جعل هویت ایمیل: معنی، مثال‌ها و پیشگیری

ایمیلی در صندوق ورودی مدیر مالی شما ظاهر می‌شود: از طرف مدیرعامل است و درخواست انتقال فوری وجه را دارد. نام فرستنده درست است و لحن آن هم درست به نظر می‌رسد. تنها مشکل این است که مدیرعامل هرگز آن را ارسال نکرده است.

این جعل هویت ایمیل است، یکی از رایج‌ترین و پرهزینه‌ترین اشکال جرایم سایبری که امروزه مشاغل را هدف قرار می‌دهد. برخلاف بدافزارها یا تلاش‌های پیچیده هک، حملات جعل هویت به ترفندهای فنی پیشرفته متکی نیستند. اغلب، تنها چیزی که لازم است یک نام فرستنده قابل اعتماد و یک گیرنده پرمشغله است که وقت ندارد جزئیات را دوباره بررسی کند. آمار هرزنامه‌های ایمیلی نشان می‌دهد که سهم قابل توجهی از ترافیک ایمیل‌های مخرب شامل نوعی فریب هویت است، که این امر این خطر را به خطری تبدیل می‌کند که هر کسب‌وکاری باید آن را درک کرده و به طور فعال در برابر آن دفاع کند.

این راهنما توضیح می‌دهد که حملات جعل هویت ایمیل چگونه کار می‌کنند، در موقعیت‌های واقعی معمولاً چه شکلی هستند و گام‌های عملی که کسب‌وکارها می‌توانند برای جلوگیری از آنها بردارند را شرح می‌دهد.

جعل هویت ایمیل چیست؟

جعل هویت ایمیل، عمل ارسال ایمیل‌هایی است که به دروغ به نظر می‌رسد از یک فرستنده معتبر، مانند یک همکار، مدیر اجرایی، فروشنده یا برند شناخته شده، ارسال شده‌اند و هدف آنها فریب گیرنده برای انجام یک اقدام مخرب است. این اقدام ممکن است انتقال پول، به اشتراک گذاشتن اطلاعات ورود به سیستم، کلیک روی یک لینک مخرب یا افشای اطلاعات حساس باشد.

چیزی که جعل هویت را از هرزنامه‌های معمولی متمایز می‌کند، هدف‌گیری عمدی است. حملات جعل هویت برای سوءاستفاده از یک رابطه موجود یا انتظار اعتماد ایجاد می‌شوند. مهاجم سعی در فروش چیزی ندارد، بلکه سعی می‌کند خودش را به کسی تبدیل کند.

نکته مهم این است که جعل هویت ایمیل نیازی به دسترسی مهاجم به حساب فرستنده واقعی ندارد. در بیشتر موارد، آنها به سادگی با استفاده از ترفندهای فنی یا مهندسی اجتماعی، ظاهری قانونی ایجاد می‌کنند. به همین دلیل است که این کار برای مهاجمان بسیار قابل دسترس و برای سازمان‌هایی با هر اندازه‌ای بسیار خطرناک است.

جعل هویت ایمیل چگونه کار می‌کند؟

مهاجمان از سه روش اصلی برای وانمود کردن ایمیل‌هایشان به اینکه از طرف شخص دیگری ارسال شده‌اند، استفاده می‌کنند.

جعل نام نمایشی

نرم‌افزارهای ایمیل مانند Outlook و Gmail نام نمایشی فرستنده را به طور برجسته نشان می‌دهند، در حالی که آدرس ایمیل واقعی اغلب پنهان است مگر اینکه گیرنده برای باز کردن آن کلیک کند. مهاجمان با تنظیم نام نمایشی خود به "جان اسمیت، مدیرعامل" هنگام ارسال از یک آدرس کاملاً نامرتبط مانند ... از این امر سوءاستفاده می‌کنند. [ایمیل محافظت شده]بسیاری از گیرندگان هرگز آدرس پشت نام را بررسی نمی‌کنند.

