วิธีระบุการปลอมแปลงอีเมล

ในบทความนี้ เราจะหารือเกี่ยวกับวิธีระบุการปลอมแปลงอีเมล การปลอมแปลงเป็นรูปแบบหนึ่งของการแอบอ้างบุคคลอื่นที่สแกมเมอร์ส่งอีเมลพร้อมที่อยู่ผู้ส่งปลอม เพื่อให้ผู้รับคิดว่าอีเมลนั้นมาจากบุคคลอื่นที่ไม่ใช่ผู้ส่งจริง สแกมเมอร์จะใช้การปลอมแปลงอีเมลเพื่อทำให้ดูเหมือนว่าพวกเขาเป็นหัวหน้า อาจารย์ หรือองค์กรทางการเงินเพื่อให้ผู้ใช้ทำบางสิ่ง

สแกมเมอร์ใช้กลอุบายนี้เพราะพวกเขารู้ว่าผู้คนมีแนวโน้มที่จะ เพื่อให้ความสนใจกับเนื้อหาของอีเมลหากพวกเขารู้ว่าใครเป็นคนส่ง การปลอมแปลงอีเมลเป็นการโจมตีทางไซเบอร์ประเภทหนึ่งที่แฮ็กเกอร์ส่งอีเมลปลอมที่ดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ การปลอมแปลงอีเมลมักใช้ในแคมเปญฟิชชิงและสแปม เนื่องจากผู้คนมีแนวโน้มที่จะเปิดอีเมลจากผู้ส่งที่รู้จัก

เป้าหมายของการปลอมแปลงอีเมลคือการทำให้ผู้คนเปิดอ่านข้อความหรือตอบกลับ การปลอมแปลงอีเมลเป็นปัญหามาตั้งแต่ปี 1970 เนื่องจากวิธีการทำงานของโปรโตคอลอีเมล ในตอนแรก นักส่งสแปมใช้โปรแกรมนี้เพื่อหลีกเลี่ยงตัวกรองอีเมล ในช่วงทศวรรษที่ 1990 ปัญหานี้พบได้บ่อยมากขึ้น และในปี 2000 ปัญหานี้กลายเป็นปัญหาด้านความปลอดภัยในโลกไซเบอร์ทั่วโลก

วิธีระบุการปลอมแปลงอีเมล

ชื่อผู้ส่งที่แสดงไม่ ไม่ตรงกับที่อยู่อีเมล ข้อมูลในลายเซ็นอีเมล เช่น หมายเลขโทรศัพท์ ไม่ตรงกับสิ่งที่ทราบเกี่ยวกับผู้ส่ง (เช่น ที่อยู่ของผู้ส่ง ในแคลิฟอร์เนีย แต่หมายเลขโทรศัพท์ในไฟล์ sig มีรหัสพื้นที่ของรัฐแมสซาชูเซตส์) ตรวจสอบส่วนหัวของอีเมลสำหรับบรรทัด รับแล้ว ควรตรงกับที่อยู่อีเมลที่ แสดงในอีเมล ตรวจสอบส่วนหัวของอีเมลสำหรับ RECEIVED-SPF มันควรจะบอกว่าผ่าน หากมีข้อความว่า Fail หรือ Softfail อีเมลอาจถูกปลอมแปลง ถ้าองค์กรกำลังใช้ DKIM และ DMARC ผลลัพธ์การตรวจสอบสิทธิ์จะแสดงว่าอีเมลผ่านข้อกำหนดเหล่านั้นหรือไม่ โปรโตคอล

เหตุผลในการปลอมแปลงอีเมล

การปลอมแปลงอีเมลจะดำเนินการด้วยเหตุผลง่ายๆ ที่เข้าใจได้ง่าย ส่วนใหญ่อาชญากรต้องการทำสิ่งที่ไม่ดี เช่น ขโมยข้อมูลส่วนตัวของบริษัท ต่อไปนี้คือสาเหตุที่พบบ่อยที่สุดที่ผู้คนทำสิ่งที่ไม่ดีเหล่านี้:

