你是否曾经打开一封电子邮件,却发现它似乎是来自你自己的电子邮件地址的垃圾邮件或勒索?你不是一个人。伪造电子邮件地址被称为欺骗,不幸的是,你对此无能为力。
垃圾邮件发送者如何欺骗您的电子邮件地址
欺骗是伪造电子邮件地址的行为,这样看起来就像是来自发送者以外的人。通常,欺骗被用来欺骗你,让你认为电子邮件来自你认识的人,或者你的同事,比如银行或其他金融服务机构。
不幸的是,电子邮件欺骗非常容易。电子邮件系统通常没有安全检查,以确保您在“发件人”栏中键入的电子邮件地址确实属于您。它很像你放在邮件里的信封。如果你不介意邮局不能把信退还给你,你可以在回邮地址处写任何你想写的东西。邮局也无法知道你是否真的住在你写在信封上的回邮地址。
电子邮件伪造的工作原理类似。一些在线服务,如Outlook.com,在你发送电子邮件时会注意发件人地址,可能会阻止你发送带有伪造地址的电子邮件。但是,有些工具可以让您填写任何您想要的内容。这就像创建您自己的电子邮件(SMTP)服务器一样简单。诈骗者需要的只是你的地址,他们很可能会从众多数据泄露中的一个那里买到。
为什么骗子要欺骗你的地址?
一般来说,诈骗者给你发送的电子邮件似乎来自你的地址,原因有两个。第一个是希望他们绕过您的垃圾邮件保护。如果你给自己发了一封电子邮件,你很可能会试图记住一些重要的事情,而不会希望那封邮件被贴上垃圾邮件的标签。因此,诈骗者希望通过使用你的地址,你的垃圾邮件过滤器不会注意到他们的邮件,他们的邮件就会通过。确实有一些工具可以识别从某个域发送的电子邮件,而不是它声称的来源域,但你的电子邮件提供商必须实现这些工具-不幸的是,许多工具并没有实现这些工具。
诈骗者欺骗你的电子邮件地址的第二个原因是为了获得正当感。一封伪造的电子邮件声称你的账户被攻破了,这并不少见。“你给自己发了这封电子邮件”就是“黑客”访问的证据。它们还可能包括从被入侵的数据库中提取的密码或电话号码,作为进一步的证据。
然后,诈骗者通常声称有关于你的泄露信息或从你的网络摄像头拍摄的照片。然后,他威胁说,除非你支付赎金,否则将把数据公布给你最亲密的联系人。乍一听,这听起来很可信;毕竟,他们似乎可以访问您的电子邮件帐户。但这才是重点--诈骗艺术家在伪造证据。
电子邮件服务如何解决该问题
事实上,任何人都可以如此容易地伪造回执电子邮件地址,这并不是一个新问题。而且电子邮件提供商不想用垃圾邮件来烦扰您,所以开发了一些工具来解决这个问题。
第一个是安全发件人策略框架(SPF),它遵循一些基本原则。每个电子邮件域都附带一组域名系统(DNS)记录,用于将流量定向到正确的托管服务器或计算机。SPF记录与DNS记录配合使用。当您发送电子邮件时,接收服务会将您提供的域地址(@gmail.com)与您的源IP和SPF记录进行比较,以确保它们匹配。如果你从Gmail地址发送电子邮件,该电子邮件还应该显示它来自Gmail控制的设备。
不幸的是,仅有SPF并不能解决问题。有人需要在每个域中正确维护SPF记录,这并不总是发生。诈骗者也很容易绕过这个问题。当您收到电子邮件时,您可能只看到名称而不是电子邮件地址。垃圾邮件发送者填写一个电子邮件地址作为实际姓名,另一个填写与SPF记录匹配的发送地址。因此,您不会将其视为垃圾邮件,SPF也不会。
公司还必须决定如何处理SPF结果。大多数情况下,他们满足于让电子邮件通过,而不是冒着系统无法传递关键信息的风险。SPF没有一套关于如何处理信息的规则;它只提供检查结果。
为了解决这些问题,Microsoft、Google和其他公司引入了基于域的消息身份验证、报告和一致性(DMARC)验证系统。它与SPF一起创建规则,规定如何处理标记为潜在垃圾邮件的电子邮件。DMARC首先检查SPF扫描。如果失败,它将阻止消息通过,除非管理员另行配置。即使SPF通过,DMARC也会检查“From:”字段中显示的电子邮件地址是否与电子邮件来自的域匹配(这称为对齐)。
不幸的是,即使有微软、Facebook和谷歌的支持,DMARC仍然没有得到广泛应用。如果你有一个Outlook.com或gmail.com地址,你很可能会从DMARC中受益。然而,截至2017年底,财富500强公司中只有39家实施了验证服务。
您可以对自寻址垃圾邮件做些什么
不幸的是,没有办法阻止垃圾邮件发送者欺骗您的地址。希望您使用的电子邮件系统同时实现SPF和DMARC,并且您不会看到这些目标电子邮件。他们应该直接去吃垃圾邮件。如果您的电子邮件帐户允许您控制其垃圾邮件选项,您可以将其设置得更严格。请注意,您可能还会丢失一些合法邮件,因此一定要经常检查您的垃圾邮件框。
如果您确实收到了来自您自己的欺骗消息,请忽略它。不要点击任何附件或链接,也不要支付任何索要的赎金。只需将其标记为垃圾邮件或网络钓鱼,或将其删除。如果您担心您的帐户已被泄露,请为安全起见将其锁定。如果重复使用密码,请在共享当前密码的每个服务上重置密码,并为每个服务提供一个新的、唯一的密码。如果您不相信您的记忆中有这么多密码,我们建议您使用密码管理器。
如果你担心收到来自联系人的欺骗性电子邮件,可能也值得你花时间学习如何阅读电子邮件标题。