استفاده از دامنه‌های مشابه یا جعلی

یک تاکتیک پیشرفته‌تر شامل ثبت دامنه‌ای است که تقریباً مشابه دامنه واقعی مورد استفاده یک شرکت است. اگر سازمان شما از acmecorp.com استفاده می‌کند، یک مهاجم ممکن است چیزی مانند acme-corp.com، acmecorp.net یا acrnecorp.com ثبت کند، که در آن یک کاراکتر به طور نامحسوس تغییر می‌کند.

با یک نگاه سریع، این آدرس‌ها قانونی به نظر می‌رسند. از آنجا که خود دامنه وجود دارد و می‌تواند به طور عادی ایمیل ارسال کند، پیام‌های ارسالی از آن اغلب از بررسی‌های اولیه فرستنده عبور می‌کنند. این امر تشخیص حمله را دشوارتر از جعل نام نمایشی ساده می‌کند. این تکنیک ارتباط نزدیکی با جعل ایمیلو این دو اغلب با هم استفاده می‌شوند.

به خطر انداختن یک حساب واقعی

وقتی یک مهاجم از طریق فیشینگ، سرقت اطلاعات یا نقض داده‌ها به یک حساب ایمیل واقعی دسترسی پیدا می‌کند، می‌تواند مستقیماً از آدرس قانونی پیام ارسال کند. این سخت‌ترین نوع جعل هویت برای تشخیص است زیرا ایمیل‌ها واقعاً از جایی که ادعا می‌کنند ارسال می‌شوند. کنترل‌ها و نظارت قوی بر احراز هویت، دفاع‌های اصلی در اینجا هستند.

انواع رایج حملات جعل هویت ایمیل

حملات جعل هویت از الگوهای قابل پیش‌بینی پیروی می‌کنند. درک رایج‌ترین سناریوها به تیم‌ها کمک می‌کند تا آنها را سریع‌تر تشخیص داده و به آنها پاسخ دهند.

جعل هویت مدیرعامل و مدیر اجرایی

این حمله که با نام‌های هک ایمیل تجاری (BEC) یا کلاهبرداری مدیرعامل نیز شناخته می‌شود، شامل یک جعل هویت است که خود را به عنوان یک مدیر ارشد، معمولاً مدیرعامل، مدیر ارشد مالی یا یکی دیگر از مدیران اجرایی، معرفی می‌کند تا یک کارمند را برای انجام یک اقدام غیرمجاز تحت فشار قرار دهد.

اهداف معمولاً کارمندانی هستند که بر تراکنش‌های مالی یا داده‌های حساس دسترسی دارند، مانند تیم‌های مالی، منابع انسانی، مدیران حقوق و دستمزد و دستیاران اجرایی. درخواست‌ها طوری طراحی شده‌اند که فوری و محرمانه به نظر برسند: «در این مورد به کس دیگری اطلاع ندهید، فقط قبل از بسته شدن بازار آن را بررسی کنید.»

اهداف رایج شامل انتقال وجه جعلی، خرید با کارت هدیه، درخواست داده‌های W-2 یا حقوق و دستمزد و تغییر در جزئیات واریز مستقیم است. اف‌بی‌آی مرکز شکایات جرایم اینترنتی (IC3) به‌طور مداوم BEC را به‌عنوان یکی از پرضررترین دسته‌بندی‌های جرایم سایبری در سطح جهان شناسایی کرده است که سالانه میلیاردها دلار خسارت به بار می‌آورد.

جعل هویت فروشنده و شریک

در این سناریو، مهاجمان خود را به عنوان یک تأمین‌کننده، پیمانکار یا شریک تجاری شناخته‌شده جا می‌زنند. آن‌ها معمولاً اطلاعات کافی در مورد این رابطه، اغلب از طریق منابع عمومی یا نقض امنیتی قبلی، به دست می‌آورند تا ایمیل‌های خود را معتبر جلوه دهند.

یک حمله‌ی معمول شامل ارسال یک فاکتور جعلی است که کاملاً مشابه فاکتورهای واقعی فروشنده به نظر می‌رسد، با یک تغییر: شماره حساب بانکی. گیرنده چیزی را که شبیه یک پرداخت معمولی است، پردازش می‌کند و وجوه به حساب مهاجم واریز می‌شود. بازیابی آن دشوار و اغلب غیرممکن است (تا زمانی که کلاهبرداری شناسایی شود).

