Не тот, за кого себя выдает: как проверить адрес электронной почты

Киберпреступники часто используют электронную почту для своих атак. Используя методы социальной инженерии, они могут убедить получателя письма перейти по фишинговой ссылке, скачать зараженный файл, перевести деньги на счет мошенника, украсть конфиденциальные данные и многое другое. Чтобы не попасться на уловку атакующего, нужно сохранять бдительность и не забывать проверять подлинность email. В статье расскажем о признаках поддельного письма и как проверить адрес электронной почты.

Атаки и их последствия

Чтобы обмануть своих жертв, киберпреступники могут маскировать письма под рассылку от известных компаний: банков, маркетплейсов, провайдеров, различных сервисов и т. д. Например, в начале 2024 года компания DHL предупреждала пользователей о росте фишинговых писем от имени DHL и других перевозчиков.

Александр Луганский

Менеджер по развитию UserGate

Пользователь всегда видит, от кого пришло письмо, и может проверить, что использованные символы в имени домена верные, и в них нет подмены относительного оригинального домена. Если пользователь не уверен в правильности написания домена, он всегда может найти настоящий сайт того, кем представляется отправитель, и сравнить название. Например, gosuslugi и gosusIugi визуально выглядят почти одинаково, но во втором использована заглавная i вместо строчной L. Крупные компании с развитой ИБ-функцией для противодействия фишингу стараются выкупать подобные домены.

Злоумышленники пытаются играть на наших эмоциях, и они профессионалы в этом. Это запугивание срочностью и обязательностью (штрафы, взыскания), это различные призы и бонусы (причем если в слишком крупный подарок вы не поверите, то в бонус в 300 рублей от оператора связи — вполне), в общем, играют на пороках общества и слабостях конкретного человека.

Значительные финансовые потери и ущерб репутации компании может нанести китовый фишинг или уэйлинг (от англ. whaling), целью которого являются высокопоставленные лица компании. Один из показательных кейсов — атака на Ubiquiti Networks в 2015 году. Злоумышленники подделали электронную почту главного исполнительного директора компании и юриста и отправили письма главному бухгалтеру с просьбой осуществить перевод средств. Компания потеряла около 46,7 млн долларов.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности BI.ZONE

У злоумышленников много способов создать впечатление, что письмо пришло с доверенного адреса.

1. Отправить письмо с домена biz вместо ru или company-info.ru вместо company.ru, использовать тайпсквоттинг — адреса с опечатками (inf0 вместо info).
2. Прибегнуть к юникод-спуфингу, при котором символы из латинского алфавита заменяются на юникод-символы, например, «o» в «info» берется из кириллицы. Так можно добиться визуальной идентичности адресов.
3. Подделать отображаемое имя отправителя, чтобы письмо от evilman@list.ru в почтовой программе выглядело как отправленное от пользователя «Анна из техподдержки».
4. Указать, что письмо отправлено от другого пользователя, подставив его адрес в заголовок From.

Еще один пример — BEC-атака на сеть кинотеатров Pathé в 2018 году. Компания Pathe потеряла 19,2 млн евро (22 млн долларов США) в результате обмана генерального директора. Киберпреступники представились СЕО компании и отправили письма с инструкциями о переводе денег, якобы для приобретения кинотеатра в Дубае.

Эти примеры показывают, насколько разрушительными могут быть фишинговые атаки с использованием поддельных электронных адресов и как важно принимать меры для защиты от таких угроз.

Признаки поддельных писем

Мошенники рассчитывают на банальную неосведомленность и невнимательность получателя письма. Не каждый пользователь будет досконально проверять адрес отправителя и само письмо. Несколько моментов, на которые нужно обратить внимание:

Публичный домен. Как правило, компании и госорганизации, пишут письма и делают рассылку с корпоративной почты. Если в почтовом адресе указан публичный домен, например, @mail.ru и gmail.com, а текст письма утверждает, что письмо от налоговой, стоит насторожиться.

Неправильный адрес. Киберпреступники часто маскируют поддельные адреса, меняя буквы или добавляя лишние символы как в имени, так и в домене. Например @meil.ru и @gooogle.com или заменяя букву «o» на ноль.

Блок информационной безопасности «Ростелекома»

К сожалению, сейчас мошенники научились мастерству создания доменов с ошибочным написанием популярных адресов сайтов, и даже освоили высший пилотаж – создание полных клонов доменных имен, получив с которых письмо, опытный пользователь не будет сомневаться в легитимности сообщения. Так, получив письмо с адреса skidki@yandeks.ru с информацией о какой-то суперакции от «Яндекса», невнимательный пользователь, скорее всего, отреагирует на сообщение и выполнит действия, желанные для мошенников. Аналогично создаются доменные имена типа @gos-uslugi.ru, @sber-bank.ru, @nalog-lk.ru, @gov-ru.ru и подобные. 

Ошибки и опечатки. Орфографические ошибки, странное и неуместное использование слов, разный размер шрифта и непонятный текст могут указывать на то, что для письма использовали онлайн-переводчик.

Требование действия. Если в письме вас просят сообщить конфиденциальные данные, загрузить файл, перейти по ссылке, перевести деньги, то не спешите выполнять требования.

Срочность и угрозы. Кибермошенники знают, как использовать эмоции человека. Зачастую они играют на страхе и жадности людей, поэтому пытаются напугать и создать ощущение срочности. Например, такие письма могут сообщать, что ваш счет будет заблокирован, если вы не обновите данные в течение определенного времени, или что вы получили выигрыш и нужно перейти по ссылке, чтобы его забрать.

Алексей Рябинин

Ведущий специалист отдела технической защиты конфиденциальной информации Cloud Networks

Обычному пользователю может помочь только внимательность.

