Spam udnytter hvidlister

Artiklen blev oprindeligt publiceret den 6/2/2014

Spam-mails kan slippe igennem spamfiltre ved at angive, at de kommer fra firmaer på hvidlister.

Sikkerhedsfirmaet Trustwave har observeret teknikken ved en række spam-mails for nylig. Teknikken udnytter, at afsenderen kan angives to steder i en mail: I headeren From og i headeren Return-Path.

Oplysningen i From-feltet er den, som mail-programmet viser modtageren. Den er nem at forfalske. Her kan afsenderen skrive, hvad det skal være.

Oplysningen i Return-Path vises ikke til modtageren. Det udnytter spam-bagmændene ved at angive en afsender, som det er sandsynligt, at modtageren gerne vil have mails fra. Den adresse vil ofte optræde på hvidlisten i spam-filteret.

Derfor angiver en række spam-mails afsenderen i Return-Path til at være et kendt kreditkortselskab. Men i From-feltet står der en lang række forskellige falske afsendere: USA's postvæsen, private pakkepostselskaber, banker og LinkedIn.

Man kan opdage svindlen ved at se, om mailen oprindelig kommer fra en IP-adresse, der tilhører den organisation, der er angivet som afsender.

Anbefaling
Tjek jeres hvidlister, hvis mange spam-mails slipper igennem. Undgå at hvidliste et helt domæne, men hold jer til specifikke adresser.

Links

• Spammers Are Taking Advantage of Your Whitelists by Spoofing Legitimate Brands, blogindlæg fra Trustwave