این نوع حمله به ویژه خطرناک است زیرا از اعتماد ایجاد شده سوءاستفاده می‌کند. از گیرنده خواسته نمی‌شود کار غیرمعمولی انجام دهد، فقط به فروشنده‌ای که مرتباً با او کار می‌کند، پول پرداخت می‌کند.

جعل هویت پشتیبانی مشتری

مهاجمان وانمود می‌کنند که از کارکنان پشتیبانی مشتری یک شرکت یا سرویس هستند. آن‌ها به جای تلاش برای فریب کارمندان داخل سازمان، کاربران عادی یا مشتریان آن سرویس را هدف قرار می‌دهند. آن‌ها ایمیل‌هایی ارسال می‌کنند که به نظر می‌رسد از بخش پشتیبانی یک شرکت شناخته‌شده (یک بانک، ارائه‌دهنده نرم‌افزار یا پلتفرم تجارت الکترونیک) ارسال شده‌اند و به گیرنده در مورد مشکل حساب کاربری که نیاز به اقدام فوری دارد، هشدار می‌دهند.

هدف معمولاً سرقت اطلاعات کاربری است. ایمیل به یک صفحه ورود جعلی و متقاعدکننده لینک می‌دهد که در آن قربانی نام کاربری و رمز عبور خود را وارد می‌کند و آنها را مستقیماً به مهاجم تحویل می‌دهد. این رویکرد همچنین به ... داروسازی تکنیک‌هایی که در آن‌ها کاربران به وب‌سایت‌های جعلی که طوری طراحی شده‌اند که به نظر قانونی می‌رسند، هدایت می‌شوند. سپس می‌توان از اعتبارنامه‌های سرقت‌شده برای تصاحب حساب، فروش مجدد یا راه‌اندازی حملات بیشتر استفاده کرد.

 چگونه از جعل هویت ایمیل جلوگیری کنیم؟

محافظت مؤثر در برابر جعل هویت ایمیل نیاز به یک رویکرد لایه‌ای دارد. هیچ کنترل واحدی کافی نیست: حفاظ‌های فنی، آگاهی انسانی و رویه‌های داخلی، همگی باید با هم کار کنند.

پروتکل‌های احراز هویت ایمیل

سه پروتکل‌های احراز هویت ایمیل که از طریق DNS کار می‌کنند، به جلوگیری از جعل هویت دامنه کمک می‌کنند. این پروتکل‌ها باید برای هر دامنه‌ای که سازمان شما برای ارسال ایمیل استفاده می‌کند، نه تنها دامنه اصلی، بلکه هر دامنه ثانویه یا غیرفعالی که هنوز متعلق به سازمان شماست، تنظیم شوند.

• SPF (چارچوب سیاست فرستنده): یک رکورد DNS که سرورهای ایمیل مجاز به ارسال ایمیل با استفاده از دامنه شما را فهرست می‌کند. وقتی سرور گیرنده، پیام ورودی را بررسی می‌کند، تأیید می‌کند که آیا سرور فرستنده در لیست تأیید شده‌ها قرار دارد یا خیر. در غیر این صورت، پیام می‌تواند علامت‌گذاری یا رد شود.
• DKIM (ایمیل شناسایی شده با کلیدهای دامنه): یک امضای رمزنگاری‌شده به پیام‌های خروجی اضافه می‌کند که سرور گیرنده می‌تواند آن را تأیید کند. این امضا تأیید می‌کند که ایمیل واقعاً از دامنه شما ارسال شده و در حین انتقال تغییر نکرده است.
• DMARC (احراز هویت پیام مبتنی بر دامنه، گزارش‌دهی و انطباق): بر اساس SPF و DKIM ساخته شده است و به صاحبان دامنه اجازه می‌دهد مشخص کنند که در صورت عدم احراز هویت یک پیام، چه اتفاقی باید بیفتد: فقط نظارت، قرنطینه یا رد آن. DMARC همچنین گزارش‌هایی را به صاحب دامنه ارسال می‌کند که نشان می‌دهد کدام سرورها با استفاده از دامنه، ایمیل ارسال می‌کنند، که به نظارت و کنترل منابع ارسال مجاز کمک می‌کند.

