Podszywanie się pod e-maile — Email spoofing

Część serii na
Bezpieczeństwo informacji
Powiązane kategorie bezpieczeństwa
Bezpieczeństwo samochodowe Cyberprzestępczość Handel cyberseksem Oszustwa komputerowe Cybergeddon Cyberterroryzm Cyberwojna Elektroniczna wojna Wojna informacyjna Ochrona Internetu Mobilne zabezpieczenia Bezpieczeństwo sieci Ochrona przed kopiowaniem Zarządzanie Prawami Cyfrowymi
Zagrożenia
Oprogramowanie reklamowe Zaawansowane trwałe zagrożenie Wykonanie kodu arbitralnego Backdoory Backdoory sprzętowe Wstrzyknięcie kodu Oprogramowanie kryminalne Skrypty między witrynami Malware Cryptojacking Botnety Naruszenie danych Drive-by download obiekty pomocnicze przeglądarki Przestępstwo komputerowe Wirusy Skrobanie danych Odmowa usługi Podsłuchiwanie Oszustwa e-mail Podszywanie się pod e-maile Exploity Keyloggery Bomby logiczne Bomby zegarowe Bomby widełkowe Bomby Zip Fałszywe dialery Złośliwe oprogramowanie Ładunek Wyłudzanie informacji Silnik polimorficzny Eskalacja uprawnień Ransomware Rootkity Bootkity Strach Kod powłoki Spamowanie Inżynieria społeczna (bezpieczeństwo) Skrobanie ekranu Programy szpiegujące Błędy oprogramowania konie trojańskie Trojany sprzętowe Trojany zdalnego dostępu Słaby punkt Powłoki internetowe Wycieraczka Robaki Wstrzyknięcie SQL Nieuczciwe oprogramowanie zabezpieczające Zambi
Obrony
Bezpieczeństwo aplikacji Bezpieczne kodowanie Bezpieczne domyślnie Bezpieczne z założenia Przypadek nadużycia Kontrola dostępu do komputera Uwierzytelnianie Uwierzytelnianie wieloskładnikowe Upoważnienie Oprogramowanie zabezpieczające komputer Oprogramowanie antywirusowe System operacyjny ukierunkowany na bezpieczeństwo Bezpieczeństwo zorientowane na dane Zaciemnianie kodu Szyfrowanie Zapora System wykrywania włamań System wykrywania włamań oparty na hoście (HIDS) Wykrywanie anomalii Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM) Mobilna bezpieczna brama Samoochrona aplikacji w czasie wykonywania
v T mi

Podszywanie się pod wiadomości e- mail to tworzenie wiadomości e-mail z sfałszowanym adresem nadawcy.

Pierwotne protokoły transmisji używane w wiadomościach e-mail nie mają wbudowanych metod uwierzytelniania: ta niedoskonałość pozwala wiadomościom spamowym i phishingowym na fałszowanie w celu zmylenia odbiorcy. Nowsze środki zaradcze utrudniły takie podszywanie się ze źródeł internetowych, ale go nie wyeliminowały; niewiele sieci wewnętrznych posiada zabezpieczenia przed fałszywymi wiadomościami e-mail ze zhakowanego komputera współpracownika w tej sieci.

Szczegóły techniczne

Po wysłaniu wiadomości e- mail protokołu SMTP (Simple Mail Transfer Protocol) , początkowe połączenie zapewnia dwie informacje adresowe:

• MAIL FROM: - zazwyczaj przedstawiany odbiorcy jako nagłówek Return-path :, ale normalnie niewidoczny dla użytkownika końcowego i domyślnie nie są sprawdzane , czy system wysyłający jest upoważniony do wysyłania w imieniu tego adresu.
• RCPT TO: — określa, na który adres e-mail jest dostarczana wiadomość e-mail, zwykle nie jest widoczny dla użytkownika końcowego, ale może być obecny w nagłówkach jako część nagłówka „Odebrane:”.

Razem są one czasami określane jako adresowanie „kopertowe” – analogia do tradycyjnej koperty papierowej . O ile serwer odbierający pocztę nie sygnalizuje, że ma problemy z którymkolwiek z tych elementów, system wysyłający wysyła polecenie „DANE” i zazwyczaj wysyła kilka elementów nagłówka, w tym:

• Od: Joe Q Doe <joeqdoe@example.com> - adres widoczny dla odbiorcy; ale znowu, domyślnie nie sprawdza się, czy system wysyłający jest upoważniony do wysyłania w imieniu tego adresu.
• Odpowiedź do: Jane Roe <Jane.Roe@example.mil> - podobnie nie zaznaczone

i czasami:

• Nadawca: Jin Jo <jin.jo@example.jp> - również nie zaznaczone

W rezultacie odbiorca wiadomości e-mail widzi wiadomość e-mail jako pochodzącą z adresu w nagłówku Od :. Czasami mogą być w stanie znaleźć adres MAIL FROM , a jeśli odpowiedzą na e-mail, trafi on na adres podany w nagłówku From: lub Reply-to :, ale żaden z tych adresów nie jest zazwyczaj niezawodny, więc automatyczne odbijanie wiadomości mogą generować rozproszenie wsteczne .

