Nu när de flesta människor känner till och därmed kan undvika vanliga nätfiskeattacker har illvilliga aktörer gått över till något mer lömskt. E-postspoofing är en attack där angriparen utger sig för att vara någon som målpersonen känner, och är ett mycket mer subtilt sätt att kompromettera en användares autentiseringsuppgifter eller enhet. Precis som vid nätfiske är det dock ofta enkelt att åtgärda problemet om du känner till tecknen på ett falskt e-postmeddelande och utbildar andra användare i hur de kan upptäcka dem.
Vad är förfalskning av e-post (e-postspoofing)?
Förfalskning av e-post innebär att en angripare skickar ett e-postmeddelande till en användare som utger sig för att vara någon annan, vanligtvis någon som användaren känner. Ofta är denna person en arbetsledare, chef eller verkställande direktör på samma företag. På grund av e-postrubrikerna visar användarens e-postprogram en e-postadress som ser legitim ut för den genomsnittliga användaren, som sannolikt inte kommer att titta närmare på adressen om namnet är bekant. Eftersom användarna litar på personer inom sina organisationer är det mycket troligt att de kommer att utföra en åtgärd enligt instruktionerna i e-postmeddelandet. Det kan handla om att klicka på en skadlig länk som installerar skadlig kod, eller att köpa presentkort för hundratals dollar och skicka dem till en angiven adress. Även om detta liknar phishing, är de två attackerna olika. Även om phishing-mail även syftar till att sprida skadlig kod eller kompromettera användare, är deras främsta syfte stöld. Spoofing-mail är däremot bara imitationer som kan leda till phishing-attacker. Spoofing-attacker via e-post kan även kräva användaruppgifter, och om dessa uppgifter delas är organisationens säkerhet och data i fara.
Hur fungerar förfalskning av e-post (spoofing av e-post)?
Angripare kan förfalska e-postadresser på grund av bristande säkerhet i SMTP (Simple Mail Transfer Protocol) , som inte stöder kryptering, autentisering eller andra liknande säkerhetsåtgärder. Om du t.ex. använder Gmail eller Outlook använder du SMTP, så det är inte svårt för en angripare att hitta och kompromettera en SMTP-server. När angriparen har en server börjar han justera rubriken i ett e-postmeddelande. I rubriken finns ett särskilt utrymme för avsändarens identitet (Mail From). Eftersom SMTP saknar autentiseringsprotokoll kan en angripare mycket enkelt ändra den angivna e-postadressen på raden Mail From. Det finns några detaljer som en angripare måste ta hänsyn till, t.ex. om den domän som används är legitim, om det finns någon karantän eller annat skydd kring domänen och om SMTP-servern har konfigurerats korrekt. Om du inte tar hänsyn till dessa hamnar e-postmeddelandet i offrets skräppostmapp. Men om man antar att en angripare har en korrekt konfigurerad server och väljer en användbar domän, är processen enkel. Ändra avsändaradressen, skriv ett e-postmeddelande som ser ut att ha kommit från en pålitlig person, se till att eventuella kommandon eller uppmaningar i koden har justerats för den nya avsändaradressen (eller använd bara ett onlineverktyg om han verkligen vill göra det enkelt för sig), och e-postförfalskningen börjar.
Så identifierar du falska e-postmeddelanden
Med tanke på att dessa förfalskningssystem för e-post är så enkla är det ingen överraskning att de blir allt vanligare. För att bekämpa dessa attacker är en av de bästa sakerna du kan göra att lära dig identifiera dem och utbilda användarna i de miljöer som du hanterar. Här är några saker du bör titta efter när du öppnar e-postmeddelanden.
- E-postsignaturens noggrannhet: Om företaget har som policy att ha en specifik e-postsignatur bör ett e-postmeddelande från en annan anställd eller chef ha en sådan. Kontrollera först att det finns en signatur och bekräfta sedan detaljerna. Kontrollera t.ex. att e-postadressen i signaturen stämmer överens med e-postadressen i raden Mail From, och kontrollera riktnumret för telefonnumret. Om alla kontor ligger i en delstat men telefonnumret har sitt ursprung i en annan delstat kan det vara en varningssignal.
- Felstavad e-postadress: Innan du klickar på bilagor eller svarar på e-postmeddelandet bör du ta en snabb titt på Mail From-raden. Om en bekant domän som bestbuy.com istället skrivs som betsbuy.com är det ett spoofing-mail.
