Podszywanie się pod e-maile — Email spoofing
Podszywanie się pod wiadomości e- mail to tworzenie wiadomości e-mail z sfałszowanym adresem nadawcy.
Pierwotne protokoły transmisji używane w wiadomościach e-mail nie mają wbudowanych metod uwierzytelniania: ta niedoskonałość pozwala wiadomościom spamowym i phishingowym na fałszowanie w celu zmylenia odbiorcy. Nowsze środki zaradcze utrudniły takie podszywanie się ze źródeł internetowych, ale go nie wyeliminowały; niewiele sieci wewnętrznych posiada zabezpieczenia przed fałszywymi wiadomościami e-mail ze zhakowanego komputera współpracownika w tej sieci.
Szczegóły techniczne
Po wysłaniu wiadomości e- mail protokołu SMTP (Simple Mail Transfer Protocol) , początkowe połączenie zapewnia dwie informacje adresowe:
- MAIL FROM: - zazwyczaj przedstawiany odbiorcy jako nagłówek Return-path :, ale normalnie niewidoczny dla użytkownika końcowego i domyślnie nie są sprawdzane , czy system wysyłający jest upoważniony do wysyłania w imieniu tego adresu.
- RCPT TO: — określa, na który adres e-mail jest dostarczana wiadomość e-mail, zwykle nie jest widoczny dla użytkownika końcowego, ale może być obecny w nagłówkach jako część nagłówka „Odebrane:”.
Razem są one czasami określane jako adresowanie „kopertowe” – analogia do tradycyjnej koperty papierowej . O ile serwer odbierający pocztę nie sygnalizuje, że ma problemy z którymkolwiek z tych elementów, system wysyłający wysyła polecenie „DANE” i zazwyczaj wysyła kilka elementów nagłówka, w tym:
- Od: Joe Q Doe <joeqdoe@example.com> - adres widoczny dla odbiorcy; ale znowu, domyślnie nie sprawdza się, czy system wysyłający jest upoważniony do wysyłania w imieniu tego adresu.
- Odpowiedź do: Jane Roe <Jane.Roe@example.mil> - podobnie nie zaznaczone
i czasami:
- Nadawca: Jin Jo <jin.jo@example.jp> - również nie zaznaczone
W rezultacie odbiorca wiadomości e-mail widzi wiadomość e-mail jako pochodzącą z adresu w nagłówku Od :. Czasami mogą być w stanie znaleźć adres MAIL FROM , a jeśli odpowiedzą na e-mail, trafi on na adres podany w nagłówku From: lub Reply-to :, ale żaden z tych adresów nie jest zazwyczaj niezawodny, więc automatyczne odbijanie wiadomości mogą generować rozproszenie wsteczne .
Chociaż fałszowanie wiadomości e-mail jest skuteczne w fałszowaniu adresu e-mail, adres IP komputera wysyłającego wiadomość można ogólnie zidentyfikować na podstawie wierszy „Odebrano:” w nagłówku wiadomości e-mail. Jednak w złośliwych przypadkach może to być komputer niewinnej osoby trzeciej, zainfekowany złośliwym oprogramowaniem, które wysyła wiadomość e-mail bez wiedzy właściciela.
Złośliwe wykorzystanie podszywania się
Phishing i e-biznesowe kompromisowe oszustwa obejmują zazwyczaj element e-mail spoofing.
Podszywanie się pod wiadomości e-mail było odpowiedzialne za incydenty publiczne o poważnych konsekwencjach biznesowych i finansowych. Tak było w przypadku e-maila z października 2013 r. wysłanego do agencji prasowej, który został sfałszowany, aby wyglądał, jakby pochodził ze szwedzkiej firmy Fingerprint Cards . W e-mailu stwierdzono, że Samsung zaproponował zakup firmy. Wiadomość rozeszła się i kurs giełdowy wzrósł o 50%.
