Atenție la e-mail-urile care falsifică identitatea reală a expeditorului

2020/04/09
Popularitate 1112

Foto: Codetwo

În vreme ce tot mai multe persoane sunt nevoite să lucreze de la distanță, în această perioadă marcată de restricțiile de circulație determinate de răspândirea COVID-19, activitățile pe internet sunt pe un trend ascendent. Atacatorii sunt conștienți de acest lucru și văd situația specială în care ne aflăm ca pe o oportunitate de a lansa diferite forme de atacuri, mai mult sau mai puțin complexe.

Astfel, în căsuțele de e-mail, pe lângă mesajele legitime, începem să identificăm din ce  în ce mai multe mesaje nesolicitate. Acestea, de regulă, au ca scop păcălirea potențialelor victime, prin determinarea acestora să efectueze anumite acțiuni, care pot duce la compromiterea/infectarea dispozitivelor și la scurgerea de informații/colectarea de date.

Spoofing

Una dintre tehnicile folosite de către atacatori în acest sens este spoofing-ul. Spoofing-ul se referă la acțiunea de a falsifica adresa de retur a e-mailurilor trimise, pentru a ascunde identitatea adresei reale de unde provine mesajul.

Practic, atunci când identitatea expeditorului este falsificată, mesajul primit pare să provină de la o altă persoană, sau din altă zonă, decât sursa reală. Această tehnică este adesea folosită în campaniile de tip phishing sau în răspândirea de malware, pentru că oferă destinatarului falsa impresie că mesajul vine de fapt de la o sursă de încredere, lucru care îl poate face mai puțin vigilent.

Menționăm că asemenea tehnici malitioase au afectat, în ultima vreme, inclusiv companii din România.

Cum te poți proteja?

Recomandări pentru utilizatorii obișnuiți

  • Evitați accesarea de link-uri sau atașamente din e-mail-uri, efectuarea unor plăți sau transmiterea de date confidențiale, fără o minimă documentare în prealabil, în special în cazul mesajelor venite din surse necunoscute;
  • Atenție la calitatea textului furnizat, precum eventuale greșeli de redactare, gramaticale sau de exprimare! De multe ori atacatorii se folosesc de instrumente automate de traducere;
  • Atunci când nu sunteți siguri de veridicitatea mesajului, puteți valida telefonic cu expeditorul transmiterea lui;
  • Folosiți o soluție de securitate (antivirus) actualizată;
  • Efectuați back-up (copierea datelor pe alte medii de stocare decât cel local) regulat și aplicați actualizările de securitate, imediat ce acestea devin disponibile.

Recomandări pentru administratorii de rețea

  • Configurarea serverului de e-mail pe care-l administrați, la nivel de înregistrări DNS, SPF (Sender Policy Framework) și DKIM (Domain Key Identified Mail), în funcție de politica de securitate a companiei/instituției

SPF

Prin SPF se controlează adresele IP, cărora le este permis să trimită emailuri în numele domeniului. În mod normal, toate email-urile sunt trimise de pe adresa IP alocată serverului. Dacă domeniul are un IP dedicat, atunci acesta trebuie să fie autorizat pentru a trimite email-uri.

 

DKIM

Pentru generarea cheii, accesați opendkim.org 

Este foarte important să vă asigurați că totul este în regulă din punct de vedere al  setărilor SPF și DKIM! Altfel, puteți ajunge în situația în care și email-urile legitime să fie respinse de serverul-destinație.

  • Recomandăm utilizarea politicii QUARANTINE în cazul DMARC

    DMARC este protocolul de autentificare și raportare a email-urilor, care vă protejează identitatea digitală pe internet, pentru a nu fi folosită în activități ilicite (ex. tranzacții financiare neautorizate).

    DMARC
    = acronim pentru Domain Based Message Authentication, Reporting and Conformance.
    Authetication = are la bază două metode de autentificare,  SPF (Sender Policy Framework) și DKIM (DomainKeys Identified Mail)
    Reporting = obține vizibilitate pentru emailurile respinse
    Conformance = standardizează modul în care se gestionează e-mail-urile respinse, prin aplicarea unor politici flexibile, respectiv: none, quarantine sau reject.

Sunt trei tipuri de politici DMARC:


NONE: Toate emailurile vor fi expediate. Se pot analiza raporturile DMARC pentru a găsi persoana care trimite email-uri în numele tău. Ulterior, poți trece la următoarea politică, Quarantine;
QUARANTINE: Toate email-urile care nu trec validarea DMARC vor fi marcate ca spam și vor fi filtrate automat de serverul destinație (se duc în directorul SPAM/JUNK);

REJECT: Dacă se folosește această politică restrictivă, în eventualitatea în care DMARC eșuează, se transmite serverului destinație comanda să respingă e-mail-ul, fără a mai fi filtrat. Dacă se va folosi această metodă, nimeni nu va putea să trimită e-mail-uri în numele tău.


Vizualizat de 2987 ori