- Generisk e-postadress: Även om många e-postspoofing-attacker har legitima domäner i sina e-postadresser, är det inte alltid avsändaren lägger ner tid eller möda på det. Istället kan du få ett e-postmeddelande från en Gmail-, Outlook- eller annan generisk domän som uppenbarligen inte stämmer överens med din organisations domän eller konventioner.
- Innehåll i e-post: Även om inte alla brådskande e-postmeddelanden är falska, bör ett e-postmeddelande som försöker skrämma dig eller uppmanar dig att agera omedelbart betraktas som misstänkt.
Konsekvenser och risker med e-postförfalskning
Problemet med e-postförfalskning är att det både är mycket enkelt för angripare att använda och mycket övertygande för den genomsnittliga användaren. Om du inte tar itu med problemet kommer din organisation mycket snabbt att drabbas av en säkerhetsincident som kan bli mycket kostsam. Din organisation kan komma att betala stora summor pengar till angripare under antagandet att alla förfrågningar de gör är legitima. Om en anställd lämnar ut sina autentiseringsuppgifter är organisationens privata data i fara. Användare, oavsett om de är kunder eller anställda, löper större risk att utsättas för identitetsstöld och ekonomiska förluster efter ett intrång av en oseriös aktör.
Förebyggande tekniker för spoofing av e-post
Det är viktigt att utbilda användarna i att undvika falska e-postmeddelanden, men det räcker oftast inte för att skydda organisationen. Den mänskliga faktorn ligger bakom de allra flesta rapporterade säkerhetsincidenter, så följande förebyggande åtgärder kan behövas för att minska risken för en framgångsrik attack.
- SPF (Sender Policy Framework): SPF är inte den mest sofistikerade lösningen, men det är en bra början för att filtrera illegitima e-postmeddelanden. Det fungerar med hjälp av en post som bifogas e-postmeddelanden och som identifierar domänens auktoriserade servrar. Den mottagande servern måste sedan avgöra, baserat på denna registrering, om e-postmeddelandet ska tillåtas komma igenom.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): DMARC är mer omfattande än SPF och innehåller både den registrering som den mottagande servern kan analysera och instruktioner för vad som ska göras om e-postmeddelandet inte godkänns av den mottagande servern. Den kan även begära rapporter, en användbar funktion om du vill ha mer information om de e-postmeddelanden som passerar genom dina servrar.
- DKIM (DomainKeys Identified Mail): DKIM fokuserar på autentisering. Den goda nyheten är att det är säkrare än vissa andra alternativ, men den dåliga nyheten är att du kan förstöra din e-post om du konfigurerar DKIM felaktigt. Denna förebyggande metod kräver även register, men den publicerar även signaturer för att verifiera legitimitet.
- E-postfiltrering och avancerat hotskydd: En annan bra förebyggande åtgärd är att använda e-postfiltreringslösningar för att upptäcka och blockera förfalskade e-postmeddelanden. Filter upptäcker saker som misstänkta länkar, särskilda ord eller fraser som är vanliga i skräppost och avsändarens IP-adress rykte. När filtret upptäcker ett e-postmeddelande flyttas det till en separat mapp för att visa att det kanske inte är legitimt. Genom att implementera avancerat hotskydd, som är en molnbaserad applikation som är mer känslig än ett traditionellt filter, kan du dessutom ytterligare minska antalet olagliga e-postmeddelanden som du och andra anställda får.
Undvik farorna med spoofing
Som med det mesta inom IT är ett uns av förebyggande åtgärder värt ett pund av botemedel. Allt du kan göra för att minska risken för förfalskning av e-postmeddelanden och därmed sammanhängande nätfiskeattacker kommer att spara tid och pengar i det långa loppet. Utsätt inte din organisations finansiella hälsa eller dina kunders privata information för risker. Använd förebyggande metoder som filtrering, avancerat skydd, SPF, DKIM och DMARC för att skapa robust e-postsäkerhet och skydda mot förfalskade e-postmeddelanden. I slutändan är det bästa sättet att förhindra e-postförfalskning att vara medveten om det. Även om förebyggande metoder är användbara, kan vissa falska e-postmeddelanden fortfarande komma igenom till dina användare. Så länge teamen inom din organisation är medvetna om hotet och vet vad de ska leta efter kan de vidta åtgärder för att aktivt undvika och förebygga säkerhetsrisker och därmed se till att din organisation och dess data förblir säkra.