Złośliwe oprogramowanie, takie jak Klez i Sober, wśród wielu bardziej nowoczesnych przykładów, często wyszukuje adresy e-mail w zainfekowanym komputerze i wykorzystuje te adresy zarówno jako cele wiadomości e-mail, jak i do tworzenia wiarygodnych, sfałszowanych pól Od w wysyłanych wiadomościach e-mail. Ma to zapewnić większe prawdopodobieństwo otwarcia wiadomości e-mail. Na przykład:
- Alicja otrzymuje zainfekowaną wiadomość e-mail, którą otwiera, uruchamiając kod robaka.
- Kod robaka przeszukuje książkę adresową Alicji i znajduje adresy Boba i Charliego.
- Z komputera Alice robak wysyła zainfekowaną wiadomość e-mail do Boba, ale jest sfałszowany, aby wyglądał, jakby został wysłany przez Charliego.
W tym przypadku, nawet jeśli system Boba wykryje przychodzącą pocztę jako zawierającą złośliwe oprogramowanie, widzi jako źródło Charliego, mimo że tak naprawdę pochodzi z komputera Alicji. Tymczasem Alicja może pozostać nieświadoma, że jej komputer został zainfekowany, a Charlie nic o tym nie wie, chyba że otrzyma komunikat o błędzie od Boba.
Czym różni się fałszowanie wiadomości e-mail od spamu i phishingu?
Główna różnica między spamem a sfałszowaną wiadomością polega na tym, że spamerzy nie edytują nagłówków wiadomości e-mail, aby udawać, że wiadomość została wysłana od kogoś innego. Zarówno wiadomości phishingowe, jak i sfałszowane mają na celu nakłonienie kogoś do przekonania, że wiadomość została wysłana od legalnego nadawcy. Jednak głównym zamiarem phisherów jest złamanie danych osobowych i finansowych użytkownika, a podszywanie się pod e-maile to tylko jeden ze sposobów, w jaki to robią.
Zgodne z prawem użycie
We wczesnym Internecie powszechne były „legalnie sfałszowane” wiadomości e-mail. Na przykład odwiedzający użytkownik może użyć serwera SMTP lokalnej organizacji do wysłania wiadomości e-mail z zagranicznego adresu użytkownika. Ponieważ większość serwerów była skonfigurowana jako „ otwarte przekaźniki ”, była to powszechna praktyka. Ponieważ spam stał się irytującym problemem, tego rodzaju „uzasadnione” zastosowania wypadły z łask. Przykładem legalnego spoofingu może być scenariusz, w którym system zarządzania relacjami z klientami otrzymuje wiadomość e-mail ze strony internetowej, a w celu zarejestrowania przychodzącej wiadomości e-mail i utworzenia profilu dla wiadomości e-mail, która jest skojarzona z nowym kontaktem, system zostanie skonfigurowany użyć „nadawcy” wiadomości e-mail do utworzenia profilu potencjalnego klienta z nazwą i adresem e-mail nadawcy. Wysyłająca strona internetowa zostałaby skonfigurowana tak, aby sfałszować wychodzącą wiadomość e-mail ze strony internetowej i wysyłać e-mail w sposób, który sprawia, że wydaje się ona pochodzić od osoby przesyłającej z informacjami o przesyłającym w postaci nazwy nadawcy i adresu e-mail. System zarejestrowałby go wtedy jako skonfigurowany.
Gdy wiele systemów oprogramowania komunikuje się ze sobą za pośrednictwem poczty e-mail, może być wymagane fałszowanie w celu ułatwienia takiej komunikacji. W każdym scenariuszu, w którym adres e-mail jest skonfigurowany do automatycznego przekazywania przychodzących wiadomości e-mail do systemu, który akceptuje tylko wiadomości e-mail od firmy przekazującej wiadomości e-mail, wymagane jest fałszowanie, aby ułatwić to zachowanie. Jest to powszechne w systemach biletowych, które komunikują się z innymi systemami biletowymi.
