, чтобы замедлиться и проверить информацию, прежде чем отвечать на неожиданные сообщения. Приведенные ниже шаги снижают риск принятия мер в ответ на поддельное электронное письмо.

• Перед принятием решения проверьте информацию: Любой неожиданный запрос, касающийся учетных данных, платежей или конфиденциальной информации, требует подтверждения по отдельному каналу. Позвоните предполагаемому отправителю по номеру, который вы найдете самостоятельно, а не по номеру, указанному в сообщении.
• Внимательно проверяйте адреса отправителей: Не полагайтесь только на отображаемое имя. Щелкните или наведите курсор на имя отправителя, чтобы отобразить полный адрес электронной почты, и убедитесь, что домен совпадает с организацией, которую, как утверждается, представляет сообщение.
• Включите многофакторную аутентификацию (MFA): Даже если злоумышленники получат учетные данные путем подделки или фишинга, многофакторная аутентификация (MFA) заблокирует доступ, если у них нет также второго фактора проверки.
• Сообщайте о подозрительных сообщениях: Воспользуйтесь функцией «Сообщить о фишинге» или «Сообщить о спаме» в вашем почтовом клиенте. Сообщение об ошибке улучшит фильтрацию вашего собственного почтового ящика и повысит эффективность систем обнаружения для других пользователей.
• Постоянно обновляйте программное обеспечение: Обновления безопасности в почтовых клиентах и ​​операционных системах устраняют уязвимости, которые используют злоумышленники, в том числе связанные со вредоносным содержимым, распространяемым через поддельные электронные письма.

Для бизнеса

Для снижения как технических, так и человеческих рисков организациям необходимо сочетать аутентификацию, мониторинг и информирование сотрудников.

• Настройка протоколов аутентификации электронной почты: Создавать SPF, DKIM и DMARC Записи DMARC для всех отправляющих доменов, включая поддомены и сторонние сервисы. Политика принудительного применения DMARC, например, p=reject или p=quarantine, предотвращает попадание неаутентифицированных сообщений, якобы отправленных с вашего домена, к получателям. Неправильная конфигурация остается одной из главных причин успеха подделки адресов.
• Отслеживайте случаи злоупотребления доменами: Отслеживайте, используется ли ваш домен в мошеннических кампаниях, с помощью отчетов DMARC, которые показывают все электронные письма, якобы отправленные с вашего домена, включая несанкционированные попытки.
• Регулярно проводите обучение сотрудников: В программу инструктажа по информационной безопасности следует включить сценарии, специфичные для подмены имен. Сотрудники должны уметь распознавать подмену отображаемого имени, похожие домены, необычные запросы на оплату и попытки обхода процессов.
• Проверка и поддержка списков адресов электронной почты: Организации с чистыми, проверенными данными электронной почты представляют меньшую поверхность для разведки. Злоумышленники собирают контактную информацию из скомпрометированных или плохо поддерживаемых баз данных для создания убедительных целевых кампаний по подмене адресов. Искусственный интеллект для email-маркетинга А ведение проверенных списков сокращает объем данных, доступных для исследования злоумышленниками.
• Внедрить дополнительные технические средства контроля: Функции защиты от подделки в платформах безопасности электронной почты, сервисах мониторинга защиты бренда и инструментах отчетности DMARC обеспечивают прозрачность попыток подделки вашего домена до того, как они достигнут клиентов и партнеров.

Подводя итог

Подделка электронных писем создает видимость доверия к вредоносным сообщениям, используя фундаментальный разрыв между тем, что отображается в электронном письме, и тем, что технически происходит под поверхностью. Злоумышленники используют подделку отображаемого имени, похожие домены и прямую подделку адресов, чтобы обманом заставить получателей раскрыть учетные данные, подтвердить платежи или загрузить вредоносное ПО.

Ни одна отдельная мера не исключает полностью подмену IP-адресов, но организации и частные лица, которые сочетают технические средства контроля с процедурами повышения осведомленности и проверки, значительно снижают риск успешных атак с использованием подмены IP-адресов.

Проверьте, настроен ли DMARC для домена вашей организации и на каком уровне принудительного применения. Если DMARC не настроен или установлен на p=none (только мониторинг), наиболее эффективным шагом для предотвращения атак, направленных на ваших клиентов и партнеров, является переход на p=quarantine или p=reject.

Поддержание чистых и проверенных списков адресов электронной почты является частью ответственной защиты электронной почты. DeBounce удаляет недействительные, одноразовые и рискованные адреса из вашей базы данных контактов, обеспечивая бесперебойную работу вашей почтовой инфраструктуры, поддержание высокой репутации отправителя и защиту данных вашей организации от использования злоумышленниками для разработки следующей мошеннической кампании.

Начните проверять свои списки уже сегодня! чтобы снизить риски как с точки зрения доставляемости, так и безопасности всех ваших электронных писем.