جعل ایمیل (Email Spoofing) چیست؟

جعل ایمیل (Email Spoofing) چیست؟

در حملات سایبری جعل ایمیل، هکرها ایمیلی را ارسال می‌کنند که ظاهراً از سوی یک مرجع معتبر ارسال شده است. هدف اصلی از اجرای فنون جعل ایمیل معمولاً فریب قربانی برای باز کردن یک لینک یا پاسخ به پیام و در نهایت اجرای موفق‌آمیز حملات فیشینگ و مهندسی اجتماعی است.

 

چرا جعل ایمیل مهم است؟

بسیاری از حملات جعل ایمیل فقط از طریق حذف پیام، قابل شناسایی و مقابله هستند ولی در اثر اجرای بعضی از این تاکتیک‌ها احتمال دارد مخاطرات امنیتی متعددی ایجاد شوند. برای مثال هکرها وانمود می‌کنند که ایمیل جعلی توسط یک وب‌سایت اینترنتی مشهور فرستاده شده و از مخاطبان درخواست می‌کنند داده‌های حساسی مثل رمز عبور یا شماره کارت بانکی را اعلام کنند. همچنین در اثر کلیک کاربر بر روی لینک آلوده در ایمیل جعلی، دستگاه وی آلوده به بدافزار می‌شود.  جعل ایمیل مدیرعامل یا مدیر امور مالی یک شرکت و درخواست انتقال وجه یا تلاش برای دریافت اطلاعات مهم از جمله نمونه‌های رایج هک ایمیل کاری هستند.

 

دلایل اجرای حملات جعل ایمیل

علاوه بر فیشینگ، مهاجمان از جعل ایمیل برای انجام اقدامات زیر استفاده می‌کنند:

  • مخفی کردن هویت واقعی فرستنده پیام؛
  • دور زدن فیلترهای اسپم و لیست‌های سیاه. کاربران می‌توانند با مسدود کردن آدرس آی‌پی همه یا بعضی ارایه‌دهندگان سرویس اینترنت یا ISP (به انگلیسی: internet service provider) مخاطرات ناشی از این تهدید را کاهش دهند؛
  • جا زدن خودشان به جای یک فرد قابل اطمینان یا یک سازمان معتبر برای دریافت داده‌های محرمانه از جمله اطلاعات بانکی و هویتی؛
  • آسیب رساندن به اعتبار فرستنده پیام؛
  • اجرا و توزیع بدافزارهای مخفی شده در فایل‌های پیوست؛
  • اجرای حمله مرد میانی برای دریافت اطلاعات حساس افراد و سازمان‌ها؛
  • دسترسی به اطلاعات حساس جمع‌آوری شده توسط شرکت‌های شخص ثالث.

دلایل اجرای حملات جعل ایمیل

 

چه تفاوت‌هایی بین فیشینگ، حمله جعل و جعل دامنه وجود دارد؟

مجرمان سایبری معمولاً از جعل ایمیل به عنوان فرایندی در حمله فیشینگ استفاده می‌کنند. فیشینگ روشی برای دسترسی به داده‌ها با جعل یک آدرس ایمیل است. مهاجمان در این حمله ایمیلی ارسال می‌کنند که ظاهراً از سوی یک مرجع معتبر فرستاده شده و درخواست اطلاعات توسط این منبع غیرمنطقی نیست. هدف مجرمان سایبری از اجرای چنین روشی، تشویق قربانی به کلیک بر روی یک لینک یا دانلود یک فایل پیوست و نصب بدافزار بر روی سیستم وی است.

در حمله جعل دامنه نیز از یک آدرس ایمیل مشابه با یک آدرس دیگر استفاده می‌شود. برای مثال در این حمله ممکن است ایمیل از دامنه customerservice@amaz0n.co که مشابه آدرس اصلی یعنی customerservice@amazon.com است ارسال شود.

