جعل ایمیل چیست؟ تعریف و نحوه عملکرد آن

شما ایمیلی از بانک خود دریافت می‌کنید که به شما می‌گوید فوراً جزئیات حساب خود را تأیید کنید. نام فرستنده درست به نظر می‌رسد. آدرس ایمیل آشنا به نظر می‌رسد. روی لینک کلیک می‌کنید، رمز عبور خود را وارد می‌کنید و تنها پس از آن متوجه می‌شوید که این صفحه اصلاً وب‌سایت بانک شما نبوده است.

جعل ایمیل این امر را ممکن می‌سازد. این یکی از رایج‌ترین تکنیک‌های پشت حملات فیشینگ، کلاهبرداری و ارسال بدافزار است و به این دلیل کار می‌کند که مردم به طور غریزی به ایمیل‌هایی که به نظر می‌رسد از منابع آشنا می‌آیند، اعتماد می‌کنند. چیزی که جعل ایمیل را به طور خاص خطرناک می‌کند این است که مهاجمان نیازی به هک کردن حساب واقعی کسی ندارند. آنها فیلدهای فنی که نحوه نمایش اطلاعات فرستنده در صندوق ورودی شما را کنترل می‌کنند، دستکاری می‌کنند و باعث می‌شوند یک پیام بدون دسترسی به سیستم واقعی که ادعا می‌کند نماینده آن است، قانونی به نظر برسد.

درک چگونگی عملکرد جعل ایمیل، تشخیص زودهنگام نشانه‌های خطر و انجام اقدامات عملی برای محافظت از ایمیل‌های شخصی و تجاری در برابر سوءاستفاده را آسان‌تر می‌کند.

جعل ایمیل چیست؟

جعل ایمیل، تحریف عمدی اطلاعات فرستنده ایمیل است تا به نظر برسد که پیام از طرف کسی یا جایی ارسال شده است که در واقع از طرف او نیست. آدرس «از»، نام فرستنده یا فیلد پاسخ به گونه‌ای دستکاری می‌شود که یک هویت قابل اعتماد، مانند یک همکار، یک بانک، یک سازمان دولتی یا یک برند شناخته شده، نمایش داده شود، در حالی که منبع ارسال واقعی کاملاً متفاوت است.

تفاوت ایمیل‌های جعلی با ایمیل‌های معمولی

اطلاعات فنی ارسال یک ایمیل قانونی و اطلاعات نمایش داده شده توسط فرستنده با هم مطابقت دارند. وقتی همکارتان برای شما ایمیلی ارسال می‌کند، آدرسی که در صندوق ورودی شما نشان داده می‌شود با آدرسی که در واقع پیام را از طریق سرورهای ایمیل ارسال کرده است، مطابقت دارد.

در یک ایمیل جعلی، این موارد با هم مطابقت ندارند. نام یا آدرس «فرستنده» نمایش داده شده جعلی است، در حالی که انتقال واقعی از یک سرور متفاوت و اغلب غیرمرتبط که توسط مهاجم کنترل می‌شود، انجام می‌شود. گیرندگان فقط اطلاعات نمایش داده شده را می‌بینند، نه جزئیات مسیریابی فنی پنهان شده در هدرهای ایمیل.

چرا مهاجمان ایمیل جعلی ارسال می‌کنند؟

جعل هویت بسته به نوع حمله، چندین هدف را دنبال می‌کند:

• سرقت اعتبارنامه: هدایت گیرندگان به صفحات ورود جعلی که نام کاربری و رمز عبور را ثبت می‌کنند
• کلاهبرداری مالی: جعل هویت مدیران یا فروشندگان برای تأیید پرداخت‌های جعلی
• انتقال بدافزار: وادار کردن گیرندگان به باز کردن پیوست‌ها یا کلیک روی لینک‌هایی که نرم‌افزار مخرب نصب می‌کنند
• آسیب به برند: ارسال هرزنامه یا محتوای مضر تحت هویت یک سازمان قانونی

داده ها نشان می دهد که فیشینگ هنوز هم بیش از ۹۰٪ از حوادث مهندسی اجتماعی گزارش شده را تشکیل می‌دهد و جعل ایمیل یک تکنیک اساسی است که اکثر این حملات را ممکن می‌سازد.

