電子郵件欺騙的工作原理
電子郵件可以分為兩個主要部分:標題和正文。 標頭的目的是提供將電子郵件路由到目的地所需的元資料和資訊。 電子郵件的正文是所傳達的實際訊息。
簡單郵件傳輸協定 (SMTP) 定義了電子郵件的結構以及電腦如何透過電子郵件進行通訊。 當 SMTP 開發時,安全性並不是優先考慮的問題,該協定的設計沒有辦法驗證電子郵件標頭的真實性。
電子郵件欺騙透過更改 FROM 標頭的值來利用這一點,該標頭應包含寄件者的電子郵件地址。 該值僅用於告知收件者寄件者的身份,因此修改它不會導致電子郵件失敗。
但是,寄件者地址可能會用於直接回覆電子郵件,這對於某些網路釣魚活動來說可能是一個問題。 但是,SMTP 標準還包括 REPLY-TO 標頭,寄件者可以在其中指定對電子郵件的回覆應發送到不同的位址。 此欄位通常用於行銷電子郵件群發,但網路釣魚者也可以使用該欄位來接收對欺騙地址的網路釣魚電子郵件的回應。
如何辨識欺騙性電子郵件
欺騙性電子郵件是其中的一部分 網路釣魚 活動,旨在誘騙收件者採取一些幫助攻擊者的行動。 如果電子郵件包含嵌入式點擊連結、附件或要求其他操作,那麼明智的做法是檢查其是否存在欺騙行為。
在某些情況下,攻擊者可能會使用真實的、相似的位址,例如用 cornpany.com 取代 company.com。 在其他情況下,FROM 標頭的值可能會被替換為不受傳送者控制的合法位址。
雖然第一種情況通常可以透過仔細查看寄件者的電子郵件地址來檢測,但第二種情況可能需要更多的挖掘。 欺騙性的寄件者地址可以根據以下內容進行識別:
- 情境: 網路釣魚電子郵件的設計看起來很合法,但它們可能並不總是成功。 如果一封電子郵件聽起來不像來自所謂的寄件人,則它可能是一封欺騙性的網路釣魚電子郵件。
- 回覆: 回覆地址可以將來自一個位址的電子郵件回覆導向到另一個位址。 雖然這具有合法用途(例如大規模電子郵件活動),但這種情況並不常見,並且應該引起對來自個人帳戶的電子郵件的懷疑。
已收到: 電子郵件中的 RECEIVED 標頭指示電子郵件傳輸路徑上的電腦和電子郵件伺服器的 IP 位址和網域名稱。 來自同一公司內的電子郵件地址和發送到同一公司內的電子郵件地址的電子郵件只能透過該公司的電子郵件伺服器。
如何防範電子郵件欺騙
魚叉式網路釣魚郵件的興起使得網路釣魚防禦成為企業的核心組成部分 電子郵件資安 戰略。 一些關鍵的最佳實踐 防範網路釣魚攻擊 include:
- 標記外部電子郵件: 欺騙性電子郵件通常偽裝成來自內部地址,但實際上來自公司外部。 向所有外部電子郵件添加警告橫幅有助於收件者識別嘗試的電子郵件欺騙攻擊。
- 啟用電子郵件保護: DMARC 和 SPF 等電子郵件保護會為電子郵件新增驗證資訊。 這使得攻擊者更難從公司的網域發送欺騙性電子郵件。
- 檢查電子郵件地址: 網路釣魚者經常使用相似的地址來使他們的電子郵件看起來更合法。 在信任電子郵件寄件者地址之前,請先驗證其地址是否正確。
- 檢查電子郵件標頭: 欺騙的工作原理是修改電子郵件中的 SMTP 標頭。 如果電子郵件看起來可疑,請檢查標頭是否有不一致之處。
使用 Check Point 進行電子郵件欺騙防護
欺騙性電子郵件旨在具有欺騙性,這意味著員工可能很難識別複雜的網路釣魚攻擊。 點擊惡意連結或開啟惡意軟體附件可能會對企業造成重大損害。 網路釣魚電子郵件是資料外洩的主要原因,也是勒索軟體和其他惡意軟體的主要傳遞機制之一。
因此,應加強針對網路釣魚電子郵件偵測的企業網路安全培訓 網路釣魚防護解決方案。 Check Point 與 Avanan 一起開發了 Harmony Email & Collaboration ,提供針對網路釣魚詐騙的全面保護。 要了解有關 Harmony 電子郵件和協作的更多信息,以及它如何幫助減輕網絡釣魚欺騙電子郵件對您的組織的威脅,歡迎您 報名參加免費示範。
反映意見