Falsificarea e-mailurilor. Cum identifici un email fals

Email spoofing-ul (simularea poștei electronice) reprezintă un mod de operare utilizat frecvent în atacurile de phishing și alte tipuri de fraude online. Această metodă implică falsificarea adresei de expeditor a unui email pentru a părea că provine dintr-o sursă de încredere – bancă, furnizor de servicii, instituție publică, cunoștință etc. Prin urmare, identificarea email spoofing-ului este importantă pentru a ne proteja împotriva acestor atacuri. În acest ghid, vom explora metodele prin care puteți identifica în ce măsură sunteți ținta unui astfel de atac informatic.

Am dezvoltat un instrument de verificare a email spoofing-ului pe care îl puteți accesa aici. Acest instrument vă permite să introduceți headerul unui e-mail și să verificați instantaneu dacă există suspiciuni de spoofing.

Examinarea atentă a adresei expeditorului

Prima și cea mai simplă înțelegere de a depistare a email spoofing-ului este examinarea atentă a adreselor expeditorului. Atacătorii folosesc de cele mai multe ori adrese care prin legitime la prima vedere, dar care în realitate diferă subtil. Iată câteva exemple relevante pentru România:

• suport@bcr-r0.ro în loc de suport@bcr.ro
• info@ing-romania.com în loc de info@ing.ro
• contact@bt-online.ro în loc de contact@btrl.ro
• suport@emag-online.ro în loc de suport@emag.ro
• info@olx-romania.com în loc de info@olx.ro
• contact@dedeman-shop.ro în loc de contact@dedeman.ro
• suport@vodafone-ro.com în loc de suport@vodafone.ro
• info@orange-romania.ro în loc de info@orange.ro
• contact@telekom-ro.com în loc de contact@telekom.ro

Ori de câte ori primiți un email ce pare a fi de la o companie sau instituție publică cunoscută, verificarea autenticității adresei expeditorului. Pentru aceasta:

1. Accesați site-ul web oficial al organizației respective. Trebuie să vă verificați cu atenție pagina web accesată, pentru a nu interacționa cu o pagină web contrafăcută (clonată).
2. Navigați la secțiunea de contact sau suport.
3. Comparați adresa de email afișată pe site-ul cu cea din emailul primit.
4. Asigurați-vă că domeniul (partea de după @) corespunde exact cu cel oficial.

Această practică vă ajută să identificați rapid tentative de email spoofing, oferindu-vă sigură de a confirma legitimitatea corespondenței primite. Dacă observați discrepanța, tratați emailul cu suspiciune și contactați direct compania sau instituția publică pentru detaliile paginii lor web.

Fiți de atenți la următoarea tactică, precum și de atacatori:

Substituirea caracterelor sau adăugarea de cuvinte suplimentare:

• Folosirea cifrei “0” în loc de litera “o” (exemplu: v0dafone.ro)
• Înlocuirea literei “i” cu “1” (exemplu: d1gi.ro)
• Utilizarea caracterului “rn” pentru a imita “m” (exemplu: romtelecorn.ro)
• “-online”, “-shop”, “-romania” adăugate la numele domeniului legitim

Modificarea extensiei domeniului:

• Folosirea .com în loc de .ro sau invers
• Utilizarea extensiilor mai puțin comune precum .org, .net, .io sau .info

Greșeli intenționate de ortografie:

• “bancpost” scris ca “banckpost”
• “transilvania” a scris ca “translivania”

Subdomenii înșelătoare sau inversarea ordinii cuvintelor:

• emag.domeniu-fals.ro în loc de emag.ro
• anaf.gov.impozite.ro în loc de anaf.ro
• info@romana-posta.ro în loc de info@posta-romana.ro

Pentru a vă proteja, este esențial să verificați cu atenție fiecare parte a adreselor de email, inclusiv numele utilizatorului (partea dinaintea @) și domeniul (partea de după @). Dacă aveți dubii, nu sunteți să contactați direct instituția sau compania respectivă informațiile de contact oficiale de pe pagina lor web.

Analiza antetului emailului

Headerele emailului conțin informații detaliate despre traseul mesajului și pot oferi indicii importante despre autenticitatea sa. Pentru a vizualiza headerele complete:

• În Gmail: deschideți emailul și selectați “Afișare original” din meniul cu trei puncte (vezi detalii aici).
• În Outlook web: deschideți emailul și selectați “Vizualizare mesaj” apăsând pe cele trei puncte din partea de sus.
• În Outlook desktop: deschideți emailul, selectați fila “Fișier”, apoi “Proprietăți” și veți vedea headerele în secțiunea “Internet Headers”.
• În Yahoo mail: deschideți emailul și selectați “vizualizare sursă vrută” apăsând pe cele trei puncte din colțul din dreapta.

Căutați inconsistențe între câmpurile “From:”, “Return-Path:” și “Received:”. Într-un email legitim, aceste informații ar trebui să fie coerente. Dacă nu știți cum să citiți headerul unui e-mail, puteți să dați copy-paste conținutul în MX Toolbox.

Verificarea autentificării emailului

E-mailurile autentice folosesc adesea protocoale de autentificare precum SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) și DMARC (Domain-based Message Authentication, Reporting and Conformance). Verificați dacă aceste protocoale sunt prezente și valide în headerele emailului.

Utilizarea instrumentelor online de analiză

Există diverse instrumente online care pot ajuta la analiza emailurilor suspecte:

• MXToolbox: Oferă o serie de instrumente pentru analiza headerelor de email.
• Scor de calitate IP: Poate verifica adresele IP și domeniile pentru a detecta potențiala surse de spam sau phishing.
• Analizator de anteturi de e-mail: Instrument dezvoltat de Google pentru analiza headerelor de email.

Verificarea conținutului și contextului

Pe lângă aspectele tehnice, analizați conținutul și contextul emailului:

• Există erori gramaticale sau de ortografie neobișnuite? Trebuie totuși ținut cont că atacatorii folosesc în prezent inteligență artificială pentru a genera conținut care corespund normelor gramaticale. 
• Emailul creează un sentiment de urgență nejustificat? Emailurile de phishing creează adesea un sentiment de urgență nejustificat, cerându-vă să acționați imediat.
• Vi se cere să furnizați informații sensibile sau să faceți clic pe linkuri suspecte? Instituțiile legitime nu solicită să prin email date confidențiale precum parole, PIN-uri sau informații complete despre carduri. De asemenea, verificați întotdeauna adresa URL-urile înainte de a face clic, plasând cursorul peste link pentru a vedea reală – utilizați servicii precum VirusTotal pentru a verifica linkuri suspecte.

Implementarea soluțiilor de securitate email

Pentru o protecție mai robustă, considerați implementarea unor soluții de securitate e-mail precum:

• Filtru anti-spam avansat
• Soluții de securitate email bazate pe cloud
• Sisteme de prevenire a pierderii de date (DLP)

Implicații legale

În România, conduita tip email spoofing poate constitui infracțiunea de fals informatic, prevăzută la articolul 325 din Codul Penal:

Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date ne-a compromite adevărul, în scopul de a fi găsit în vederea producerii unei consecințe juridice, a constituie infracțiunea și se pedepsește cu închisoarea uneia 5 ani.

Este important de menționat, potrivit Deciziei nr. 4/2021 a Înaltei Curți de Casație și Justiție, crearea de conturi false pe rețelele de socializare un furt de identitate ce intra sub incidenta falsului informatic. Această decizie obligatorie poate fi extinsă și asupra email spoofing-ului.