Chociaż fałszowanie wiadomości e-mail jest skuteczne w fałszowaniu adresu e-mail, adres IP komputera wysyłającego wiadomość można ogólnie zidentyfikować na podstawie wierszy „Odebrano:” w nagłówku wiadomości e-mail. Jednak w złośliwych przypadkach może to być komputer niewinnej osoby trzeciej, zainfekowany złośliwym oprogramowaniem, które wysyła wiadomość e-mail bez wiedzy właściciela.

Złośliwe wykorzystanie podszywania się

Phishing i e-biznesowe kompromisowe oszustwa obejmują zazwyczaj element e-mail spoofing.

Podszywanie się pod wiadomości e-mail było odpowiedzialne za incydenty publiczne o poważnych konsekwencjach biznesowych i finansowych. Tak było w przypadku e-maila z października 2013 r. wysłanego do agencji prasowej, który został sfałszowany, aby wyglądał, jakby pochodził ze szwedzkiej firmy Fingerprint Cards . W e-mailu stwierdzono, że Samsung zaproponował zakup firmy. Wiadomość rozeszła się i kurs giełdowy wzrósł o 50%.

Złośliwe oprogramowanie, takie jak Klez i Sober, wśród wielu bardziej nowoczesnych przykładów, często wyszukuje adresy e-mail w zainfekowanym komputerze i wykorzystuje te adresy zarówno jako cele wiadomości e-mail, jak i do tworzenia wiarygodnych, sfałszowanych pól Od w wysyłanych wiadomościach e-mail. Ma to zapewnić większe prawdopodobieństwo otwarcia wiadomości e-mail. Na przykład:

1. Alicja otrzymuje zainfekowaną wiadomość e-mail, którą otwiera, uruchamiając kod robaka.
2. Kod robaka przeszukuje książkę adresową Alicji i znajduje adresy Boba i Charliego.
3. Z komputera Alice robak wysyła zainfekowaną wiadomość e-mail do Boba, ale jest sfałszowany, aby wyglądał, jakby został wysłany przez Charliego.

W tym przypadku, nawet jeśli system Boba wykryje przychodzącą pocztę jako zawierającą złośliwe oprogramowanie, widzi jako źródło Charliego, mimo że tak naprawdę pochodzi z komputera Alicji. Tymczasem Alicja może pozostać nieświadoma, że ​​jej komputer został zainfekowany, a Charlie nic o tym nie wie, chyba że otrzyma komunikat o błędzie od Boba.

Czym różni się fałszowanie wiadomości e-mail od spamu i phishingu?

Główna różnica między spamem a sfałszowaną wiadomością polega na tym, że spamerzy nie edytują nagłówków wiadomości e-mail, aby udawać, że wiadomość została wysłana od kogoś innego. Zarówno wiadomości phishingowe, jak i sfałszowane mają na celu nakłonienie kogoś do przekonania, że ​​wiadomość została wysłana od legalnego nadawcy. Jednak głównym zamiarem phisherów jest złamanie danych osobowych i finansowych użytkownika, a podszywanie się pod e-maile to tylko jeden ze sposobów, w jaki to robią.

Zgodne z prawem użycie

We wczesnym Internecie powszechne były „legalnie sfałszowane” wiadomości e-mail. Na przykład odwiedzający użytkownik może użyć serwera SMTP lokalnej organizacji do wysłania wiadomości e-mail z zagranicznego adresu użytkownika. Ponieważ większość serwerów była skonfigurowana jako „ otwarte przekaźniki ”, była to powszechna praktyka. Ponieważ spam stał się irytującym problemem, tego rodzaju „uzasadnione” zastosowania wypadły z łask. Przykładem legalnego spoofingu może być scenariusz, w którym system zarządzania relacjami z klientami otrzymuje wiadomość e-mail ze strony internetowej, a w celu zarejestrowania przychodzącej wiadomości e-mail i utworzenia profilu dla wiadomości e-mail, która jest skojarzona z nowym kontaktem, system zostanie skonfigurowany użyć „nadawcy” wiadomości e-mail do utworzenia profilu potencjalnego klienta z nazwą i adresem e-mail nadawcy. Wysyłająca strona internetowa zostałaby skonfigurowana tak, aby sfałszować wychodzącą wiadomość e-mail ze strony internetowej i wysyłać e-mail w sposób, który sprawia, że ​​wydaje się ona pochodzić od osoby przesyłającej z informacjami o przesyłającym w postaci nazwy nadawcy i adresu e-mail. System zarejestrowałby go wtedy jako skonfigurowany.

