Identificarea Email-urilor de phishing

Identificarea Email-urilor de phishing

Phishing-ul este definit ca si actiunea unui hacker sau a unui site rau intentionat, prin care utilizeaza marca sau identitatea unei companii pentru a ademenii anumiti utilizatori in vederea obtinerii de informatii private. Aceste email-uri de phishing copiaza fidel imaginea brand-ului unor companii si cunoscute ce ofera servicii legitime, prin care se urmaresc implantarea de programe sau fisiere malware prin descarcarea lor sau obtinerea de credentiale de logare in diferite conturi ale unor companii financiare, prin care se cere sa descarcati un document sau sa opriti o anumita tranzactie fictiva ori sa schimbati parola de acces in interfata de administrare.

Emailurile de tip phishing urmaresc sa obtina in mod fraudulent date cu caracter sensibil si personal ale utilizatorilor carora le este destinat mailul respectiv, cum ar fi date cu privire la cartile de credit sau chiar date de logare in diferite interfete de administrare (admin ale sit-urilor, cPanel, conturi de client sau adrese de mail, contul de PayPal, etc.).

Aceste tipuri de mail-uri reprezinta cea mai mare amenintare actuala din prisma activitatilor de hacking si furt de informatii.
De obicei acestea sunt trimise printr-o tehnica de spoofare a email-urilor trimise prin PHP, acele mail-uri trimise fara autentificare prin functia mail() si prin care se poate modifica campul „from”, astfel un utilizator obisnuit poate fi indus in eroare cu privire la emitentul mail-ului si ulterior de legitimitatea contiutului. Desigur, printr-o verificare a header-ului sau a sursei unui mail se pot obtine informatii amanuntite despre adresa, modul si serverul de pe care s-a trimis reprezinta cea mai corecta verificare in cazul in care aveti indoieli despre emitentul unui mail sau legitimitatea lui.

Astfel exista doua tipuri de email-uri de tip phishing care pot circula in momentul de fata:

  • Email-uri de tip phishing care vin pe adresa dvs de la o alta adresa.
  • Email-uri de tip phishing pe care le primiti tot de pe adresa dvs.

De obicei persoanele vizate de aceaste trimiteri de email-uri false sunt clienti ai brandurilor, de care se folosesc atacatorii, si care inspira incredere si sunt arhicunoscute.

In continuare vom vorbi despre recunoasterea acestor tipuri de mail-uri care utilizeaza domeniul afacerii dvs.

De ce e important ca email-urile de phishing sa nu se trimita din contul dvs. de gazduire.

Daca va puneti in situatia unui client, partener sau furnizor al dvs si ati primi un astfel de mesaj si se dovedeste a fi un mail de phishing, cel mai probabil nu ati mai avea incedere in ei ca si firma. Ulterior ar avea un efect de minimizare a increderii in firma respectiva si cel mai probabil ati verifica de la acel moment inainte fiecare mail, chiar si cele care sunt legitime. Mail-urile de phising trimise de pe adrese cu domeniul dvs va pot afecta negativ brandul dvs chiar daca utilizatorii ce le primesc stiu ca nu e vina dvs.

Mai mult, providerii mari de mail precum Google, Yahoo!, Hotmail sau Outlook.com tin cont si domeniul de internet de pe care se trimit astfel de mail-uri de phishing si aloca o anumita reputatie (negativa) acestui domeniu, care face ulterior ca mailurile trimise sa fie verificate sau scanate mai amanuntit.

Daca trimiterea continua un timp mai indelungat sau are o anumita frecventa poate atrage „sanctiuni” mult mai grave, mail-urilor trimise de dvs cum ar fi tratarea chiar si a mail-urilor legitime ca si spam/junk sau blacklistarea domeniului sau a IP-ului serverului dvs. de mail.

Cum recunoasteti phishing-ul trimis de pe domeniul dvs.

E posibil ca ocazional unul din clientii dvs sa revina cu o intrebare simpla si directa, daca dvs. ati trimis mailul respectiv. Desigur in acel moment e prea tarziu si insemna ca mailul a fost deja trimis. Daca dvs ati depistat un astfel de mail, cel mai probabil s-au trimis sute sau chiar mii de astfel de mesaje.
Fara a adopta niste tehnologii mai noi de verificare a mailurilor trimise, nu ati putea stii cand domeniul dvs. e folosit pentru trimite mail-uri de phishing. Aceste tehnilogii sunt SPF, DKIM si DMARC si toate functioneaza impreuna.

  • SPF va permite sa dictati cine sau ce ip-uri pot trimite mail-uri in numele dvs. (de pe domeiul dvs.).
  • DKIM permite sa semnati digital mailurile trimise
  • DMARC permite printre altele sa setati o adresa de mail a dvs pe care sa primiti anumite rapoarte cu privire la trimiterile de pe domeniul dvs.

Odata setat SPF si DKIM puteti primi rapoarte pe adresa setata prin inregistrarea DMARC de la providerii mari de mail (Google, Yahoo, Outlook, etc.), fie ca e o trimitere legitima sau de phishing, insa pentru a identifica daca cineva sau un anumit ip a efectuat trimiterea de mail-uri de phishing de pe domeniul dvs. e nevoie de o verificare amanuntita a rapoartelor primite.

Cum se poate opri phishing-ul efectuat cu domeniul dvs.

Protectia recomandata e activarea si folosirea celor 3 tehnologii (SPF, DKIM si DMARC). IP-urile si domeniile care nu vor reusi autentificarea cu SPF, DKIM si DMARC sunt cel mai probabil responsabile cu trimiterea de phishing si mailuri de scam. Cu toate acestea pot exista si trimiteri legitime care sunt configurate gresit sau pur si simplu ip-ul de trimitere nu e adaugat in inregistrarea dvs. SPF, insa toate aceste situatii trebuie investigate manual pentru a determina legitimitatea lor.

Dupa ce va asigurati ca mailurile trec de autentificarile (SPF, DKIM si DMARC), prin inregistrarea DMARC se poate transmite providerilor de mail cum anume trebuie tratate mail-urile care nu trec de aceste autentificari si ce pasi sa urmeze, dupa cum urmeaza:

  • None: sa nu se efectueze nici o interactiune
  • Quarantine: sa mute mailurile intr-o zona de „carantina” si sa anunte aceasta operatiune
  • Reject: sa respinga automat mailul

De asemenea inregistrarea DMARC va permite sa setati procentajul de trafic (email-uri) care sa se supuna acestor reguli, 0-100%. Acest nivel de granulitate este important pentru a va indica cat de repede pot ajunge in starea de reject (vor fi respinse) email-urile trimise de dvs si daca aceste mail-uri legitime pot afecata negativ afacerea dvs. Odata ce ati atins o politica de respingere de 100%, se va filtra tot phishing-ul ce utilizeaza domeniul dvs.

Pe pagina noastra de suport am creeat un tutorial cu privire la setarea si configurarea acestor protectii sau autentificari (SPF, DKIM si DMARC) disponibil in link-ul de aici.

Adauga un comentariu