Pole "Return-Path"
Kluczowy parametr wskazujący faktyczny adres zwrotny serwera. W atakach phishingowych często różni się od widocznego pola "Od", co jest pierwszym sygnałem manipulacji.
Standardy Bankowe
Techniczne procedury sprawdzania autentyczności korespondencji elektronicznej. Dowiedz się, jak identyfikować wektory ataków phishingowych w nagłówkach i załącznikach.
Kluczowy parametr wskazujący faktyczny adres zwrotny serwera. W atakach phishingowych często różni się od widocznego pola "Od", co jest pierwszym sygnałem manipulacji.
Standardy BankoweSprawdzenie adresu IP nadawcy w nagłówku "Received". Pozwala ustalić, czy wiadomość przeszła przez autoryzowane węzły komunikacyjne instytucji finansowej.
Słownik TechnicznyIdentyfikacja oprogramowania użytego do wysyłki. Masowe kampanie phishingowe często korzystają ze skryptów PHP lub nietypowych klientów pocztowych.
Procedury ReagowaniaWedług najnowszych raportów bezpieczeństwa, ponad 85% udanych ataków typu "Business Email Compromise" wynika z błędnej konfiguracji rekordów SPF. Sender Policy Framework (SPF) definiuje listę serwerów uprawnionych do wysyłania poczty w imieniu danej domeny. Brak zgodności adresu IP z rekordem SPF powinien skutkować natychmiastowym odrzuceniem wiadomości przez serwer odbiorczy.
DKIM (DomainKeys Identified Mail) dodaje cyfrowy podpis do wiadomości, co gwarantuje, że treść nie została zmodyfikowana w trakcie przesyłu. Weryfikacja klucza publicznego zapisanego w DNS domeny pozwala na potwierdzenie integralności danych. Jeśli podpis jest nieprawidłowy, istnieje wysokie prawdopodobieństwo ingerencji osób trzecich w strukturę maila.
DMARC integruje oba powyższe mechanizmy, określając instrukcje dla serwera odbiorczego w przypadku negatywnej weryfikacji. Wdrażanie polityki "reject" jest obecnie standardem w sektorze bankowym, co znacząco utrudnia podszywanie się pod oficjalne komunikaty. Monitorowanie raportów DMARC pozwala administratorom na szybką identyfikację prób nadużyć.
Źródło: Raport Bezpieczeństwa Cyfrowego 2024, Sekcja Infrastruktury Poczty.
Ataków zaczyna się od e-maila
Średni czas analizy nagłówka
Częstą praktyką jest stosowanie nazw typu "faktura.pdf.exe". Systemy operacyjne domyślnie ukrywają znane rozszerzenia, co prowadzi do uruchomienia złośliwego kodu przez nieświadomego użytkownika.
Pliki .docm lub .xlsm mogą zawierać skrypty VBA pobierające malware typu Trojan. Banki nigdy nie przesyłają dokumentów wymagających włączenia makr do poprawnego wyświetlenia treści.
Weryfikacja sumy kontrolnej załącznika w bazach zagrożeń pozwala na natychmiastowe wykrycie znanych próbek ransomware, nawet jeśli nazwa pliku została zmieniona.
Prawidłowa weryfikacja techniczna wiadomości to pierwsza linia obrony przed utratą środków finansowych. Skorzystaj z naszych zasobów, aby podnieść poziom bezpieczeństwa.