Despre email 👻 spoofing și cum îți poți proteja afacerea

„Peste 90% dintre atacurile cibernetice încep cu un e-mail.” (IRONSCALES)

Ilustrație atac cibernetic

Falsificarea e-mailului (eng. email spoofing) constă în trimiterea unui email astfel încât destinatarul să creadă că el vine de la o persoană sau companie pe care o cunoaște sau în care are încredere. 

Cum este posibil acest lucru?

Falsificarea e-mailului, mai precis a antetului mesajului, este posibilă datorită modului în care sunt proiectate și funcționează sistemele de e-mail.

Ce este antetul e-mailului?

Antetul este partea emailului pe care nu o vedeți implicit atunci când deschideți mesajul.

Detaliile tehnice despre antetul e-mailului sunt menționate în articolul Email spoofing (Wikipedia) iar despre modul cum puteți previzualiza antetul în Gmail găsiți informații în articolul Urmărește un e-mail cu ajutorul anteturilor sale complete (Google).

Inspectarea antetului permite să descoperi de unde provine mesajul, inclusiv modul în care a ajuns de la expeditor la serverul tău de email (server destinatar).

Cum îți poți proteja afacerea?

Deși lumea și firmele folosec emailuri de mai mult timp, abia în 2014 au fost introduse protocole de securitate pentru a contracara valurile de atacuri cibernetice ce au luat amploare și au devenit o problemă globală începând cu anul 2000.

Protocoalele de securitate care te ajută să-ți protejezi afacerea sunt: SPF (Sender Policy Framework) , DKIM și DMARC (Domain-based Message Authentication, Reporting and Conformance).

Aceste protocoale se pot activa la nivelul oricărui cont de găzduire însă, pentru a beneficia de o prevenție proactivă, bazată și pe algoritmi de inteligență articificială care detectează și blocheaza 99,9% din atacurile cibernetice (sursa: Google) recomandăm migrarea sistemului de email în cloud (Google Workspace este un astfel de sistem, care include si Gmail personalizat cu adresa firmei tale).

SPF (Sender Policy Framework) - permite restricționarea setului de adrese IP care pot trimite mesaje. Acest protocol este folosit pentru a împiedica trimterea de mesaje în numele domeniului web pe care îl are compania.

DKIM  - este un antet securizat și criptat care se adaugă la mesaj și rezolvă problema autentificării expeditorului. Astfel, destinatarului mesajului poate să verifice dacă un e-mail a fost într-adevăr trimis și autorizat de proprietarul domeniului web care a trimis mesajul.

DMARC (Domain-based Message Authentication, Reporting and Conformance) - este protocolul care face posibilă verificarea unui domeniu din antetul e-mailului, domeniu ce în prealabil a fost validat DKIM/SPF. 


Cum să te protejezi de falsificarea e-mailuui

1. Activează protocoalele de securitate SPF (Sender Policy Framework) , DKIM și DMARC (Domain-based Message Authentication, Reporting and Conformance).

2. Adoptă soluțiile de email în cloud - Google Workspace - pentru a beneficia de protecție bazată pe algoritmi de inteligență artificială.

3. Nu dați clic pe linkurile din mesaj care vă cer să vă autentificați pe un domeniu web. Introduceți domeniul web în browser și autentificați-vă direct pe site.

4. Evitați deschiderea fișierelor anexate la un mesaj de la expeditori suspecți sau necunoscuți.

5.  În cazul unui email care pare suspect verificați antetul mesajului căutând în secțiunea Received-SPF răspunsul PASS sau FAIL. (Metoda de verificare a antetului diferă de la un sistem la altul.)

6. Fiți precaut atunci când un email creează un sentiment de urgență sau pericol.

7. Și nu în ultimul rând, folosiți o suită de Internet Security. O suită pe lângă antivirus cuprinde și Ransomware Shield, Anti-Spyware, Anti-Phishing, Exploit Blocker, Scanare Cloud, Protecție Anti-Script, Protecție Online Banking, Anti-Theft, Firewall, Protecție Webca, Antispam, Connected Home Monitor & Anti-Botnet (sursa: ESSET).

Povești de groază. Falsificarea e-mailului.

Cu mai bine de 4 ani în urmă am fost contactați de o firme românească care s-a confruntat cu falsificarea e-mailului.

Pe scurt, povestea este următoarea:

❌ Parolele erau ținute într-un document și partajate între angajați. Ba mai mult, acestea nu erau schimbate atunci când un angajat pleca din companie.

❌ Firma, în decurs de șase luni, schimbase trei furnizori de web developement (freelanceri sau firme). Fiecare dintre aceștia avuseseră acces la cPanel-ul domeniului.

❌ Parola la cPanel a fost partajată cu toți furnizorii și nu a fost schimbată. E-mailul era la compania de găzduire.

❌ Lipsea o politică de securitate pentru angajați. Cele mai „savurate” e-mailuri erau tocmai acelea care nu trebuiau deschise (pisicuțe, quizz-uri, etc).

❌ Suita de Internet Security lipsea cu desăvârșire. Pe unele calculatoare exista antivirus dar era insucient pentru a face față la toate provocările ce țin de securiate.

La vremea respectivă, directorul firmei a  primit un email în numele unui furnizor și i s-a cerut să se facă o plată. În final, după ce s-a efectuat plata, s-a dovedit că fusese un email falsificat.

Nici nu e de mirare - ținând cont de situația expusă mai sus - că firma respectivă s-a confruntat cu falsificarea emailului ajungând să piardă o sumă considerabilă de bani.

Pentru a nu ajunge în astfel de situații recomandăm protocoalele de securitate menționate în acest articol, o suită de Internet Security, un instructaj al angajaților privind securitatea informațională, o politică și instrumente pentru securizarea parolelor, email în infractura cloud - spre exemplu, Google Workspace - dar și multă precauție în tratarea emailurilor ce implică tranzacții financiare și nu numai.

Hai să începem !

* toate campurile sunt obligatorii

Resurse Utile
Companie