интересно

Как спаммеры обманывают ваш адрес электронной почты (и как защитить себя)

Большинство из нас знает спам, когда мы его видим, но странное электронное письмо от друга - или, что еще хуже, от нас самих - в нашем почтовом ящике довольно смущает. Если вы видели электронное письмо от друга, это не значит, что его взломали. Спаммеры постоянно обманывают эти адреса, и это не сложно сделать. Вот как они это делают, и как вы можете защитить себя.

Спамеры давно подделывают адреса электронной почты. Несколько лет назад они получали списки контактов с компьютеров, зараженных вредоносными программами. Сегодняшние похитители данных тщательно выбирают свои цели и наполняют их сообщениями, которые выглядят так, будто они получены от друзей, надежных источников или даже из их собственной учетной записи.

Оказывается, что подделка реальных адресов электронной почты на удивление легко, и отчасти, почему фишинг является такой проблемой. Системный инженер, начинающий CISSP и читатель Goldavelez.com Мэтью рассказал нам о том, как это работает, но также застал нас врасплох, отправив по электронной почте нескольким из нас на Goldavelez.com с адресов электронной почты других авторов Goldavelez.com. Несмотря на то, что мы знали, что это возможно - мы все получили спам раньше - это было более смущающим, чтобы быть им. Итак, мы поговорили с ним о том, как он это сделал и что люди могут сделать, чтобы защитить себя.

Немного истории: почему адреса электронной почты так легко подделать

Сегодня большинство провайдеров электронной почты решают проблему спама - по крайней мере, к своему собственному удовлетворению. Gmail и Outlook имеют мощные, сложные алгоритмы обнаружения спама и мощные инструменты фильтрации. Однако в начале 2000-х это было не так. Спам по-прежнему оставался огромной проблемой, с которой почтовым серверам еще предстояло серьезно бороться, и тем более не разрабатывал передовые инструменты для управления.

В 2003 году Мэн Вэн Вонг предложил почтовым серверам «проверить», что IP-адрес (уникальный номер, который идентифицирует компьютер в Интернете), отправляющий сообщение, был авторизован для отправки почты от имени определенного домена. Она называется «Форма разрешенного отправителя» (переименована в «Политику отправителя» в 2004 году), и Мэтью объясняет, как она работает:

Каждый раз, когда отправлялось сообщение электронной почты, принимающий почтовый сервер сравнивал IP-адрес источника сообщения с IP-адресом, указанным в записи SPF для хоста адреса электронной почты (часть «@ example.com»).

Если два IP-адреса совпадают, то электронное письмо может пройти к предполагаемому получателю. Если IP-адреса не совпадают, то электронное письмо будет помечено как спам или отклонено. Бремя решения о результате было полностью в руках принимающего сервера.

С годами записи SPF развивались (последний RFC был опубликован в апреле 2014 года), и большинство доменов в Интернете имеют записи SPF (вы можете найти их здесь).

Когда вы регистрируете домен, вы также регистрируете ряд DNS-записей, которые сопровождают его. Эти записи говорят миру, с какими компьютерами общаться, в зависимости от того, что они хотят делать (электронная почта, Интернет, FTP и т. Д.). Запись SPF является примером, и в идеале она должна была бы обеспечить, чтобы все почтовые серверы в Интернете знали, что люди, отправляющие электронную почту, скажем, с @ Goldavelez.com.com, на самом деле являются компьютерами авторизованных пользователей.

