Har du noen gang opplevd å åpne innboksen din og finne en e-post som tilsynelatende kommer fra din egen adresse, men som viser seg å være spam eller utpressing? Du er ikke den eneste. Dette fenomenet, kjent som e-postforfalskning, er dessverre noe du har begrenset mulighet til å kontrollere.
Hvordan svindlere manipulerer avsenderadressen din
E-postforfalskning innebærer å endre avsenderadressen slik at meldingen ser ut til å komme fra en annen person. Slik manipulasjon benyttes gjerne for å narre mottakeren til å tro at e-posten stammer fra en betrodd kilde, for eksempel en bekjent, et firma, eller en finansiell institusjon.
Beklageligvis er forfalskning av e-post enkelt å utføre. E-postsystemer mangler ofte en tilstrekkelig sikkerhetssjekk som verifiserer at avsenderadressen i «Fra»-feltet faktisk tilhører den som sender e-posten. Dette er sammenlignbart med en konvolutt i posten, hvor du kan skrive hva du vil i returadressen uten at postkontoret kan bekrefte adressens autentisitet eller returnere brevet. Systemet mangler evnen til å bekrefte om du faktisk bor på den angitte adressen.
E-postforfalskning fungerer etter samme prinsipp. Selv om enkelte tjenester, som Outlook.com, foretar en sjekk av avsenderadressen for å forhindre forfalskning, finnes det verktøy som tillater manipulering av «Fra»-feltet. Dette kan gjøres ved å sette opp en egen e-postserver (SMTP). Svindlere trenger kun din e-postadresse, som de sannsynligvis har skaffet seg gjennom datainnbrudd.
Hvorfor misbruker svindlere din adresse?
Svindlere sender deg e-poster som ser ut til å være sendt fra din egen adresse hovedsakelig av to grunner. For det første håper de å omgå dine spamfiltre. E-poster sendt fra din egen adresse kan virke mer troverdige, og spamfiltre kan overse dem. Dette skyldes at e-poster fra din egen adresse ofte anses som viktige og mindre sannsynlig spam. Det finnes metoder for å identifisere e-poster som kommer fra et annet domene enn det som angis, men dessverre benytter ikke alle e-postleverandører seg av dem.
Den andre grunnen er å skape en følelse av autentisitet. Det er ikke uvanlig at falske e-poster hevder at kontoen din er kompromittert, og at avsenderen har bevis for dette, inkludert passord eller telefonnummer fra datainnbrudd. Ved å vise at «du har sendt denne e-posten til deg selv», forsøker svindleren å fremstå som troverdig.
Svindlerne truer ofte med å offentliggjøre sensitiv informasjon eller bilder fra webkameraet ditt, med mindre du betaler løsepenger. Dette virker kanskje overbevisende fordi det ser ut til at de har tilgang til e-postkontoen din, men dette er bare et bedrag. Svindleren manipulerer bevisene.
Tiltak e-posttjenester iverksetter for å bekjempe problemet
Denne e-posten så ut til å stamme fra vår personlige adresse, men en analyse av overskriften avslører et enkelt knep for å endre avsenderinformasjonen.
Problemet med lett forfalskning av avsenderadresser er ikke nytt, og e-postleverandører forsøker å redusere spam med diverse verktøy.
Det første tiltaket var Sender Policy Framework (SPF), som fungerer basert på et grunnleggende prinsipp. Hvert e-postdomene har DNS-poster (Domain Name System), som dirigerer trafikk til riktig server eller datamaskin. En SPF-post er knyttet til DNS-posten. Når du sender en e-post, sjekker mottakstjenesten om det oppgitte domenet (@gmail.com) stemmer overens med avsender-IP og SPF-posten. E-poster fra Gmail skal dermed også stamme fra en Gmail-kontrollert enhet.
Dessverre løser ikke SPF problemet alene. SPF-poster må vedlikeholdes korrekt på alle domener, noe som ikke alltid skjer. Det er også lett for svindlere å omgå SPF. Når du mottar en e-post, ser du kanskje bare et navn istedenfor en e-postadresse. Svindlere kan bruke en e-postadresse som navn, og en annen som avsenderadresse, som samsvarer med en SPF-post. Dette gjør at e-posten fremstår som legitim, selv for SPF.
Bedrifter må også vurdere hvordan de skal håndtere SPF-resultater. Ofte velger de å la e-poster passere fremfor å risikere at en viktig melding ikke når frem. SPF gir kun resultatet av en sjekk, men spesifiserer ikke handlingene som skal foretas.
For å løse disse utfordringene ble Domain-based Message Authentication, Reporting, and Conformance (DMARC) introdusert av Microsoft, Google og andre. DMARC samarbeider med SPF for å lage regler om håndtering av e-poster som mistenkes for å være spam. DMARC verifiserer først SPF-resultatet. Hvis SPF mislykkes, blokkeres meldingen med mindre annet er spesifisert. Selv om en SPF-sjekk er vellykket, sørger DMARC for at adressen i «Fra»-feltet samsvarer med domenet e-posten faktisk kommer fra.
Til tross for støtte fra store aktører som Microsoft, Facebook og Google, er DMARC ikke utbredt. Hvis du har en Outlook.com- eller Gmail.com-adresse, nyter du trolig godt av DMARC. Men mot slutten av 2017 hadde kun 39 av de 500 største selskapene i verden implementert DMARC.
Hva kan du gjøre med selvadressert spam?
E-posten ovenfor så ut til å være sendt fra vår egen e-postadresse, men heldigvis havnet den rett i søppelpostmappen.
Det finnes dessverre ingen måte å forhindre svindlere i å forfalske adressen din. Forhåpentligvis bruker ditt e-postsystem både SPF og DMARC, slik at du slipper å se disse e-postene. De bør i så fall havne direkte i spamfilteret. Hvis din e-postkonto gir deg kontroll over spaminnstillinger, kan du justere dem til å være strengere. Vær oppmerksom på at dette kan medføre at noen legitime meldinger feilaktig havner i søppelpost, så sørg for å sjekke spam-mappen jevnlig.
Hvis du mottar en forfalsket melding fra din egen adresse, bør du ignorere den. Ikke klikk på vedlegg eller lenker og betal aldri løsepenger. Merk den som spam eller phishing, eller slett den. Hvis du frykter at dine kontoer er kompromittert, bør du låse dem for sikkerhets skyld. Hvis du gjenbruker passord, tilbakestill dem på alle tjenestene som deler samme passord og lag unike, sterke passord for hver tjeneste. For å håndtere mange passord, anbefales en passordbehandler.
Hvis du er bekymret for å motta falske e-poster fra dine kontakter, kan det være fornuftig å lære deg å tolke e-postoverskrifter.