جعل ایمیل چگونه کار می‌کند؟

جعل ایمیل از ضعف پروتکل انتقال ایمیل ساده (SMTP)، فناوری مسئول ارسال ایمیل، سوءاستفاده می‌کند. هنگامی که SMTP برای اولین بار طراحی شد، الزامات داخلی برای تأیید هویت فرستنده را شامل نمی‌شد.

هر ایمیل حاوی هدرها است: فیلدهای فراداده فنی که جزئیات انتقال مانند سرور ارسال، مهرهای زمانی و اطلاعات فرستنده را ثبت می‌کنند. هدرهای کلیدی که مهاجمان هدف قرار می‌دهند عبارتند از:

• از: آدرسی که در صندوق ورودی به گیرندگان نمایش داده می‌شود
• پاسخ دادن به: جایی که پاسخ‌ها هنگام پاسخ دادن گیرندگان هدایت می‌شوند
• راه برگشت: اعلان‌های برگشتی کجا می‌روند (اغلب آدرس فرستنده واقعی را فاش می‌کنند)

SMTP به فرستندگان اجازه می‌دهد تا این فیلدها را به هر چیزی که می‌خواهند تنظیم کنند. وقتی یک سرویس ایمیل پیامی را نمایش می‌دهد، مقدار فیلد «از» را نشان می‌دهد، نه جزئیات انتقال اصلی. این عدم ارتباط بین آنچه کاربران می‌بینند و آنچه واقعاً منتقل می‌شود، آسیب‌پذیری است که جعل از آن سوءاستفاده می‌کند.

مهاجمان از سرورهای SMTP (چه سرورهای خودشان، چه سرورهای هک‌شده یا رله‌های باز) برای ارسال پیام‌هایی با هدرهای دستکاری‌شده استفاده می‌کنند. آن‌ها فیلد «از» را روی یک آدرس معتبر (بانک شما، مدیرعامل شما، یک فروشنده شناخته‌شده) تنظیم می‌کنند، در حالی که سرور ارسال‌کننده واقعی هیچ ارتباطی با آن سازمان ندارد. اکثر گیرندگان هرگز فراتر از نام و آدرس نمایش داده شده نگاه نمی‌کنند، و این باعث می‌شود جعل در سطح نمایش بسیار مؤثر باشد.

نقش شکاف‌های احراز هویت

پروتکل‌های احراز هویت پیکربندی‌شده‌ی صحیح (SPF، DKIM، DMARC) برای شناسایی جعل هویت طراحی شده‌اند و این کار را با تأیید اینکه سرورهای ارسال‌کننده مجاز به ارسال از طرف دامنه‌های ادعا شده هستند، انجام می‌دهند. با این حال، تحقیقات مایکروسافت در سال ۲۰۲۵ مشخص شد که زیرساخت‌های ایمیل مشترک، آسیب‌پذیری‌های جعل ایمیل را به طور قابل توجهی تقویت می‌کنند و تکنیک‌های قاچاق SMTP به مهاجمان اجازه می‌دهد تا در پیکربندی‌های خاص، از محافظت‌های SPF و DMARC عبور کنند، که این موضوع نشان می‌دهد که چرا احراز هویت به تنهایی یک راه حل کامل نیست.

La مسیر بازگشت ایمیل این فیلد اغلب آدرس فرستنده واقعی را فاش می‌کند، اما اکثر گیرندگان و حتی بسیاری از ابزارهای امنیتی در طول ارزیابی اولیه تحویل، آن را به اندازه کافی دقیق بررسی نمی‌کنند.

انواع رایج حملات جعل ایمیل

جعل ایمیل اشکال مختلفی دارد و هر کدام از جنبه‌های مختلفی از نحوه نمایش و پردازش اطلاعات فرستنده ایمیل سوءاستفاده می‌کنند.

جعل نام نمایشی

جعل نام نمایشی فقط نام فرستنده قابل مشاهده را تغییر می‌دهد در حالی که از یک آدرس ایمیل کاملاً متفاوت و اغلب آشکارا نامرتبط استفاده می‌کند. صندوق ورودی شما «سارا چن، مدیرعامل» را نشان می‌دهد، اما آدرس ارسال واقعی چیزی شبیه به این است. [ایمیل محافظت شده] یا یک دامنه کاملاً نامرتبط.

این تکنیک به این دلیل کار می‌کند که بسیاری از نرم‌افزارهای ایمیل نام فرستنده را به طور برجسته نمایش می‌دهند در حالی که آدرس را با متن کوچک‌تر نشان می‌دهند یا آن را به طور کامل در تلفن همراه پنهان می‌کنند. مهاجمان به جای بررسی آدرس کامل، به تمرکز گیرندگان بر روی نام متکی هستند. اهداف رایج شامل مدیران، پشتیبانی فناوری اطلاعات و مؤسسات مالی است که گیرندگان نام آنها را می‌شناسند و به آنها اعتماد دارند.

جعل دامنه

جعل دامنه از دامنه‌های جعلی یا مشابه استفاده می‌کند تا آدرس‌های ارسال را در نگاه اول قانونی جلوه دهد. مهاجمان به جای ارسال از company.com، نام‌های company-inc.com، cornpany.com یا c0mpany.com را ثبت می‌کنند و اغلب از بازرسی بصری معمولی عبور می‌کنند.

این رویکرد به ویژه برای کسب‌وکارها مضر است زیرا مهاجمان می‌توانند نه فقط هویت افراد، بلکه کل سازمان‌ها را جعل کنند. مشتریانی که از یک دامنه جعلی ایمیل دریافت می‌کنند، ممکن است پرداخت‌هایی انجام دهند، اطلاعات حساب خود را فاش کنند یا بدافزار دانلود کنند، با این باور که با یک شرکت قانونی در تعامل هستند.

نظارت چندین رکورد SPF و اطمینان از پیکربندی صحیح احراز هویت، مانع از استفاده از دامنه شما به این روش علیه مشتریان و شرکایتان می‌شود.

جعل آدرس مستقیم

جعل آدرس مستقیم، فیلد «از» واقعی را جعل می‌کند تا یک آدرس ایمیل واقعی و قانونی که مهاجم کنترلی بر آن ندارد را نمایش دهد. این از نظر فنی متقاعدکننده‌ترین شکل است زیرا گیرندگان یک آدرس واقعی و قابل تشخیص (نه یک آدرس مشابه) را در صندوق ورودی خود می‌بینند.

این امر به عدم اجرای دقیق DMARC در دامنه جعلی بستگی دارد. هنگامی که سازمان‌ها DMARC را برای رد یا قرنطینه پیام‌های احراز هویت نشده پیکربندی نکرده باشند، مهاجمان می‌توانند با اطمینان معقول از رسیدن پیام‌ها به گیرندگان، از آدرس‌های واقعی خود در فیلد «از» استفاده کنند. جعل آدرس مستقیم معمولاً در حملات جعل ایمیل تجاری و جعل هویت مدیران اجرایی استفاده می‌شود.

نشانه‌های ایمیل جعلی

پیام‌های جعلی طوری طراحی شده‌اند که مشروع به نظر برسند، اما بررسی دقیق، تناقضاتی را آشکار می‌کند.

مشکلات آدرس فرستنده:

• نام نمایش داده شده و آدرس ایمیل واقعی مطابقت ندارند
• دامنه حاوی غلط املایی‌های ظریفی است (paypa1.com، arnazon.com، company-support.com)
• این آدرس از یک ارائه‌دهنده رایگان (جی‌میل، یاهو) برای چیزی که باید یک ارتباط شرکتی باشد، استفاده می‌کند.
• آدرس پاسخ به (Reply-To) با آدرس فرستنده (From) متفاوت است و پاسخ‌ها را به حساب‌های تحت کنترل مهاجم هدایت می‌کند.

فوریت‌های غیرمنتظره و درخواست‌های غیرمعمول:

• تاکتیک‌های فشار «اقدام فوری لازم است» یا «قبل از پایان روز پاسخ دهید»
• درخواست‌های غیرمنتظره برای انتقال وجه، تغییر جزئیات پرداخت یا اشتراک‌گذاری اعتبارنامه‌ها
• دستورالعمل‌هایی برای دور زدن رویه‌های معمول («از فرآیند تأیید معمول عبور نکنید»)
• درخواست کارت هدیه، انتقال وجه به حساب‌های جدید یا اطلاعات محرمانه

ناهماهنگی‌های زبانی و قالب‌بندی:

• لحن یا سبک نوشتاری که با شیوه‌ی ارتباطی معمول فرستنده‌ی مورد نظر مطابقت ندارد
• احوالپرسی‌های عمومی (مثلاً «مشتری گرامی»، «کاربر گرامی») به جای نام واقعی شما
• خطاهای دستوری یا املایی که با یک سازمان حرفه‌ای مغایرت دارند
• قالب‌بندی که کمی با پیام‌های معتبری که قبلاً دریافت کرده‌اید متفاوت است

خطرات لینک و پیوست:

• قبل از کلیک کردن، نشانگر ماوس را روی لینک‌ها نگه دارید؛ متن URL نمایش داده شده یک دامنه را نشان می‌دهد، در حالی که URL مقصد واقعی، دامنه دیگری را نشان می‌دهد.
• پیوست‌هایی که انتظارشان را نداشتید، به خصوص فایل‌های اجرایی یا اسناد آفیس که درخواست فعال کردن ماکروها را دارند
• لینک‌هایی که به صفحات یا دامنه‌های HTTP (نه HTTPS) با پسوندهای مشکوک هدایت می‌شوند

پاکسازی ایمیل عادت‌هایی مانند مکث قبل از اقدام در مورد درخواست‌های فوری و تأیید از طریق کانال‌های جداگانه، خطر افتادن در دام پیام‌های جعلی و ساختگی را کاهش می‌دهد.

ایمیل اسپوفینگ در مقابل فیشینگ

جعل ایمیل و فیشینگ مفاهیمی نزدیک به هم اما متمایز هستند که اغلب با هم اشتباه گرفته می‌شوند. فیشینگ یک استراتژی حمله است که با هدف فریب گیرندگان برای افشای اطلاعات حساس، کلیک روی لینک‌های مضر یا دانلود نرم‌افزارهای مخرب انجام می‌شود. فیشینگ هدف است، خود کلاهبرداری.

جعل ایمیلاز سوی دیگر، کلاهبرداری تکنیکی است که برای متقاعدکننده‌تر کردن حملات فیشینگ استفاده می‌شود. کلاهبرداری باعث می‌شود پیام از یک منبع قابل اعتماد به نظر برسد و احتمال اینکه گیرندگان به محتوای فیشینگ اعتماد کرده و بر اساس آن عمل کنند را افزایش می‌دهد.

همه فیشینگ‌ها از جعل ایمیل استفاده نمی‌کنند: برخی از ایمیل‌های فیشینگ از آدرس‌های واقعی تحت کنترل مهاجم ارسال می‌شوند. و همه جعل ایمیل‌ها فیشینگ نیستند: برخی از جعل ایمیل‌ها صرفاً برای ارسال هرزنامه و پنهان کردن فرستنده واقعی استفاده می‌شوند. اما ترکیب جعل ایمیل و فیشینگ به طور خاص مؤثر است و اکثر کلاهبرداری‌های مبتنی بر ایمیل را تشکیل می‌دهد.

درک هر دو مفهوم به روشن شدن این موضوع کمک می‌کند که چرا اقدامات دفاعی باید در دو سطح کار کنند: کنترل‌های فنی که پیام‌های جعلی را قبل از ارسال شناسایی می‌کنند و آگاهی کاربر که محتوای فریبنده‌ای را که از طریق آن منتقل می‌شود، شناسایی می‌کند.

چگونه از خود در برابر جعل ایمیل محافظت کنیم

حفاظت مؤثر مستلزم عادات متفاوت در سطح فردی و کنترل‌های فنی قوی‌تر در سطح سازمانی است.

برای افراد

ایمن ماندن اغلب به کم کردن سرعت و تأیید قبل از پاسخ دادن به پیام‌های غیرمنتظره بستگی دارد. مراحل زیر خطر اقدام بر اساس یک ایمیل جعلی را کاهش می‌دهد.

• قبل از اقدام، بررسی کنید: هرگونه درخواست غیرمنتظره‌ای که شامل اطلاعات اعتباری، پرداخت‌ها یا داده‌های حساس باشد، نیاز به تأیید از طریق کانال جداگانه دارد. با استفاده از شماره‌ای که خودتان پیدا می‌کنید، نه شماره‌ای که در پیام ارائه شده است، با فرستنده‌ی فرضی تماس بگیرید.
• آدرس‌های فرستنده را با دقت بررسی کنید: فقط به نام نمایش داده شده اکتفا نکنید. برای نمایش آدرس کامل ایمیل، روی نام فرستنده کلیک کنید یا نشانگر ماوس را روی آن نگه دارید و بررسی کنید که دامنه با سازمانی که پیام ادعا می‌کند نماینده آن است، مطابقت داشته باشد.
• فعال کردن احراز هویت چند عاملی (MFA): حتی اگر مهاجمان از طریق جعل هویت یا فیشینگ به اعتبارنامه‌ها دست یابند، احراز هویت چندعاملی (MFA) دسترسی را مسدود می‌کند، مگر اینکه عامل تأیید دوم را نیز داشته باشند.
• گزارش پیام‌های مشکوک: از قابلیت «گزارش فیشینگ» یا «گزارش هرزنامه» در سرویس ایمیل خود استفاده کنید. گزارش دادن، فیلترینگ صندوق ورودی شما را بهبود می‌بخشد و سیستم‌های تشخیص را برای سایر کاربران تقویت می‌کند.
• نرم افزار را به روز نگه دارید: وصله‌های امنیتی در نرم‌افزارهای ایمیل و سیستم‌عامل‌ها، آسیب‌پذیری‌هایی را که مهاجمان از آن‌ها سوءاستفاده می‌کنند، از جمله مواردی که به محتوای مخرب ارسال‌شده از طریق ایمیل‌های جعلی مرتبط هستند، می‌بندند.

برای مشاغل

سازمان‌ها باید احراز هویت، نظارت و آگاهی‌بخشی به کارکنان را با هم ترکیب کنند تا ریسک فنی و انسانی را کاهش دهند.

• پیکربندی پروتکل‌های احراز هویت ایمیل: راه اندازی SPF، DKIM و DMARC رکوردها برای همه دامنه‌های ارسال‌کننده، شامل زیردامنه‌ها و سرویس‌های شخص ثالث. یک سیاست اجرایی DMARC، مانند p=reject یا p=quarantine، از رسیدن پیام‌های احراز هویت نشده‌ای که ادعا می‌کنند از دامنه شما می‌آیند به گیرندگان جلوگیری می‌کند. پیکربندی نادرست همچنان یکی از دلایل اصلی موفقیت کلاهبرداری است.
• نظارت بر سوءاستفاده از دامنه: از طریق گزارش DMARC، که تمام ایمیل‌هایی که ادعا می‌کنند از دامنه شما سرچشمه می‌گیرند، از جمله تلاش‌های غیرمجاز، را نشان می‌دهد، پیگیری کنید که آیا دامنه شما در کمپین‌های جعل هویت استفاده می‌شود یا خیر.
• کارمندان را مرتباً آموزش دهید: جلسات آگاهی‌بخشی امنیتی باید شامل سناریوهای خاص جعل هویت باشد. کارمندان باید جعل نام نمایشی، دامنه‌های مشابه، درخواست‌های پرداخت غیرمعمول و تلاش‌های دور زدن فرآیند را تشخیص دهند.
• اعتبارسنجی و نگهداری لیست‌های ایمیل: سازمان‌هایی که داده‌های ایمیل پاک و معتبر دارند، سطح حمله کمتری برای شناسایی ارائه می‌دهند. مهاجمان اطلاعات تماس را از پایگاه‌های داده آسیب‌دیده یا ضعیف جمع‌آوری می‌کنند تا کمپین‌های جعلی هدفمند و متقاعدکننده‌ای را ایجاد کنند. هوش مصنوعی برای بازاریابی ایمیلی و نگهداری لیست‌های تأیید شده، داده‌های موجود برای تحقیقات مهاجمان را کاهش می‌دهد.
• پیاده‌سازی کنترل‌های فنی اضافی: ویژگی‌های ضد جعل هویت در پلتفرم‌های امنیت ایمیل، سرویس‌های نظارت بر حفاظت از برند و ابزارهای گزارش‌دهی DMARC، امکان مشاهده تلاش‌های جعل هویت علیه دامنه شما را قبل از رسیدن به مشتریان و شرکا فراهم می‌کنند.

پسگفتار

جعل ایمیل، اطلاعات فرستنده را جعل می‌کند تا پیام‌های مخرب را قابل اعتماد جلوه دهد و از شکاف اساسی بین آنچه ایمیل نمایش می‌دهد و آنچه از نظر فنی در زیر سطح اتفاق می‌افتد، سوءاستفاده می‌کند. مهاجمان از جعل نام نمایشی، دامنه‌های مشابه و جعل مستقیم آدرس برای فریب گیرندگان جهت افشای اعتبارنامه‌ها، تأیید پرداخت‌ها یا دانلود بدافزار استفاده می‌کنند.

هیچ اقدام واحدی نمی‌تواند به طور کامل از جعل هویت جلوگیری کند، اما سازمان‌ها و افرادی که کنترل‌های فنی را با رویه‌های آگاهی‌بخشی و تأیید ترکیب می‌کنند، خطر حملات جعل هویت موفق را به میزان قابل توجهی کاهش می‌دهند.

بررسی کنید که آیا دامنه سازمان شما DMARC پیکربندی شده است و در چه سطح اجرایی قرار دارد. اگر DMARC ندارید یا روی p=none (فقط نظارت) تنظیم شده است، تغییر به p=quarantine یا p=reject موثرترین گامی است که می‌توانید برای جلوگیری از جعل هویت دامنه شما توسط مهاجمان در حملات جعل هویت که مشتریان و شرکای شما را هدف قرار می‌دهد، بردارید.

حفظ فهرست‌های ایمیل پاک و معتبر بخشی از امنیت مسئولانه ایمیل است. DeBounce آدرس‌های نامعتبر، یکبار مصرف و پرخطر را از پایگاه داده مخاطبین شما حذف می‌کند و تضمین می‌کند که زیرساخت ایمیل شما سالم می‌ماند، اعتبار فرستنده شما قوی می‌ماند و داده‌های سازمانی شما به مواد خام برای مهاجمانی که کمپین جعل ایمیل بعدی را طراحی می‌کنند، تبدیل نمی‌شود.

همین امروز تأیید لیست‌های خود را شروع کنید برای کاهش ریسک تحویل و امنیت در تمام ارتباطات ایمیلی شما.