 

جعل ایمیل چگونه اجرا می‌شود؟

امکان اجرای جعل ایمیل به راحتی و با استفاده از یک سرور پروتکل انتقال پیام امن یا SMTP (به انگلیسی: Simple Mail Transfer Protocol) و یک پلتفرم ارسال ایمیل رایج مثل اوت‌لوک (Outlook) یا جی‌میل (Gmail) میسر است. پس از ایجاد پیام، مهاجم می‌تواند فیلدهای موجود در هدر پیام از جمله آدرس‌های FROM، REPLY-TO و RETURN-PATH را جعل کند. وقتی گیرنده ایمیل را دریافت می‌کند، به نظر می‌رسد که پیام توسط آدرس جعل شده ارسال شده است.

از آنجا که SMTP راهی برای احراز هویت آدرس‌ها ندارد، بنابراین اجرای چنین حملاتی امکان‌پذیر است. با وجود طراحی روش‌ها و پروتکل‌هایی برای مقابله با جعل ایمیل همچنان امکان اجرای آنها وجود دارد.

جعل ایمیل چگونه اجرا می‌شود؟

چگونه ایمیل‌های جعلی را تشخیص دهیم؟

توصیه می‌شود که کاربران ایمیل‌های مشکوک را باز کنند و سورس کد ایمیل را بررسی و فرستنده واقعی آن را رهیگیری کنند.

کاربران همچنین می‌توانند بررسی کنند که آیا یک پیام بررسی‌های فریم‌ورک سیاست فرستنده یا SPF (به انگلیسی: Sender Policy Framework) را با موفقیت پشت سر می‌گذارد یا خیر. SPF یک پروتکل احراز هویت است که در بسیاری از پلتفرم‌های ایمیل و محصولات امنیتی ایمیل وجود دارد. با توجه به تنظیمات حساب ایمیل کاربر، ممکن است پیام‌هایی که در گروه «شکست نرم» قرار دارند، وارد صندوق ورودی ایمیل شوند. شکست نرم می‌تواند دلالت بر عدم اعتبار ایمیل داشته باشد.

بهترین روش‌های مقابله با جعل ایمیل

کاربران و مشاغل می‌توانند با استفاده از روش‌های زیر مانع از دسترسی جعل‌کنندگان ایمیل به سیستم‌های خودشان شوند.

1. نصب یک درگاه امنیت ایمیل

درگاه‌های امنیت ایمیل با انسداد ایمیل‌های ورودی و خروجی که حاوی بخش‌های مشکوک هستند یا با سیاست‌های امنیتی موجود همخوانی ندارند، از مشاغل حفاظت ‌کنند. این درگاه‌ها دارای قابلیت‌های متفاوتی هستند اما همه آنها امکان شناسایی بدافزارهای رایج، پیام‌های هرز و حملات فیشینگ را دارند.

2. استفاده از یک ضد بدافزار

نرم‌افزارهای ضدبدافزار می‌توانند وب‌سایت‌های مشکوک را شناسایی و مسدود و حملات جعل را شناسایی کنند و ایمیل‌های تقلبی را پیش از ورود به صندوق پیام کاربران متوقف کنند.

3. استفاده از رمزنگاری برای حفاظت از ایمیل‌ها

گواهینامه امضای ایمیل، ایمیل‌ها را رمزنگاری می‌کند تا فقط مخاطب مدنظر به محتوای آن دسترسی داشته باشد. در رمزنگاری نامتقارن، یک کلید عمومی ایمیل را رمزنگاری کرده و سپس کلید خصوصی متعلق به گیرنده، آن را رمزگشایی می‌کند. وجود یک امضای دیجیتال اضافه می‌تواند حس اطمینان را در کاربر نسبت به معتبر بودن فرستنده پیام ایجاد کند. در محیط‌های بدون رمزنگاری کاربران می‌توانند پیوست‌های ایمیل را هم رمزنگاری کنند.