تنظیم DMARC روی سیاست «رد» قوی‌ترین محافظت است، اما سازمان‌ها معمولاً قبل از اعمال قوانین سختگیرانه، با «نظارت» شروع می‌کنند تا ترافیک ایمیل قانونی خود را درک کنند. رمزگذاری ایمیل با محافظت از محتوای پیام در حال انتقال و در حالت سکون، لایه دیگری اضافه می‌کند.

آموزش و آگاهی کارکنان

کنترل‌های فنی برخی از تلاش‌های جعل هویت را مسدود می‌کنند، اما بسیاری از حملات به گونه‌ای طراحی شده‌اند که از فیلترهای خودکار عبور کرده و در صندوق‌های ورودی واقعی قرار گیرند. به همین دلیل آموزش کارکنان ضروری است.

کارمندان در هر سطحی باید موارد زیر را درک کنند:

• نحوه تأیید آدرس ایمیل واقعی فرستنده، نه فقط نام نمایشی. در اکثر کلاینت‌ها، با نگه داشتن ماوس روی نام فرستنده یا کلیک کردن روی آن، آدرس اصلی نمایش داده می‌شود.
• علائم هشدار دهنده دستکاری مبتنی بر فوریت، از جمله پیام‌هایی که آنها را تحت فشار قرار می‌دهد تا سریع عمل کنند، مراحل تأیید عادی را نادیده بگیرند یا درخواست را از مدیریت محرمانه نگه دارند.
• وقتی درخواستی غیرمعمول به نظر می‌رسد، حتی اگر به نظر برسد از طرف یک مخاطب شناخته‌شده است، چه باید کرد؟ یک تماس تلفنی سریع برای تأیید همیشه سریع‌تر از جبران خسارت ناشی از کلاهبرداری است.
• نحوه کار دامنه‌های مشابه و اینکه وقتی آدرس کمی نامتعارف به نظر می‌رسد، مانند حروف جابجا شده، خط فاصله اضافه شده یا یک دامنه سطح بالای متفاوت، چه باید کرد.

آموزش باید عملی و تکرارپذیر باشد، نه یک تمرین یک‌باره. کمپین‌های فیشینگ شبیه‌سازی‌شده، که در آن تیم‌های فناوری اطلاعات یا امنیت، ایمیل‌های جعلی جعل هویت را برای کارکنان ارسال می‌کنند، یکی از مؤثرترین راه‌ها برای تقویت آگاهی و شناسایی افرادی است که به راهنمایی‌های بیشتر نیاز دارند.

ابزارها و فیلترهای امنیتی

ابزارهای امنیتی هدفمند، قابلیت‌های تشخیص و مسدودسازی را ارائه می‌دهند که فیلترینگ ایمیل‌های معمولی از آنها بی‌بهره است.

• فیلترهای ضد فیشینگ و ضد جعل، پیام‌های ورودی را برای یافتن ویژگی‌های مرتبط با جعل هویت، مانند دامنه‌های نامتناسب، داده‌های هدر مشکوک، آدرس‌های فرستنده مشابه و لینک‌های مخرب شناخته شده، اسکن می‌کنند.
• راهکارهای دروازه ایمیل بین اینترنت و سرور ایمیل شما قرار می‌گیرند و قبل از رسیدن پیام‌ها به صندوق ورودی کارمندان، بررسی‌های اضافی را اعمال می‌کنند.
• سرویس‌های مانیتورینگ دامنه، هنگام ثبت دامنه‌های جدید که شباهت زیادی به دامنه شما دارند، به شما هشدار می‌دهند و قبل از استفاده از دامنه‌ای مشابه، به شما در مورد حمله احتمالی به آن هشدار می‌دهند.
• ابزارهای گزارش‌دهی DMARC، گزارش‌های خام DMARC را به داشبوردهای خوانا تبدیل می‌کنند و تشخیص فرستندگان غیرمجاز با استفاده از دامنه شما را آسان‌تر می‌کنند.

