- Josh Hendrickson
@canterrain
- July 11, 2019, 8:00am EDT
Czy kiedykolwiek otworzyłeś wiadomość e-mail tylko po to, aby stwierdzić, że jest to spam lub szantaż, który wydawał się pochodzić z twojego własnego adresu e-mail? Nie jesteś sam. Fałszowanie adresów e-mail nazywa się spoofingiem i, niestety, niewiele można z tym zrobić.
How Spammers Spoof Your Email Address
Spoofing jest czynnością polegającą na fałszowaniu adresu e-mail, aby wydawało się, że pochodzi on od kogoś innego niż osoba, która go wysłała. Często spoofing jest wykorzystywany do oszukiwania użytkownika, że wiadomość e-mail pochodzi od kogoś znajomego lub firmy, z którą współpracuje, np. banku lub innego serwisu finansowego.
Niestety, spoofing poczty elektronicznej jest niezwykle łatwy. Systemy poczty elektronicznej często nie mają zabezpieczeń, które pozwoliłyby upewnić się, że adres e-mail wpisany w polu „Od” naprawdę należy do Ciebie. To trochę jak z kopertą, którą wkładasz do poczty. W miejscu adresu zwrotnego możesz wpisać cokolwiek zechcesz, jeśli nie obchodzi Cię, że poczta nie będzie w stanie zwrócić Ci listu. Poczta nie ma też możliwości sprawdzenia, czy naprawdę mieszkasz pod adresem, który podałeś na kopercie.
Fałszowanie wiadomości e-mail działa podobnie. Niektóre usługi online, takie jak Outlook.com, zwracają uwagę na adres od kiedy wysyłasz e-mail i mogą zapobiec wysłaniu go z fałszywym adresem. Jednak niektóre narzędzia pozwalają Ci wypełnić go czymkolwiek chcesz. Jest to tak proste, jak stworzenie własnego serwera SMTP. Wszystko, czego oszuści potrzebują, to Twój adres, który prawdopodobnie mogą kupić z jednego z wielu naruszeń danych.
Dlaczego oszuści podrabiają Twój adres?
Oszuści wysyłają do Ciebie e-maile, które wydają się pochodzić z Twojego adresu z jednego z dwóch powodów, ogólnie rzecz biorąc. Pierwszym z nich jest nadzieja, że ominą one Twoją ochronę przed spamem. Jeśli wysyłasz do siebie e-mail, prawdopodobnie próbujesz przypomnieć sobie coś ważnego i nie chcesz, aby ta wiadomość została oznaczona jako Spam. Oszuści mają więc nadzieję, że używając Twojego adresu, Twoje filtry antyspamowe tego nie zauważą, a ich wiadomość przejdzie dalej. Istnieją narzędzia umożliwiające identyfikację wiadomości wysłanej z domeny innej niż ta, za którą się podaje, ale Twój dostawca poczty musi je wdrożyć – a niestety wielu z nich tego nie robi.
Drugim powodem, dla którego oszuści podszywają się pod Twój adres e-mail, jest chęć uzyskania poczucia legalności. Nierzadko zdarza się, że spoofed email twierdzi, że Twoje konto jest zagrożone. Że „wysłałeś sobie tego e-maila” służy jako dowód dostępu „hakera”. Mogą one również zawierać hasło lub numer telefonu wyciągnięty z naruszonej bazy danych jako dalszy dowód.
Oszust zazwyczaj następnie twierdzi, że ma kompromitujące informacje o Tobie lub zdjęcia zrobione z Twojej kamery internetowej. Następnie grozi, że udostępni te dane Twoim najbliższym kontaktom, jeśli nie zapłacisz okupu. Na początku brzmi to wiarygodnie; w końcu wydaje się, że mają dostęp do Twojego konta e-mail. Ale właśnie o to chodzi – oszust fałszuje dowody.
Co robią usługi poczty elektronicznej, aby zwalczyć problem
Fakt, że każdy może tak łatwo sfałszować zwrotny adres e-mail, nie jest nowym problemem. A dostawcy poczty elektronicznej nie chcą denerwować Cię spamem, więc opracowano narzędzia do walki z tym problemem.