استفاده از رمزنگاری برای حفاظت از ایمیل‌ها

4. استفاده از پروتکل‌های امنیتی ایمیل

پروتکل‌های امنیت ایمیل مبتنی بر زیرساخت می‌توانند با استفاده از احراز هویت دامنه، تهدیدات و پیام‌های هرز را کاهش دهند. علاوه بر SMTP و SPF مشاغل می‌توانند از پروتکل [1]DKIM هم برای ایجاد یک لایه امنیتی اضافه با امضای دیجیتال استفاده کنند. همچنین امکان استفاده از پروتکل احراز هویت، گزارش‌دهی و تطبیق پیام بر اساس دامنه (DMARC[2])  برای تعریف اقدامات قابل انجام در صورت شکست پیام‌ها در فرایند SPF و DKIM و تطبیق پیام بر اساس دامنه وجود دارد.

5. استفاده از تکنیک جستجوی آی‌پی معکوس برای احراز هویت فرستنده‌های پیام

می‌توانید با جستجوی معکوس آی‌پی بررسی کنید آیا فرستنده پیام معتبر است یا خیر. همچنین می‌توانید با شناسایی نام دامنه مربوط به آی‌پی مدنظر، منبع پیام را تأیید کنید.

مالکان وب‌سایت‌ها می‌توانند یک رکورد از سیستم نامه دامنه منتشر کنند که در آن مشخص می‌شود چه افرادی قابلیت ارسال پیام از طرف دامنه‌شان را دارند. سپس پیام‌ها پیش از دانلود بدنه اصلی ایمیل بررسی می‌شوند. در صورت مخرب بودن این پیام‌ها و جهت پیشگیری از ایجاد آسیب، امکان رد آنها وجود دارد.

6. آموزش کارمندان درباره امنیت سایبری

مشاغل باید در کنار تدابیر ضد جعل نرم‌افزاری، به کارمندان درباره امنیت سایبری و شیوه تشخیص عناصر مشکوک و حفاظت از خودشان آموزش دهند. می‌توانید در طرح‌های آموزشی ساده، نمونه‌های جعل ایمیل را در اختیار کارمندان قرار دهید تا قابلیت تشخیص و مقابله با تاکتیک‌های جعل را پیدا کنند. همچنین می‌توانید رویه‌های لازم در صورت شناسایی ایمیل‌های جعلی را به آنها آموزش دهید. این آموزش‌ها باید مستمر باشند تا همزمان با ظهور تهدیدات جدید، مطالب و روش‌های آموزشی هم به روزرسانی شوند.

7. نسبت به آدرس‌های جعلی احتیاط کنید

کاربران معمولاً با آدرس‌های ایمیلی سروکار دارند که قابل پیش‌بینی و آشنا هستند. افراد باید یاد بگیرند که مراقب ایمیل‌های ناشناس یا عجیب باشند و پیش از هر گونه تعامل با منشأ پیام، آن را اعتبارسنجی کنند. هکرها عموماً بارها از یک تاکتیک استفاده می‌کنند. بنابراین کاربران باید هوشیار باشند.

 

8. خودداری از افشای اطلاعات حساس

ایمیل‌های جعلی فقط در صورتی منجر به ایجاد آسیبی می‌شوند که کاربران اطلاعات درخواستی مهاجمان را در اختیارشان قرار دهند. با آموزش پیوسته این نکات، پیامدهای ایمیل‌های جعلی را به طور چشمگیری کاهش می‌یابند.

9. نسبت به پیوست‌های عجیب یا لینک‌های ناشناس احتیاط کنید

کاربران همچنین باید مراقب لینک‌ها و پیوست‌های مشکوک باشند. آنها باید همه اجزای یک ایمیل را بررسی کرده و پیش از باز کردن لینک یا پیوست، نشانه‌های خطر مثل غلط‌های املایی و فایل‌های پیوست ناشناس را پیدا کنند.

 

[1] DomainKeys Identified Mail

[2] Domain-based Message Authentication, Reporting and Conformance

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

هشت + 4 =