Gdy wiele systemów oprogramowania komunikuje się ze sobą za pośrednictwem poczty e-mail, może być wymagane fałszowanie w celu ułatwienia takiej komunikacji. W każdym scenariuszu, w którym adres e-mail jest skonfigurowany do automatycznego przekazywania przychodzących wiadomości e-mail do systemu, który akceptuje tylko wiadomości e-mail od firmy przekazującej wiadomości e-mail, wymagane jest fałszowanie, aby ułatwić to zachowanie. Jest to powszechne w systemach biletowych, które komunikują się z innymi systemami biletowymi.

Wpływ na serwery pocztowe

Tradycyjnie serwery pocztowe mogły zaakceptować przesyłkę pocztową, a następnie wysłać raport o niedostarczeniu lub „odrzucić” wiadomość, jeśli nie mogła zostać dostarczona lub z jakiegoś powodu została umieszczona w kwarantannie. Zostaną one wysłane na adres „MAIL FROM:”, czyli „Ścieżka zwrotna”. Wraz z masowym wzrostem liczby fałszywych adresów najlepszą praktyką jest obecnie nie generowanie raportów NDR dla wykrytego spamu, wirusów itp., ale odrzucanie wiadomości e-mail podczas transakcji SMTP. Kiedy administratorzy poczty nie stosują takiego podejścia, ich systemy są winne rozsyłania e-maili z rozproszeniem wstecznym do niewinnych stron – co samo w sobie jest formą spamu – lub jest wykorzystywana do przeprowadzania ataków typu „ Joe job ”.

Środki zaradcze

System SSL/TLS używany do szyfrowania ruchu e-mail między serwerami może być również wykorzystywany do wymuszania uwierzytelniania, ale w praktyce jest on rzadko używany, a szereg innych potencjalnych rozwiązań również nie zyskał na popularności.

Jednak wiele systemów obronnych jest obecnie szeroko stosowanych, w tym:

• Sender Policy Framework (SPF) – metoda uwierzytelniania poczty e-mail przeznaczona do wykrywania fałszowania adresów nadawcy podczas dostarczania wiadomości e-mail.
• DomainKeys Identified Mail  – metoda uwierzytelniania poczty e-mail przeznaczona do wykrywania sfałszowanych adresów nadawców w wiadomościach e-mail (spoofing e-mail), technika często stosowana w phishingu i spamie e - mail .
• DMARC  – (Domain-based Message Authentication, Reporting and Conformance), protokół uwierzytelniania poczty elektronicznej . Został zaprojektowany, aby dać właścicielom domen pocztowych możliwość ochrony ich domeny przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail. Celem i głównym rezultatem wdrożenia DMARC jest ochrona domeny przed atakami na firmową pocztę e - mail , phishingiem , oszustwami e- mail i innymi działaniami związanymi z cyberzagrożeniami .

Aby skutecznie powstrzymać dostarczanie sfałszowanych wiadomości e-mail, domeny wysyłające, ich serwery pocztowe i system odbierający muszą być poprawnie skonfigurowane pod kątem tych wyższych standardów uwierzytelniania. Chociaż ich użycie rośnie, szacunki różnią się znacznie co do tego, jaki procent wiadomości e-mail nie ma żadnej formy uwierzytelniania domeny: od 8,6% do „prawie połowy”. Z tego powodu systemy odbierające pocztę zazwyczaj mają szereg ustawień umożliwiających skonfigurowanie sposobu traktowania źle skonfigurowanych domen lub poczty e-mail.

Zobacz też

• List łańcuszkowy  – List pisany kolejno przez grupę osób
• Wirus komputerowy  — program komputerowy, który modyfikuje inne programy w celu replikacji i rozprzestrzeniania się
• Robak komputerowy  — samodzielny złośliwy program komputerowy, który replikuje się w celu rozprzestrzeniania się na inne komputery
• Podszywanie się pod nazwę domeny
• Uwierzytelnianie wiadomości e-mail  – Techniki mające na celu dostarczenie weryfikowalnych informacji o pochodzeniu wiadomości e-mail
• Oszustwo  – celowo sfabrykowany fałsz, który ma udawać prawdę
• Joe job  – technika spamowania polegająca na rozsyłaniu niechcianych wiadomości e-mail przy użyciu sfałszowanych danych nadawcy
• Prank call  – rozmowa mająca na celu zrobienie żartu osobie, która odbierze
• Spoofing strony internetowej  – Tworzenie strony internetowej, jako mistyfikacja, z zamiarem wprowadzenia czytelników w błąd

Bibliografia

Zewnętrzne linki

• „Wskazówka techniczna z 2002 r.: sfałszowany/sfałszowany e-mail” . Biblioteka Cyfrowa SEI . Carnegie Mellon University. 2002-01-01 . Źródło 2019-12-19 .