کار با افراد باسابقه شرکت‌های امنیت ایمیل می‌تواند به شما در ارزیابی اینکه کدام ابزارها برای اندازه، زیرساخت و مشخصات ریسک سازمان شما مناسب هستند، کمک کند.

رویه های تأیید

لایه نهایی دفاع، رویه‌ای است: گردش‌های کاری داخلی که صرف نظر از میزان مشروعیت ایمیل، برای درخواست‌های پرخطر نیاز به تأیید خارج از باند دارند.

رویه‌های تأیید مؤثر عبارتند از:

• یک سیاست سختگیرانه مبنی بر اینکه هیچ درخواست انتقال وجه، تغییر در پرداخت یا اطلاعات حساس صرفاً بر اساس ایمیل تأیید نمی‌شود. هرگونه درخواستی از این دست، صرف نظر از اینکه از طرف چه کسی ارسال شده است، باید از طریق تماس تلفنی یا حضوری با استفاده از شماره تماس موجود در فهرست داخلی شما، نه شماره‌ای که در ایمیل ارائه شده است، تأیید شود.
• الزامات تأیید دوگانه برای تراکنش‌های مالی بالاتر از یک آستانه تعریف‌شده. بررسی و تأیید یک پرداخت توسط دو نفر به صورت جداگانه، موفقیت یک ایمیل جعل هویت واحد را به طور قابل توجهی دشوارتر می‌کند.
• یک مسیر شفاف برای پیگیری ایمیل‌های مشکوک. کارمندان باید دقیقاً بدانند که وقتی پیامی دریافت می‌کنند که به نظر می‌رسد نامناسب است، با چه کسی و چگونه تماس بگیرند و باید بدون ترس از خجالت، در گزارش آن احساس امنیت کنند.

اجرای این رویه‌ها هیچ هزینه‌ای ندارد و اغلب از کنترل‌های فنی برای متوقف کردن حملات مهندسی اجتماعی مؤثرتر هستند.

اگر قربانی جعل هویت ایمیل شدید، چه باید کرد؟

اگر متوجه شدید که شخصی در حال جعل هویت سازمان شما است یا اینکه یکی از کارمندان قربانی حمله شده است، سریعاً اقدام کنید. ساعات اولیه مهم هستند.

مراحل پاسخ فوری:

1. آسیب را مهار کنید: اگر پرداختی انجام شده است، فوراً با بانک خود تماس بگیرید تا درخواست لغو پرداخت را بدهید. موسسات مالی زمان محدودی برای مداخله دارند، بنابراین سرعت عمل ضروری است.
2. حفظ شواهد: ایمیل‌های جعلی را حذف نکنید. سرصفحه‌های کامل پیام، تصاویر و هرگونه مکاتبات مرتبط را ذخیره کنید. این مستندات برای گزارش‌دهی و هرگونه تحقیقات بعدی ضروری است.
3. محدوده را مشخص کنید: مشخص کنید که آیا حمله یک نفر یا چندین حساب را هدف قرار داده است، و آیا به داده‌های حساسی مانند اعتبارنامه‌ها، سوابق مالی یا اطلاعات شخصی دسترسی پیدا شده یا به اشتراک گذاشته شده است.
4. بازنشانی اعتبارنامه‌های لو رفته: اگر به هر حسابی دسترسی پیدا شد، رمز عبور را مجبور به تنظیم مجدد کنید و بلافاصله جلسات فعال را لغو کنید. اگر احراز هویت چند عاملی از قبل فعال نبوده است، آن را فعال کنید.

گزارش و اطلاع رسانی:

• حادثه را به مرجع جرایم سایبری مربوطه در کشور خود گزارش دهید. در ایالات متحده، این مرجع، IC3 (ic3.gov) از FBI است.
• اگر داده‌های مشتری درگیر بوده است، با تیم حقوقی خود در مورد تعهدات مربوط به اطلاع‌رسانی نقض قانون تحت مقررات حفاظت از داده‌ها (GDPR، CCPA و سایر موارد، بسته به حوزه قضایی خود) مشورت کنید.
• اگر هویت شرکا یا فروشندگان آسیب‌دیده در این حمله مورد استفاده قرار گرفته است، به آنها اطلاع دهید، زیرا ممکن است آنها نیز با تهدیدات مشابهی روبرو باشند.
• به ارائه دهنده ایمیل خود اطلاع دهید و در صورت لزوم، درخواست کنید که دامنه جعل هویت به دلیل سوءاستفاده گزارش شود.