Pierwszym z nich był Sender Policy Framework (SPF), który działa w oparciu o kilka podstawowych zasad. Każda domena e-mail posiada zestaw rekordów DNS (Domain Name System), które są używane do kierowania ruchu do właściwego serwera hostingowego lub komputera. Rekord SPF działa z rekordem DNS. Kiedy wysyłasz wiadomość e-mail, usługa odbierająca porównuje podany przez Ciebie adres domeny (@gmail.com) z Twoim IP źródłowym i rekordem SPF, aby upewnić się, że się zgadzają. Jeśli wysyłasz email z adresu Gmail, email ten powinien również pokazywać, że pochodzi z urządzenia kontrolowanego przez Gmail.
Niestety, sam SPF nie rozwiązuje problemu. Ktoś musi prawidłowo utrzymywać rekordy SPF w każdej domenie, co nie zawsze ma miejsce. Łatwo jest również oszukać oszustów, aby obejść ten problem. Kiedy otrzymujesz wiadomość e-mail, możesz zobaczyć tylko imię i nazwisko zamiast adresu e-mail. Spamerzy wpisują jeden adres e-mail jako rzeczywistą nazwę, a drugi jako adres nadawcy, który pasuje do rekordu SPF. Tak więc, nie zobaczysz tego jako spam i SPF też nie zobaczy.
Firmy muszą również zdecydować, co zrobić z wynikami SPF. Najczęściej decydują się na przepuszczanie maili, zamiast ryzykować, że system nie dostarczy krytycznej wiadomości. SPF nie ma zestawu reguł dotyczących tego, co zrobić z informacją; po prostu dostarcza wyniki sprawdzenia.
Aby rozwiązać te problemy, Microsoft, Google i inni wprowadzili system walidacji DMARC (Domain-based Message Authentication, Reporting, and Conformance). Współpracuje on z SPF w celu stworzenia reguł, co zrobić z e-mailami oznaczonymi jako potencjalny spam. DMARC najpierw sprawdza skan SPF. Jeśli to się nie powiedzie, zatrzymuje wiadomość przed przejściem, chyba że jest to inaczej skonfigurowane przez administratora. Nawet jeśli SPF przejdzie, DMARC sprawdza, czy adres e-mail pokazany w polu „Od:” pasuje do domeny, z której przyszedł e-mail (nazywa się to wyrównaniem).
Niestety, nawet przy wsparciu ze strony Microsoftu, Facebooka i Google, DMARC wciąż nie jest powszechnie stosowany. Jeśli masz adres Outlook.com lub Gmail.com, prawdopodobnie korzystasz z DMARC. Jednak do końca 2017 r. tylko 39 firm z listy Fortune 500 wdrożyło tę usługę walidacji.
Co możesz zrobić ze spamem adresowanym do siebie
Niestety nie ma sposobu, aby uniemożliwić spamerom podszywanie się pod Twój adres. Miejmy nadzieję, że system pocztowy, z którego korzystasz, implementuje zarówno SPF jak i DMARC, i nie będziesz widział tych ukierunkowanych e-maili. Powinny one trafić prosto do spamu. Jeśli Twoje konto pocztowe daje Ci kontrolę nad opcjami antyspamowymi, możesz je zaostrzyć. Pamiętaj jednak, że możesz stracić również niektóre uzasadnione wiadomości, więc często sprawdzaj skrzynkę spamu.
Jeśli otrzymasz fałszywą wiadomość od siebie, zignoruj ją. Nie klikaj żadnych załączników ani linków i nie płać żądanych okupów. Po prostu oznacz ją jako spam lub phishing, albo usuń. Jeśli obawiasz się, że Twoje konta zostały naruszone, zablokuj je dla bezpieczeństwa. Jeśli ponownie używasz haseł, zresetuj je w każdym serwisie, który korzysta z obecnego hasła, i nadaj każdemu z nich nowe, unikalne hasło. Jeśli nie ufasz swojej pamięci z tak wieloma hasłami, zalecamy korzystanie z menedżera haseł.
Jeśli martwisz się o otrzymywanie fałszywych wiadomości e-mail od swoich kontaktów, może warto, abyś nauczył się czytać nagłówki wiadomości e-mail.
.