Тем не менее, этот метод не идеален, что является частью того, почему он не завоевал популярность полностью. Записи SPF требуют администрирования - кто-то фактически добавляет новые IP-адреса и удаляет старые, а также время для распространения записи в Интернете каждый раз, когда вносятся изменения. (: Ранее мы связывали проверки SPF с IP-адресами пользователей, когда почтовые хосты фактически используют технологию для проверки того, что сервер, через который проходит сообщение, является авторизованным отправителем от имени данного домена, а не тем, что используемый авторизован для отправки на от имени данного адреса. Извините за путаницу, и спасибо комментаторам, которые указали на это!) Большинство компаний в любом случае используют мягкую версию SPF. Вместо того чтобы рисковать ложными срабатываниями, блокируя полезную почту, они реализуют «жесткие» и «мягкие» сбои. Почтовые хосты также ослабили свои ограничения на то, что происходит с сообщениями, которые не проходят эту проверку. В результате, корпорации легче управлять электронной почтой, но фишинг - это просто, и это большая проблема.

Затем, в 2012 году, был введен новый тип записи, предназначенный для работы вместе с SPF. Это называется DMARC, или Аутентификация сообщений на основе домена, Отчетность и Соответствие. Спустя один год он расширяется, чтобы защитить большое количество почтовых ящиков потребителей (хотя самопровозглашенные 60%, вероятно, оптимистичны.) Мэтью объясняет детали:

DMARC сводится к двум важным флагам (хотя их всего 10) - флагу «p», который инструктирует принимающие серверы о том, как обращаться с потенциально фальшивыми электронными письмами, отклоняя, помещая на карантин или передавая; и флаг "rua", который сообщает принимающим серверам, куда они могут отправить отчет о сбойных сообщениях (обычно это адрес электронной почты в группе безопасности администратора домена). Запись DMARC решает большинство проблем с записями SPF, принимая на себя бремя решения, как отреагировать от получателя.

Проблема в том, что еще не все используют DMARC.

Этот удобный инструмент позволяет вам запрашивать запись DMARC любого домена - попробуйте ее в нескольких избранных (gawker.com, whitehouse.gov, redcross.org, reddit.com). Заметьте что-нибудь? Никто из них не опубликовал записи DMARC. Это означает, что любой почтовый хост, который пытается соответствовать правилам DMARC, не будет иметь никаких инструкций о том, как обращаться с ошибочными письмами SPF, и, вероятно, пропустит их. Это то, что Google делает с Gmail (и Google Apps), и именно поэтому фальшивые электронные письма могут попасть на ваш почтовый ящик.

Чтобы доказать, что Google действительно обращает внимание на записи DMARC, посмотрите на запись DMARC для facebook.com - флаг «p» указывает, что получатели должны отклонять электронные письма, и отправьте отчет об этом главному администратору на Facebook. Теперь попробуйте подделать письмо с facebook.com и отправить его на адрес Gmail - оно не пройдет. Теперь посмотрите на запись DMARC для fb.com - это указывает на то, что ни одно электронное письмо не должно быть отклонено, но в любом случае должен быть составлен отчет. И если вы проверите это, письма от @ fb.com пройдут.

Мэтью также отметил, что «отчет почтмейстера» не шутка. Когда он попытался подменить домен с помощью записи DMARC, его SMTP-сервер был заблокирован менее чем за 24 часа. В нашем тестировании мы заметили то же самое. Если домен настроен правильно, они быстро положат конец этим поддельным сообщениям, или, по крайней мере, пока спуфер не использует другой IP-адрес. Однако домен, в котором нет записей DMARC, является честной игрой. Вы можете подделать их в течение нескольких месяцев, и никто на отправляющей стороне не заметит - это будет зависеть от провайдера-получателя, чтобы защитить своих пользователей (либо пометив сообщение как спам на основе содержимого, либо на основании неудачной проверки SPF сообщения. )

Как спаммеры подделывают адреса электронной почты

Инструменты, необходимые для подделки адресов электронной почты, удивительно легко получить. Все, что вам нужно, это работающий SMTP-сервер (иначе говоря, сервер, который может отправлять электронную почту) и правильное почтовое программное обеспечение.