پس از پاسخ فوری، یک بررسی پس از حادثه انجام دهید: حمله چگونه انجام شد، چه کنترل‌هایی از کار افتادند و چه تغییراتی برای کاهش خطر عود لازم است. پاکسازی ایمیل زیرساخت‌ها و پیکربندی‌های امنیتی به عنوان بخشی از آن بررسی.

قبل از اینکه مهاجمان از دامنه شما علیه شما استفاده کنند، از آن محافظت کنید

یکی از جنبه‌های اغلب نادیده گرفته شده در محافظت در برابر جعل هویت، کیفیت و امنیت شیوه‌های ارسال ایمیل خروجی خودتان است. سازمان‌هایی که فهرست‌های ایمیل ضعیفی دارند، پایگاه‌های داده تماس تأیید نشده‌ای دارند یا زیرساخت ارسال ایمیل آنها به درستی پیکربندی نشده است، آسیب‌پذیرتر هستند، هم در معرض سوءاستفاده از دامنه خود و هم در معرض ارسال ناخواسته ایمیل‌هایی هستند که ارائه‌دهندگان صندوق ورودی با سوءظن با آنها برخورد می‌کنند.

تأیید ایمیل بخشی از یک روش صحیح بهداشت ایمیل است که از وضعیت امنیتی گسترده‌تر شما پشتیبانی می‌کند. DeBounce آدرس‌های ایمیل را بدون ارسال هیچ پیامی اعتبارسنجی می‌کند و آدرس‌های نامعتبر، یکبار مصرف و پرخطر را از لیست‌های شما حذف می‌کند تا دامنه شما از نظر ارسال، اعتبار ثابت و قابل اعتمادی داشته باشد. جعل هویت دامنه‌ای با اعتبار قوی، دشوارتر و دفاع از آن هنگام گزارش سوءاستفاده آسان‌تر است.

لیست ایمیل خود را از طریق DeBounce اجرا کنید برای اطمینان از اینکه ارسال خروجی شما تمیز، تأیید شده و به نفع شما کار می‌کند.

ایجاد دفاع‌هایی که با تهدید مطابقت دارند

جعل هویت ایمیل به این دلیل موفق می‌شود که اعتماد را هدف قرار می‌دهد: اعتمادی که کارمندان به یک نام آشنا دارند، اعتمادی که مشتریان به یک برند شناخته‌شده دارند، اعتمادی که ایمیل را به ابزاری کاربردی برای تجارت تبدیل می‌کند. مهاجمان نیازی به عبور از دیوارهای آتش ندارند، وقتی می‌توانند به سادگی وانمود کنند که کسی هستند که شما از قبل به او اعتماد دارید.

راهکارهای دفاعی که در این راهنما پوشش داده شده‌اند: احراز هویت SPF، DKIM و DMARC؛ آموزش کارکنان؛ ابزارهای فیلترینگ امنیتی؛ و رویه‌های تأیید داخلی، به ابعاد فنی و انسانی مشکل می‌پردازند. هیچ‌کدام از آنها به تنهایی کافی نیستند، اما در کنار هم، اجرای حملات جعل هویت را به طور قابل توجهی دشوارتر و شناسایی آنها را آسان‌تر می‌کنند.

با سوابق احراز هویت خود شروع کنید. اگر دامنه شما هنوز سیاست DMARC را منتشر نکرده است، این تأثیرگذارترین گام فنی است که می‌توانید همین الان بردارید. آن را با یک جلسه آموزشی کارکنان و یک رویه تأیید پرداخت واضح ترکیب کنید، و شکاف‌هایی را که اکثر حملات جعل هویت موفق از آنها سوءاستفاده می‌کنند، خواهید بست.