Wpływ na serwery pocztowe
Tradycyjnie serwery pocztowe mogły zaakceptować przesyłkę pocztową, a następnie wysłać raport o niedostarczeniu lub „odrzucić” wiadomość, jeśli nie mogła zostać dostarczona lub z jakiegoś powodu została umieszczona w kwarantannie. Zostaną one wysłane na adres „MAIL FROM:”, czyli „Ścieżka zwrotna”. Wraz z masowym wzrostem liczby fałszywych adresów najlepszą praktyką jest obecnie nie generowanie raportów NDR dla wykrytego spamu, wirusów itp., ale odrzucanie wiadomości e-mail podczas transakcji SMTP. Kiedy administratorzy poczty nie stosują takiego podejścia, ich systemy są winne rozsyłania e-maili z rozproszeniem wstecznym do niewinnych stron – co samo w sobie jest formą spamu – lub jest wykorzystywana do przeprowadzania ataków typu „ Joe job ”.
Środki zaradcze
System SSL/TLS używany do szyfrowania ruchu e-mail między serwerami może być również wykorzystywany do wymuszania uwierzytelniania, ale w praktyce jest on rzadko używany, a szereg innych potencjalnych rozwiązań również nie zyskał na popularności.
Jednak wiele systemów obronnych jest obecnie szeroko stosowanych, w tym:
- Sender Policy Framework (SPF) – metoda uwierzytelniania poczty e-mail przeznaczona do wykrywania fałszowania adresów nadawcy podczas dostarczania wiadomości e-mail.
- DomainKeys Identified Mail – metoda uwierzytelniania poczty e-mail przeznaczona do wykrywania sfałszowanych adresów nadawców w wiadomościach e-mail (spoofing e-mail), technika często stosowana w phishingu i spamie e - mail .
- DMARC – (Domain-based Message Authentication, Reporting and Conformance), protokół uwierzytelniania poczty elektronicznej . Został zaprojektowany, aby dać właścicielom domen pocztowych możliwość ochrony ich domeny przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail. Celem i głównym rezultatem wdrożenia DMARC jest ochrona domeny przed atakami na firmową pocztę e - mail , phishingiem , oszustwami e- mail i innymi działaniami związanymi z cyberzagrożeniami .
Aby skutecznie powstrzymać dostarczanie sfałszowanych wiadomości e-mail, domeny wysyłające, ich serwery pocztowe i system odbierający muszą być poprawnie skonfigurowane pod kątem tych wyższych standardów uwierzytelniania. Chociaż ich użycie rośnie, szacunki różnią się znacznie co do tego, jaki procent wiadomości e-mail nie ma żadnej formy uwierzytelniania domeny: od 8,6% do „prawie połowy”. Z tego powodu systemy odbierające pocztę zazwyczaj mają szereg ustawień umożliwiających skonfigurowanie sposobu traktowania źle skonfigurowanych domen lub poczty e-mail.
Zobacz też
- List łańcuszkowy – List pisany kolejno przez grupę osób
- Wirus komputerowy — program komputerowy, który modyfikuje inne programy w celu replikacji i rozprzestrzeniania się
- Robak komputerowy — samodzielny złośliwy program komputerowy, który replikuje się w celu rozprzestrzeniania się na inne komputery
- Podszywanie się pod nazwę domeny
- Uwierzytelnianie wiadomości e-mail – Techniki mające na celu dostarczenie weryfikowalnych informacji o pochodzeniu wiadomości e-mail
- Oszustwo – celowo sfabrykowany fałsz, który ma udawać prawdę
- Joe job – technika spamowania polegająca na rozsyłaniu niechcianych wiadomości e-mail przy użyciu sfałszowanych danych nadawcy
- Prank call – rozmowa mająca na celu zrobienie żartu osobie, która odbierze
- Spoofing strony internetowej – Tworzenie strony internetowej, jako mistyfikacja, z zamiarem wprowadzenia czytelników w błąd
Bibliografia
Zewnętrzne linki
- „Wskazówka techniczna z 2002 r.: sfałszowany/sfałszowany e-mail” . Biblioteka Cyfrowa SEI . Carnegie Mellon University. 2002-01-01 . Źródło 2019-12-19 .