Email spoofing este una dintre metodele principale folosite de hackeri într-un atac de tip social engineering, pentru a compromite și fura datele personale ale victimei.
Această metodă presupune trimiterea de către atacator a unui email victimei, folosind un server de mail privat. Email-ul deși este unul fake, este conceput să pară cât se poate de real și să nu ofere nicio bănuială victimei. În plus, atacatorul va alege ca adresă de expediție o adresă cunoscută de către ținta sa, tocmai pentru a nu lăsa loc de ezitare în deschiderea mesajului. Așadar, victima va considera că a primit un email real (legit) și nu va ezita să urmeze instrucțiunile din mesaj (click pe diverse linkuri, deschiderea atașamentelor etc.). Acestea din urmă provocându-i compromiterea datelor personale sau integritatea computerului.
Acum că știm ce este email spoofing-ul, să vedem cum putem verifica autenticitatea mesajelor primite pe adresele noastre de email. În primul rând trebuie știut faptul că, dacă un mail este perfect din punct de vedere al replicării unui mesaj real, există o singură metodă de a verifica adresa reală de expediție.
Pentru a afla adresa reală de expediție a mesajului trebuie să verificați header-ul din email. Pentru fiecare serviciu de email (Outlook, Gmail, Yahoo etc.) acest lucru se realizează diferit.
Pentru a vizualiza header-ul într-un email folosind Gmail, urmăriți pașii de mai jos.
1) Deschidem emailul suspect pe care vrem să-l verificăm.
2) În colțul din dreapta sus, avem lângă butonul de Reply, o săgeată cu mai multe opțiuni. Alegem opțiunea “Show original”.
3) O să se deschidă o nouă pagină, care conține toate informațiile despre emailul primit. Ne uităm după linia de tipul următor:
Received: from adresă.server (adresă.server. [adresă IP])
Aici, adresă.server, ne oferă adresa reală de proveniență a mesajului primit.
Aveți mai jos un exemplu de email fake, trimis cu o adresă a companiei Adobe pentru a păcăli victimele, făcându-le să creadă că este necesar un update pentru programul Adobe Acrobat Reader.
După cum se poate observa din header, adresa “mta811.email.childrensplace.com” nu are nicio treabă cu compania Adobe și provine de pe un server web stăin (childrensplace.com).
