Czy kiedykolwiek zdarzyło Ci się otworzyć wiadomość e-mail tylko po to, aby znaleźć spam lub szantaż, który wydawał się pochodzić z Twojego adresu e-mail? Nie jesteś sam. Fałszowanie adresów e-mail nazywa się podszywaniem się i niestety niewiele można z tym zrobić.
Jak spamerzy fałszują Twój adres e-mail
Podszywanie się to czynność polegająca na sfałszowaniu adresu e-mail, aby wyglądało na to, że pochodzi on od kogoś innego niż osoba, która go wysłała. Często ma to na celu skłonienie Cię do myślenia, że wiadomość e-mail pochodzi od znajomego lub firmy, z którą współpracujesz, na przykład banku lub innej usługi finansowej.
Niestety, fałszowanie wiadomości e-mail jest niezwykle łatwe. Systemy pocztowe często nie mają wystarczających zabezpieczeń, aby upewnić się, że adres e-mail wpisany w polu „Od” naprawdę należy do Ciebie. To bardzo przypomina kopertę, którą wkładasz do poczty. W miejscu adresu zwrotnego możesz napisać, co chcesz, co sprawia, że poczta nie będzie w stanie zwrócić listu. Poczta nie ma również możliwości ustalenia, czy naprawdę mieszkasz pod adresem zwrotnym podanym na kopercie.
Podrabianie wiadomości e-mail działa podobnie. Niektóre usługi online, takie jak Outlook.com, zwracają uwagę na adres „Od” podczas wysyłania wiadomości e-mail i mogą uniemożliwić wysłanie wiadomości ze sfałszowanym adresem. Jednak wiele narzędzi pozwala na wypełnienie wszystkiego, co chcesz. To tak proste, jak utworzenie własnego serwera poczty e-mail (SMTP). Wszystko, czego potrzebuje oszust, to Twój adres, który prawdopodobnie może kupić w przypadku jednego z wielu wycieków danych.
Dlaczego oszuści fałszują Twój adres?
Oszuści wysyłają Ci e-maile, które wydają się pochodzić z Twojego adresu z jednego z dwóch ogólnych powodów. Pierwszy to nadzieja, że ominą Twoją ochronę przed spamem. Jeśli wysyłasz do siebie e-mail, prawdopodobnie próbujesz zapamiętać coś ważnego i nie chcesz, aby ta wiadomość została oznaczona jako spam. Oszuści mają więc nadzieję, że używając Twojego adresu, ich wiadomość przejdzie przez filtr spamu. Istnieją narzędzia do identyfikowania wiadomości e-mail wysłanych z domeny innej niż ta, z której się podaje, ale Twój dostawca poczty e-mail musi je wdrożyć – a niestety wielu nie robi tego.
Drugim powodem, dla którego oszuści podszywają się pod Twój adres e-mail, jest uzyskanie poczucia legalności. Nierzadko zdarza się, że sfałszowana wiadomość e-mail potwierdza, że ktoś włamał się na Twoje konto. To, że „wysłałeś sobie tego e-maila”, służy jako dowód dostępu „hakera”. Mogą również zawierać hasło lub numer telefonu pobrane z bazy danych, w przypadku której doszło do naruszenia, jako kolejny dowód.
Oszust zwykle twierdzi, że ma zagrażające informacje o Tobie lub zdjęcia zrobione z Twojej kamery internetowej. Następnie grozi, że ujawni dane najbliższym kontaktom, chyba że zapłacisz okup. Na początku brzmi wiarygodnie; w końcu wydają się mieć dostęp do Twojego konta e-mail. Ale o to chodzi – oszust fałszuje dowody.
Co usługi e-mail robią, aby zwalczyć problem
Fakt, że każdy może tak łatwo sfałszować zwrotny adres e-mail, nie jest nowym problemem. Dostawcy poczty e-mail nie chcą irytować Cię spamem, dlatego opracowano narzędzia do walki z tym problemem.
Pierwszym był Zasady dotyczące nadawców (SPF), które działają na podstawie kilku podstawowych zasad. Każda domena poczty e-mail jest dostarczana z zestawem rekordów systemu nazw domen (DNS), które służą do kierowania ruchu do właściwego serwera hostingowego lub komputera. Rekord SPF współpracuje z rekordem DNS. Podczas wysyłania wiadomości e-mail usługa odbierająca porównuje podany adres domeny (@gmail.com) z pierwotnym adresem IP i rekordem SPF, aby upewnić się, że są one zgodne. Jeśli wysyłasz wiadomość e-mail z adresu Gmail, powinna ona również zawierać informację, że pochodzi z urządzenia kontrolowanego przez Gmaila.
Niestety sam SPF nie rozwiązuje problemu. Ktoś musi prawidłowo utrzymywać rekordy SPF w każdej domenie, co nie zawsze się zdarza. Oszuści mogą również łatwo obejść ten problem. Gdy otrzymasz wiadomość e-mail, zamiast adresu e-mail możesz zobaczyć tylko imię i nazwisko. Spamerzy podają jeden adres e-mail, podając rzeczywistą nazwę, a drugi jako adres nadawcy, który pasuje do rekordu SPF. Więc nie zobaczysz tego jako spamu ani SPF.
Firmy muszą również zdecydować, co zrobić z wynikami SPF. Najczęściej zgadzają się na przepuszczanie e-maili, zamiast ryzykować, że system nie dostarczy krytycznej wiadomości. SPF nie ma zestawu reguł dotyczących tego, co zrobić z informacjami; podaje tylko wyniki kontroli.
Aby rozwiązać te problemy, Microsoft, Google i inni wprowadzili Uwierzytelnianie, raportowanie i zgodność wiadomości w oparciu o domenę (DMARC), system walidacji. Współpracuje z SPF w celu tworzenia reguł określających, co zrobić z wiadomościami e-mail oznaczonymi jako potencjalny spam. DMARC najpierw sprawdza skan SPF. Jeśli to się nie powiedzie, zatrzymuje przechodzenie wiadomości, chyba że administrator skonfigurował inaczej. Nawet jeśli SPF przejdzie pomyślnie, DMARC sprawdza, czy adres e-mail pokazany w polu „Od:” odpowiada domenie, z której pochodzi e-mail (jest to nazywane wyrównaniem).
Niestety, nawet przy wsparciu Microsoftu, Facebooka i Google, DMARC nadal nie jest powszechnie używany. Jeśli masz adres Outlook.com lub Gmail.com, prawdopodobnie skorzystasz z DMARC. Jednak pod koniec 2017 roku tylko 39 firm z listy Fortune 500 wdrożyło tę usługę walidacji.
Co można zrobić w przypadku spamu, na który adresowana jest osoba
Niestety nie ma sposobu, aby zapobiec fałszowaniu Twojego adresu przez spamerów. Miejmy nadzieję, że używany system poczty e-mail obsługuje zarówno SPF, jak i DMARC, i nie zobaczysz tych ukierunkowanych wiadomości e-mail. Powinny one od razu trafić do spamu. Jeśli Twoje konto e-mail zapewnia kontrolę nad opcjami spamu, możesz je zaostrzyć. Pamiętaj tylko, że możesz stracić również niektóre wiarygodne wiadomości, więc pamiętaj, aby często sprawdzać skrzynkę ze spamem.
Jeśli otrzymasz od siebie sfałszowaną wiadomość, zignoruj ją. Nie klikaj żadnych załączników ani linków i nie płać żądanego okupu. Po prostu oznacz go jako spam lub phishing, albo usuń. Jeśli obawiasz się, że ktoś włamał się na Twoje konta, zablokuj je dla bezpieczeństwa. Jeśli używasz haseł ponownie, zresetuj je w każdej usłudze, która udostępnia bieżące hasło, i nadaj każdej z nich nowe, unikalne hasło. Jeśli nie ufasz swojej pamięci tak dużej liczbie haseł, zalecamy skorzystanie z menedżera haseł.
Jeśli martwisz się otrzymywaniem sfałszowanych wiadomości e-mail od swoich kontaktów, warto również poświęcić czas na naukę czytania nagłówków wiadomości e-mail.