Любой хороший веб-хостинг предоставит вам SMTP-сервер. (Вы также можете установить SMTP в системе, которой вы владеете, порт 25 - порт, используемый для исходящей электронной почты, обычно блокируется интернет-провайдерами. Это сделано специально для того, чтобы избежать такого рода вредоносных программ, которые мы видели в начале 2000-х.) Шутка над нами, Мэтью использовал PHP Mailer. Это легко понять, легко установить, и у него даже есть веб-интерфейс. Откройте PHP Mailer, составьте свое сообщение, введите адреса «от» и «до» и нажмите «Отправить». После этого получатель получит электронное письмо в свой почтовый ящик, которое выглядит так, как будто оно пришло с введенного вами адреса. Мэтью объясняет:

Письмо должно было работать без проблем и, похоже, было от того, от кого вы сказали. Там очень мало, чтобы указать, что это не пришло из их почтового ящика, пока вы не просмотрите исходный код письма (опция «Просмотр оригинала» в Gmail). [примечание редактора: см. изображение выше]

Вы заметите, что электронная почта «софт» не прошла проверку SPF, но все равно она попала в папку «Входящие». Также важно отметить, что исходный код включает в себя исходный IP-адрес электронной почты, поэтому возможно, что электронная почта может быть отслежена, если получатель пожелает.

На этом этапе важно отметить, что до сих пор не существует стандарта того, как хосты электронной почты будут обрабатывать сбои SPF. Gmail, хост, с которым я проводил большую часть моего тестирования, позволял приходить электронным письмам. Однако Outlook.com не доставлял ни одного фальсифицированного электронного письма, как программного, так и жесткого. Мой корпоративный сервер Exchange пропустил их без проблем, и мой домашний сервер (OS X) принял их, но пометил как спам.

Это все, что нужно сделать. Мы просмотрели некоторые детали, но не много. Самое большое предупреждение: если вы нажмете «Ответить» на поддельном сообщении, все отправленное обратно отправляется владельцу адреса, а не спуферу. Это не имеет значения для воров, поскольку спамеры и фишеры просто надеются, что вы нажмете на ссылки или откроете вложения.

Компромисс очевиден: поскольку SPF никогда не использовался так, как предполагалось, вам не нужно добавлять IP-адрес вашего устройства в список и ждать 24 часа каждый раз, когда вы путешествуете, или хотите отправлять электронную почту со своего нового смартфона., Однако это также означает, что фишинг остается серьезной проблемой. Хуже всего то, что каждый может это сделать.

Что вы можете сделать, чтобы защитить себя

Все это может показаться загадочным или суетиться из-за нескольких жалких спам-писем. В конце концов, большинство из нас знает спам, когда мы видим его - если мы когда-либо видим его. Но правда в том, что для каждой учетной записи, где эти сообщения помечены, есть другая, где их нет, и фишинговые электронные письма отправляются в почтовые ящики пользователей.

Мэтью объяснил нам, что он подделывал адреса с друзьями только для того, чтобы подшутить над друзьями и немного напугать их - как, например, начальник рассердился на них или администратор написал по электронной почте, что их машина отбуксирована, - но понял, что она работает слишком хорошо. даже из сети компании. Поддельные сообщения поступали через почтовый сервер компании, в комплекте с фотографиями профиля, статусом корпоративного чата, автоматически заполняемой контактной информацией и т. Д., Все эти сообщения были добавлены почтовым сервером, и все это делает поддельные сообщения электронной почты легитимными. Когда я тестировал этот процесс, мне не пришлось много работать, пока я не увидел свое собственное лицо, смотрящее на меня в своем почтовом ящике, или Уитсона, или даже Адама Дачи, у которого даже нет адреса электронной почты Goldavelez.com.

Хуже того, единственный способ сказать, что электронная почта не от человека, на которого она похожа, - это копаться в заголовках и знать, что вы ищете (как мы описали выше). Это довольно сложный заказ даже для технической У нас есть сообразительность - у кого есть на это время посреди напряженного рабочего дня? Даже быстрый ответ на поддельное письмо вызовет путаницу. Это идеальный способ заставить небольшой хаос или целевых людей заставить их скомпрометировать свои ПК или отказаться от информации для входа. Но если вы видите что-то даже немного подозрительное, у вас есть по крайней мере еще один инструмент в вашем арсенале.