Обычно в именах доменов не принято использовать точки и другие символы. Недопустимо наличие таких символов в доменной части адреса электронной почты (т.е. части адреса электронной почты после @). Это явно указывает на поддельный домен.

Насторожить должен и тот момент, когда письмо пришло от отправителя впервые, с непонятным содержимым или вложением. Мошенники в подобных письмах обычно побуждают к совершению каких-либо действий (открыть и скачать файл или архив или перейти по ссылке).

Если вы знаете отправителя письма, но не уверены, что письмо пришло от него, то попробуйте обратиться к нему по другим каналам связи, например, телефону или мессенджеру. Также при попадании подозрительных писем в почтовый ящик необходимо оповестить сотрудников ИБ-отдела.

Как защититься от писем с поддельного электронного адреса

Существует несколько способов определить поддельное письмо, но ни один из них не дает 100% гарантии. Поэтому для защиты необходимо использовать комбинацию методов. К техническим средствам проверки можно отнести индикаторы аутентификации, которые подтверждают, что письмо пришло с того правильного домена. К основным типам индикаторов аутентификации относятся: SPF, DKIM и DMARC.

SPF (Sender Policy Framework). Этот метод аутентификации электронной почты помогает определить почтовые серверы, которым разрешено отправлять электронную почту для данного домена. Используя SPF, интернет-провайдеры могут идентифицировать электронную почту от спуферов, мошенников и фишеров, когда они пытаются отправить вредоносную электронную почту с домена, принадлежащего компании или бренду.

DKIM (DomainKeys Identified Mail) — протокол, который позволяет организации брать на себя ответственность за передачу сообщения, подписывая его таким образом, что поставщики почтовых ящиков могут его проверить. Проверка записи DKIM возможна благодаря криптографической аутентификации.

DMARC (Domain-based Message Authentication, Reporting & Conformance). Протокол аутентификации электронной почты, разработанный для того, чтобы предоставить владельцам доменов электронной почты возможность защитить свой домен от несанкционированного использования. Цель и основной результат внедрения DMARC — защитить домен от использования в атаках по компрометации деловой электронной почты, фишинговых электронных письмах, мошенничестве с электронной почтой и других видах киберугроз.

Алексей Рябинин

Ведущий специалист отдела технической защиты конфиденциальной информации Cloud Networks

Самый надежный метод — это использование антиспам-систем. Перечислять их можно долго. Среди подобных систем есть и российские разработки. Дополнительно стоит проверить письма, которые прошли антиспам-контроль, но в которых антиспам-система не выявила ничего подозрительного. На просторах интернета существует множество сервисов по проверке доменных имен на легитимность. Например, популярен сервис проверки WhoIs, где можно получить информацию о владельце домена, датах регистрации и продления, географическом положении пользователя и о регистраторе доменного имени. Одним из популярных методов проверки является проверка DKIM (Domain Keys Identified Mail), таким же методом антиспам-системы проверяют почтовые сообщения.

Чтобы защитить электронную почту, специалисты по информационной безопасности дают следующие рекомендации:

• Проверьте настройки почтового сервера для обработки входящих сообщений.
• Используйте DMARC, SPF или DKIM и правильно настройте их конфигурацию.
• Используйте защитные решения, поддерживающие работу с современными механизмами аутентификации.
• Проводите регулярное обучение и проверки сотрудников.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Для проверки подлинности адресов на уровне почтовых серверов используется огромное количество технологий. Забегая вперед, в корпоративной среде используются специализированные программно-аппаратные комплексы, которые фильтруют весь почтовый трафик на входе в инфраструктуру. Технологий для обнаружения довольно много, и в основном они не базируются на обратном адресе, а проверяют путь, откуда пришло почтовое сообщения. Используются всевозможные репутационные списки почтовых серверов, верификация отправителей, анализ заголовков, анализ контента и многое другое. Сегодня активно подключается искусственный интеллект. Именно комплексное применение всех этих технологий дает такие хорошие результаты.

Заключение

Проверка подлинности email — это не просто техническая мера, а важный шаг в защите конфиденциальной информации и репутации компании. Внедряя описанные в статье методы и подходы, вы сможете значительно снизить риск успешных атак и обеспечить безопасность своих коммуникаций. Однако стоит помнить, что киберпреступники всегда ищут способы обойти системы безопасности. Даже если в компании предприняты эффективные технические меры для защиты от спуфинга, мошенники могут использовать другие виды кибератак.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности BI.ZONE

Последнее время методы защиты от спуфинга стали настолько эффективными, что злоумышленники переключаются на более сложные атаки. За первое полугодие 2024 года мы отмечаем снижение доли спуфинга в общем почтовом трафике на 16%, при этом фиксируем заметный рост массовых атак, цель которых — получить доступ к легитимным почтовым ящикам, чтобы рассылать с них вредоносные сообщения. За первую половину 2024 года мы наблюдали 82 такие атаки, затронувшие более 223 тысяч человек, а также более 60 массовых нежелательных рассылок, отправленных со взломанных аккаунтов реальных компаний.

Поддельные email-адреса могут стать лазейкой для злоумышленников, стремящихся провести фишинговые атаки, спуфинг и другие виды мошенничества. Для повышения уровня безопасности своих рассылок и защиты от поддельных писем, организациям и пользователям следует придерживаться лучших практик, включающих использование специализированных инструментов для проверки подлинности email-адресов, регулярное обновление настроек SPF, DKIM и DMARC, а также обучение сотрудников основам кибербезопасности. Не забывайте, что кибербезопасность — это непрерывный процесс, требующий постоянного внимания и усилий.