ฟิชชิง การปลอมแปลงอีเมลมักเป็นวิธีการเริ่มต้นฟิชชิง วิธีหนึ่งในการทำให้ใครบางคนคลิกลิงก์อันตรายหรือให้ข้อมูลที่ละเอียดอ่อนคือการแสร้งเป็นคนที่พวกเขารู้จัก การโจรกรรมข้อมูลประจำตัว การแสร้งทำเป็นคนอื่นสามารถช่วยอาชญากรรวบรวมข้อมูลเกี่ยวกับเหยื่อได้มากขึ้น (เช่น โดยการขอข้อมูลที่เป็นความลับจากสถาบันการเงินหรือสถานพยาบาล) การหลีกเลี่ยงตัวกรองสแปม การสลับระหว่างที่อยู่อีเมลบ่อยๆ ช่วยให้นักส่งสแปมหลีกเลี่ยงการถูกหลีกเลี่ยงได้ ไม่เปิดเผยตัวตน ในบางครั้ง ที่อยู่อีเมลปลอมถูกใช้เพื่อซ่อนตัวตนที่แท้จริงของผู้ส่ง

คำถามที่พบบ่อย

การปลอมแปลงอีเมลทำงานอย่างไร

การโจมตีด้วยการปลอมแปลงอีเมลจะทำกับเซิร์ฟเวอร์ SMTP และแพลตฟอร์มอีเมล เช่น Outlook, Gmail เป็นต้น สแกมเมอร์เปลี่ยน FROM ช่อง REPLY-TO และ RETURN-PATH ในส่วนหัวของข้อความ

เนื่องจากอีเมลมีการเปลี่ยนแปลง จึงเป็นไปได้ ช่อง TO, FROM และ BCC อยู่ในส่วนหัวของข้อความ ซึ่งแยกจากเนื้อหาข้อความ เนื่องจากการรักษาความปลอดภัยไม่ได้สร้างขึ้นใน SMTP เมื่อสร้างขึ้น จึงไม่สามารถตรวจสอบได้ว่าที่อยู่นั้นเป็นที่อยู่จริงหรือไม่

สามารถตรวจจับการปลอมแปลงอีเมลได้หรือไม่

การตรวจจับข้อความปลอมใช้เพื่อ กรองข้อความขาเข้าที่มีการปลอมแปลงที่อยู่ของผู้ส่ง บริการสามารถค้นหาข้อความที่อ้างว่ามาจากโดเมนภายในหรือภายนอก ข้อความที่ปลอมแปลงโดเมนภายในมาจากที่อยู่ปลอมซึ่งทำให้ดูเหมือนว่ามาจากคนในบริษัทของคุณ

การปลอมแปลงอีเมลคืออะไรและระบุได้อย่างไร

การปลอมแปลงอีเมลคือ ประเภทของการโจมตีทางไซเบอร์ที่มีการส่งอีเมลที่มีที่อยู่ผู้ส่งปลอมไปยังธุรกิจต่างๆ เนื่องจากผู้ส่งที่ถูกกล่าวหาเป็นคนที่ผู้รับไว้วางใจ จึงมีแนวโน้มที่จะเปิดอีเมลและทำบางอย่างกับเนื้อหาในอีเมล เช่น คลิกลิงก์หรือไฟล์แนบที่เป็นอันตราย

ที่อยู่อีเมลปลอมมีลักษณะอย่างไร

หากอีเมลปลอม ข้อมูลในช่องที่ได้รับจะไม่ตรงกับที่อยู่อีเมล ตัวอย่างเช่น ที่อยู่ Gmail จริงจะมีข้อความว่า “ได้รับจาก’google.com: โดเมนของ’” ตามด้วยที่อยู่อีเมลในช่องที่ได้รับ