Итак, если вы хотите защитить свои почтовые ящики от подобных сообщений, вы можете сделать несколько вещей:

  • Включите спам-фильтры и используйте такие инструменты, как Priority Inbox . Установка более строгих фильтров спама может - в зависимости от вашего почтового провайдера - сделать разницу между сообщением, не прошедшим проверку на получение SPF, в спаме, и вашим входящим почтовым ящиком. Точно так же, если вы можете использовать такие службы, как Gmail Priority Inbox или Apple VIP, вы, по сути, позволяете почтовому серверу выяснить важных людей для вас. Если важный человек подделан, вы все равно получите его.
  • Научитесь читать заголовки сообщений и отслеживать IP-адреса . В этом посте мы объяснили, как это сделать, чтобы отследить источник спама, и это хороший навык. Когда приходит подозрительное электронное письмо, вы сможете открыть заголовки, посмотреть IP-адрес отправителя и посмотреть, совпадает ли оно с предыдущими электронными письмами того же человека. Вы можете даже сделать обратный просмотр IP-адреса отправителя, чтобы увидеть, где он находится - что может быть, а может и не быть информативным, но если вы получите электронное письмо от вашего друга по всему городу, который происходит из России (а они не путешествуют), вы знаю, что случилось.
  • Никогда не нажимайте незнакомые ссылки и не загружайте незнакомые вложения . Это может показаться легким делом, но все, что требуется, - это один сотрудник компании, который видит сообщение своего начальника или кого-то еще в компании, чтобы открыть вложение или щелкнуть забавную ссылку на Документы Google, чтобы раскрыть всю корпоративную сеть. Многие из нас думают, что мы выше этого обмана, но это происходит постоянно. Обратите внимание на сообщения, которые вы получаете, не нажимайте ссылки в электронной почте (зайдите на сайт вашего банка, кабельной компании или другой веб-сайт напрямую и войдите в систему, чтобы найти то, что они хотят, чтобы вы видели), и не загружайте вложенные вами электронные письма ». не ожидаем явно. Постоянно обновляйте антивирусные программы на вашем компьютере.
  • Если вы управляете своей собственной электронной почтой, проверьте ее, чтобы увидеть, как она реагирует на записи SPF и DMARC . Вы можете спросить об этом своего веб-хостинга, но это не сложно проверить самостоятельно, используя тот же метод подмены, который мы описали выше. Кроме того, проверьте папку с нежелательной почтой - вы можете видеть там сообщения от себя или от знакомых. Спросите своего веб-хоста, могут ли они изменить способ настройки SMTP-сервера, или рассмотрите возможность переключения почтовых служб на что-то вроде Google Apps для вашего домена.
  • Если у вас есть собственный домен, подайте в него записи DMARC . Мэтью объясняет, что у вас есть контроль над тем, насколько вы агрессивны, но читайте о том, как подавать записи DMARC и обновлять свои записи у своего регистратора домена. Если вы не уверены, как, они должны быть в состоянии помочь. Если вы получаете поддельные сообщения в корпоративном аккаунте, сообщите об этом корпоративным ИТ-специалистам. У них может быть причина не регистрировать записи DMARC (Мэтью объяснил, что, по его словам, они не могут, потому что у них есть внешние сервисы, которые нужно отправлять с использованием домена компании - что-то легко исправить, но такое мышление является частью проблемы), но по крайней мере, вы дадите им знать.

Как всегда, самым слабым звеном в безопасности является конечный пользователь. Это означает, что вам нужно постоянно включать датчики BS каждый раз, когда вы получаете электронное письмо, которое вы не ожидали. Воспитывать себя. Постоянно обновляйте антивирусное программное обеспечение. Наконец, следите за такими проблемами, так как они будут продолжать развиваться по мере того, как мы продолжаем бороться со спамом и фишингом.