Phishing er den mest udbredte form for cyberangreb, og essensen i phishing e-mails er, at modtageren skal tro, at de er sendt fra nogle legitime personer eller virksomheder. For at fremstå legitime bruger cyberkriminelle bl.a. e-mail-spoofing.
Hvordan forfalsker man en e-mail-adresse?
E-mail-spoofing er en teknik, der bruges i spam- og phishing-angreb til at narre brugere til at tro, at en besked kommer fra en person eller virksomhed, de enten kender eller har tiltro til. Ved spoofing-angreb forfalsker afsenderen e-mail-headers, så en brugers e-mail-klient viser den falske afsenderadresse. De fleste mennesker bruger ikke tid på at nærstudere e-mail-adresser.
Hvis e-mails kommer fra en person, en bruger kender, f.eks. brugerens chef, er vedkommende meget tilbøjelig til at klikke på links eller downloade vedhæftede filer fra de falske e-mails. I avancerede phishing-angreb kan de cyberkriminelle også narre folk til at overføre penge, betale falske faktura eller dele personlige oplysninger.
E-mail-spoofing er muligt på grund af den måde, e-mail-systemer er designet på. Udgående meddelelser tildeles en afsenderadresse af e-mail-klienten; en udgående server har ingen måde at tjekke, om afsenderadressen er legitim eller forfalsket.
Spoofing gennem afsenderens navn
Navne-spoofing er en type e-mail-spoofing, hvor kun e-mail-afsenderens navn er forfalsket. Dette kan gøres ved at registrere en ny Gmail-konto med samme navn som den kontakt, en hacker vil efterligne.
Denne type mail kan omgå alle sikkerhedsforanstaltninger. Den vil ikke blive filtreret ud som spam, fordi det er en legitim e-mailadresse. De fleste moderne e-mailklientapps viser ikke metadata. Derfor er spoofing af navne meget effektivt på grund af udbredelsen af smartphone-e-mail-apps. Ofte har de kun plads til afsenderens navn.
Spoofing via legitime domæner
Ofte vil cyberkriminelle gerne fremstå som en meget troværdig afsender med høj autoritet. Det kan de opnå ved at spoofe legitime domæner fra velkendte virksomheder. I de tilfælde vil både afsendernavnet og e-mail-adressen være falske.
Det er ikke nødvendigt at hacke sig ind i virksomheders interne netværk eller kapre deres e-mail-konti. Hackere kan anvende kompromitterede "Simple Mail Transfer Protocol" (SMTP)-servere, der tillader brug uden godkendelse og giver hackerne mulighed for manuelt at angive "Til"- og "Fra"-adresser. Desuden kan hackerne også selv opsætte en ondsindet SMTP-server.
Dette kan bruges til alvorlige cyberangreb, fordi mange virksomheds-e-mail-domæner ikke bruger nogen modforanstaltninger til verifikation.
Spoofing via lookalike-domæner
Nogle domæner er meget godt beskyttet, og i de tilfælde er domæne-spoofing ikke muligt. Hvis en cyberkriminel ønsker at anvende et domæne, kan vedkommende oprette et lookalike-domæne. Ved denne type spoofing registrerer og bruger hackeren et domæne, der ligner det efterlignede domæne, f.eks. "@faceb00k.com" i stedet for "@facebook.com". Denne ændring kan være minimal nok til ikke at blive bemærket af en uopmærksom bruger.
Ved at bruge et meget lignende domæne, som også omgår spamfilteret, kan det være nok til at overbevise en bruger om at afsløre deres kodeord, overføre penge eller sende nogle følsomme filer.
Udvikling af e-mail-spoofing
På grund af den måde, e-mail-protokoller fungerer på, har e-mail-spoofing været et problem siden 1970'erne. Det startede med spammere, der brugte det til at komme uden om e-mailfiltre. Problemet blev mere almindeligt i 1990'erne og voksede derefter til et globalt cybersikkerhedsproblem i 2000'erne.
Sikkerhedsprotokoller blev introduceret i 2014 for at hjælpe med at bekæmpe e-mail-spoofing og phishing. På grund af disse protokoller bliver mange forfalskede e-mail-beskeder nu sendt til brugeres spambokse eller afvist og aldrig sendt til modtagerens indbakker.
Hvorfor skabe falske e-mail-adresser?
Ud over phishing bruger cyberkriminelle falske beskeder af følgende årsager:
-
Til at skjule den falske afsenderes rigtige identitet
-
Til at omgå spamfiltre og blokeringslister. Brugere kan minimere denne trussel ved at blokere internetudbydere (ISP'er) og Internet Protocol (IP)-adresser
-
Til at begå identitetstyveri ved at efterligne en person og anmode om personligt identificerbare oplysninger
-
Til at skade afsenderens omdømme
-
Til at udføre et man-in-the-middle-angreb (MitM) for at skaffe følsomme data fra enkeltpersoner og organisationer
-
Til at få adgang til følsomme data indsamlet af tredjepartsleverandører
Hvordan virker e-mail-spoofing?
Målet med e-mail-spoofing er at narre brugere til at tro, at e-mailen er fra en, de kender eller kan stole på – i de fleste tilfælde kollegaer, leverandører eller offentlige myndigheder. Ved at udnytte denne tillid beder hackerne modtageren om at videregive følsomme oplysninger eller foretage andre handlinger.
Som et eksempel på e-mail-spoofing kan en hacker oprette en e-mail, der ser ud som om, at den kommer fra Danske Bank. Meddelelsen fortæller brugeren, at deres konto vil blive suspenderet, hvis de ikke klikker på et link, godkender noget på hjemmesiden eller ændrer kontoens adgangskode. Hvis brugeren indtaster legitimationsoplysninger, har den kriminelle nu legitimationsoplysningerne til brugerens bankkonto, hvilket kan bruges til at stjæle penge fra brugeren.
Mere komplekse angreb retter sig mod medarbejdere, der arbejder med IT eller finans og bruger social engineering til at narre en bruger til at sende (potentielt) millioner til en kriminels bankkonto.
For brugeren ser en forfalsket e-mail-besked legitim ud, og vedkommende vil derfor åbne e-mailen. Mange hackere vil bruge elementer fra det officielle websted for at gøre meddelelsen mere troværdig.
Hvordan kan man genkende forfalskede e-mails?
Hvis en forfalsket e-mail ikke ser ud til at være mistænkelig for brugerne, vil den sandsynligvis forblive uopdaget. Men hvis brugere fornemmer, at der er noget galt, kan de åbne og inspicere e-mail-kildekoden. Her kan modtagerne finde e-mailens oprindelige IP-adresse og spore den tilbage til den rigtige afsender.
Brugere kan også bekræfte, om en mail har bestået en "Sender Policy Framework"-kontrol (SPF). SPF er en godkendelsesprotokol inkluderet i mange e-mailplatforme og e-mailsikkerhedsprodukter. Afhængigt af brugernes e-mail-opsætning kan beskeder, der er klassificeret som "soft fail", stadig ende i deres indbakke. Et soft fail-resultat kan ofte pege på en illegitim afsender.
Sådan beskytter du dig selv mod e-mail-spoofing
Det er i princippet umuligt at stoppe e-mail-spoofing, fordi "Simple Mail Transfer Protocol", som er grundlaget for at sende e-mails, ikke kræver nogen godkendelse. Der findes nogle modforanstaltninger udviklet for at afværge e-mail-spoofing, men det er ikke sikkert, at din e-mail-klient har implementeret dem.
Sikkerhedsforanstaltninger, som en del e-mail-klienter bruger, er:
-
Sender Policy Framework (SPF)
-
DomainKeys Identified Mail (DKIM)
-
Domænebaseret meddelelsesgodkendelse
-
Rapportering og overensstemmelse (DMARC)
-
Sikker/Multipurpose Internet Mail Extensions (S/MIME).
Disse værktøjer fungerer automatisk, og når de bruges effektivt, registrerer de straks forfalskede meddelelser som spam.
Som almindelig bruger kan du stoppe e-mail-spoofing ved at vælge en sikker e-mail-udbyder og praktisere god it-sikkerhed:
-
Brug engangskonti når du registrerer dig på hjemmesider. På den måde vises din private e-mail-adresse ikke, hvis hjemmesiden bliver hacket. Hackere kan få adgang til mange e-mail-adresser ved at hacke hjemmesider og sende forfalskede e-mails ud i massevis.
-
Sørg for at din kode til din mail er stærk og kompleks. På den måde bliver det sværere for cyberkriminelle at hacke din konto og bruge din e-mail til at narre personer, der kender dig.
-
Den bedste metode at beskytte dig selv er at undersøge de e-mails, du modtager, især når nogen beder dig om at klikke på et link eller downloade en vedhæftet fil. Forfalskede e-mails lavet af professionelle hackere kan være næsten identiske med de ægte, så vær altid opmærksom.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer