Kako prepoznati lažno elektronsko pošto?

Objavljeno 30 decembra, 2021

Lažna elektronska sporočila so postala del našega vsakdana, zato bomo tukaj pojasnili, kako takšno sporočilo prepoznamo. Lažno predstavljanje vključuje ponarejanje identitete pošiljatelja, saj na takšen način želijo pridobiti zaupanje prejemnika.

Varnostne statistike kažejo, da so poštna sporočila še vedno v večini primerov glavni vektor širjenja okužb. V primeru izsiljevalskih virusov je zgodba podobna in sicer večina okužb, ki so se zgodile, so bile prenesene prek poštnih sporočil. Vse skupaj nas bi moralo dodatno spodbuditi k večjemu vlaganju v varnost omenjenega protokola.

Kako analizirati glavo sporočila v svojem odjemalcu?

Prvi znak lažnega poštnega sporočila je lažno predstavljanje. Poglejmo si skozi praktičen primer:

V našem primeru smo simulirali lažnega pošiljatelja z našega poštnega strežnika (mail.alvosec.com). Kot vidite se v zgornjem sporočilu pošiljatelj predstavlja kot da je iz podjetja Amazon. Bodite pozorni, saj je v zgornjem primeru spremenjeno ime za prikaz, ki ga vidijo prejemniki e-pošte. Oglejmo si še glavo sporočila:

Kot tudi sami vidite je v primeru pošiljatelja (from) naveden dodaten poštni naslov, s katerim se goljufi poskušajo lažno predstaviti. Za preglednejši pregled glave sporočila lahko uporabite naslednje orodje: https://mxtoolbox.com/EmailHeaders.aspx

Poglejmo si drugi primer:

V tem primeru ne gre za ponarejanje imena za prikaz, ampak se pošiljatelj predstavlja s poštnim naslovom no-reply@amazon.com. Tu glavo sporočila analiziramo drugače in sicer najprej pogledamo iz katerega strežnika je bilo poslano sporočilo.

Kot vidimo poštno sporočilo ni bilo poslano iz naslova Amazon strežnika, ampak je uporabljen naš strežnik. V takšnem primeru so ključni pokazatelji varnostni protokoli, ki se uporabljajo za preverjanje identitete pošiljatelja. Tu poznamo tri glavne protokole:

SPF je varnostni poštni protokol, ki lastniku domene omogoča, da določi, katere poštne strežnike uporablja za pošiljanje sporočil s svoje domene. SPF zapisi se vnesejo v sistem domenskih imen (DNS) in ponazarjajo, kateri IP naslovi so pooblaščeni za pošiljanje sporočil.

Med pošiljanjem sporočila poštni strežnik prejemnika preveri SPF zapis tako, da poišče ime domene v naslovu na e-poštni ovojnici. Če IP naslov, s katerega je bilo sporočilo poslano, ni navedeno v SPF zapisu, je preverjanje pristnosti e-pošte neuspešno.

DKIM je zapleten varnostni protokol, ki pošiljatelju omogoča povezavo med imenom domene in e-poštnim sporočilom, s čimer jamči za njegovo pristnost. Lahko bi zapisali, da je DKIM sredstvo za preverjanje dohodnih e-sporočil, saj zagotavlja, da so ta ostala nespremenjena in poslana od pošiljatelja, ki je lastnik domene, vidne v elektronskem naslovu. Preverjanje pristnosti se opravi z uporabo kriptografske avtentikacije.

DMARC lastniku domene omogoča vnos DNS zapisa, v katerem so zajeta pravila, kaj naj e-poštni strežniki prejemnikov naredijo s posameznimi sporočili, ki ne prestanejo SPF in DKIM preverjanja. Možna dejanja so:

  1. Ne stori ničesar (ang. none).
  2. Uvrsti med neželeno e-pošto (ang. quarantine).
  3. Zavrni in pošlji sporočilo o nezmožnosti dostave (ang. reject).

Sedaj ko vemo kakšno vlogo imajo omenjeni protokoli si poglejmo praktičen primer:

Ker pošiljatelj ni avtenticiran oz. ne pošilja iz uradnega strežnika Amazona, bo SPF vedno neuspešen (FAIL).

Na takšna sporočila vas bodo nekateri odjemalci opozorili, nikar ne ignorirajte teh opozoril.

Pri drugih oblikah lažnega predstavljanja je potrebno biti še posebej pozoren, kajti goljufi so v zadnjih letih zelo napredovali v svojih metodah.

V tem primeru gre za uporabo podobne domene, katero uporabniki pogosto spregledajo. Opazite razliko? Uradna domena Amazona je amazon.com v tem primeru pošiljatelj pošilja iz domene amaazon.com.

Takšni primeri lažnih sporočil so že več kot očitni, saj pošiljatelj pošilja iz popolnoma neznane domene.

Kaj storiti, ko dobimo takšno poštno sporočilo?

Brez panike. Sporočilo enostavno izbrišite, pošiljatelja pa blokirajte. Vedno pa lahko pošljete glavo sporočila kot priponko na naš naslov info@sancom.si. Takšna sporočila uporabljamo za izdelavo podpisov, ki ščitijo naše strežnike.


2019 - 2022 © sancom.si
crosscross-circlearrow-left-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram