Jadi seorang teman baru-baru ini memberi tahu saya bahwa mereka mendapat email verifikasi dari Apple yang menyatakan bahwa alamat email baru telah ditambahkan ke ID Apple mereka. Orang itu tahu bahwa mereka tidak menambahkan alamat email apa pun dan ketika mereka masuk ke akun Apple mereka, tidak ada email lain selain mereka sendiri yang muncul.
Teman ingin tahu apakah ini email phishing atau apakah itu sah, tetapi dikirim kepada mereka secara tidak benar oleh Apple? Yah, itu akhirnya menjadi email palsu yang mencoba untuk membuat pengguna mengklik tautan sehingga mereka akan memasukkan kredensial ID Apple mereka. Untungnya, teman tidak mengeklik tautan, tetapi membuka perambannya dan mengetik di iCloud.com dan masuk dengan cara itu.
Meskipun teman ini menerima email phishing, tidak semua email verifikasi palsu . Dalam artikel ini, saya akan menunjukkan kepada Anda bagaimana Anda dapat mengetahui apakah email itu palsu atau tidak dan praktik terbaik untuk memeriksa akun Anda jika Anda tidak yakin.
Email Verifikasi
Meskipun saya orang IT dan pecandu komputer secara keseluruhan, saya masih mendapatkan email palsu sendiri. Misalnya, pertama kali saya mendapat email ini dari Google, saya khawatir seseorang mencoba meretas akun saya.
Kata-kata dari email ini membuatnya terdengar seperti seseorang membuat akun email baru dan entah bagaimana menautkannya ke akun saya. Mungkinkah mereka kemudian mencoba memulihkan kata sandi saya dan mengirimkannya ke alamat email baru ini? Saya tidak yakin, jadi saya mengeklik tautan di bagian bawah, yang menyatakan bahwa jika Anda tidak membuat alamat email ini, maka Anda dapat membatalkan tautannya dari akun Anda.
Saya mungkin seharusnya tidak telah mengeklik tautan di email karena saya tidak benar-benar tahu pada saat itu apakah itu dari Google atau bukan. Untungnya bagi saya, itu dan email itu tidak berbahaya. Pada dasarnya, ketika seseorang membuat akun Gmail baru, mereka harus menambahkan alamat email pemulihan, yang kadang-kadang salah ketik dan karenanya dikirim ke orang yang salah. Bagaimanapun, Anda harus waspada sebelum mengeklik tautan apa pun dalam jenis surel ini.
Cara Memeriksa apakah Email Otentik
Untuk memverifikasi email sebagai otentik, Anda harus melihat alamat email pengirim dan juga tajuk email untuk benar-benar aman. Kemampuan untuk membedakan antara email asli dan yang palsu juga tergantung pada klien email Anda. Saya akan menjelaskan lebih lanjut di bawah ini.
Misalnya, di tangkapan layar di atas, Anda dapat melihat bahwa email tersebut dikirim dari [email protected]. Ini harus memastikan bahwa email benar-benar dari Google, benar? Yah, itu tergantung. Jika seseorang membuat server email jahat, mereka dapat mengirim email palsu yang dapat menunjukkan alamat pengiriman sebagai [email protected]. Meskipun mereka dapat memalsukan aspek ini, sisanya tidak dapat dipalsukan.
Jadi bagaimana Anda memverifikasi bahwa email sebenarnya dikirim dari sumber asli dan bukan orang lain? Secara sederhana, Anda memeriksa header email. Ini juga tempat klien email mulai bermain. Jika Anda menggunakan Gmail, Anda dapat memverifikasi sumber dengan sangat cepat hanya dengan mengklik panah Show Detailstepat di bawah nama pengirim.
Bagian penting adalah dikirimkan oleh, bertanda-by dan enkripsi. Karena dikatakan google.comuntuk kedua bidang ini, email benar-benar dari Google. Untuk email apa pun yang mengklaim berasal dari bank atau perusahaan besar, seharusnya selalu memiliki bidang yang dikirimkan olehdan ditandatangani oleh. Bidang yang dikirim melalui email berarti bahwa email telah divalidasi SPF. Bidang yang ditandai oleh tanda berarti email telah ditandatangani oleh DKIM. Terakhir, email akan hampir selalu dienkripsi jika dikirim dari bank atau perusahaan besar.
Meskipun bidang ini memastikan email diverifikasi, Anda perlu memastikan bahwa email diverifikasi oleh perusahaan yang sama yang seharusnya mengirimkannya . Misalnya, karena email ini berasal dari Google, Google.com harus mengatakan untuk dua bidang, yang memang demikian. Beberapa spammer menjadi pintar dan menandatangani serta memverifikasi email mereka sendiri, tetapi tidak akan cocok dengan perusahaan yang sebenarnya. Mari kita lihat contoh:
Seperti yang Anda lihat, email ini diduga berasal dari ICICI bank, tetapi alamat email secara otomatis menimbulkan keraguan pada keaslian email. Alih-alih apa pun yang terkait dengan nama bank, domainnya adalah seajin.chtah.com, yang sangat berisi spam. Email tersebut memiliki bidang yang dikirim oleh dan ditandatangani oleh, tetapi sekali lagi, itu bukan domain bank. Terakhir, tidak ada enkripsi pada email, yang sangat rindang lagi.
Ini email lain di mana ada kolom yang dikirim oleh dan dienkripsi, tetapi tentu tidak dari Microsoft. Seperti yang Anda lihat, domain bukan Microsoft.com, tetapi beberapa domain yang belum pernah terdengar. Saat memverifikasi email, selalu periksa bahwa alamat email pengirim berasal dari perusahaan yang Anda yakini, yaitu [email protected]dan yang dikirimkan olehdan ditandatangani olehberasal dari bagian akhir alamat email, yaitu paypal.com.
Mari kita lihat satu contoh lagi, yang dapat sedikit membingungkan.
Di sini, saya memiliki email dari perusahaan bernama Actiontec, tetapi VIA actiontecelectronics.onmicrosoft.com. Ini juga ditandatangani oleh actiontecelectronics.onmicrosoft.com dan telah dienkripsi. Dalam hal ini, itu berarti bahwa email tersebut dikirim oleh layanan email pihak ketiga, yang tidak dapat selalu diautentikasi. Dalam hal ini, perusahaan menggunakan Office 365 untuk email perusahaan mereka dan itulah mengapa itu dikirim dari domain itu.
Meskipun email di atas sah, informasi di header tidak menjamin bahwa email aman. Pilihan terbaik Anda di sini adalah memastikan layanan email pihak ketiga juga merupakan perusahaan bereputasi besar. Dalam hal ini, ini berasal dari Microsoft. Terakhir, jika seseorang benar-benar mencoba memalsukan alamat email lain, Google mungkin akan dapat memberi tahu dan memberi Anda peringatan seperti ini:
Atau sesuatu seperti ini:
Jika Anda pernah mendapatkan salah satu dari peringatan ini, maka Anda tidak boleh mempercayai email sama sekali. Anda mungkin bertanya-tanya apa yang harus dilakukan jika Anda tidak menggunakan Gmail dan jika Anda tidak melihat email di browser web? Nah, dalam kasus tersebut, Anda harus melihat header email lengkap. Cukup Google nama penyedia email Anda diikuti dengan "lihat header email". Misalnya, Google Outlook 2016 melihat header emailuntuk mendapatkan instruksi untuk klien itu.
Setelah Anda melakukannya, Anda ingin mencari potongan teks berikut di bawah judul Hasil Otentikasi:
spf = pass
dkim = pass
Baris spf setara dengan bidang yang dikirim oleh email di Gmail dan dkim setara dengan yang ditandatangani oleh. Seharusnya terlihat seperti ini:
Sekali lagi, meskipun kedua item memiliki PASS, Anda harus memastikan itu untuk domain asli, bukan yang palsu yang mungkin digunakan oleh spammer. Jika Anda ingin membaca lebih lanjut tentang autentikasi email di Gmail, periksa tautan di bawah ini:
https://support.google.com/mail/answer/180707?hl=en
https://support.google.com/mail/troubleshooter/2411000?hl=id&ref_topic=3395029
https://support.google.com/mail/answer/1311182?hl=en
Setelah menguji beberapa layanan, itu juga alasan mengapa saya tetap menggunakan Gmail melalui klien email lain dan mengapa saya secara khusus menggunakan antarmuka web karena menyediakan banyak lebih banyak lapisan perlindungan yang tidak akan Anda dapatkan.
Terakhir, Anda harus membiasakan pergi ke browser dan secara manual mengunjungi situs web daripada mengeklik tautan di email. Bahkan jika Anda tahu emailnya aman, itu adalah cara yang ampuh untuk mengetahui bahwa Anda tidak mengunjungi situs web spoof. Jika ada tautan dalam email yang harus diklik, pastikan untuk memeriksa URL di bilah alamat browser Anda sebelum Anda memasukkan detail login atau informasi sensitif lainnya. Jika Anda memiliki pertanyaan, jangan ragu untuk berkomentar. Selamat menikmati!