Подмена электронной почты - это создание сообщений электронной почты с поддельным адресом отправителя.
Основные протоколы электронной почты не имеют какого-либо механизма аутентификации , что делает обычным для спама и фишинговых писем использование такого спуфинга, чтобы ввести получателя в заблуждение или даже разыграть источник сообщения.
Технические подробности
Когда отправляется электронное письмо с использованием простого протокола передачи почты (SMTP) , первоначальное соединение предоставляет две части адресной информации:
- ПОЧТА ОТ: - обычно представляется получателю как заголовок Return-path :, но обычно не виден конечному пользователю, и по умолчанию не выполняется никаких проверок того, что отправляющая система имеет право отправлять от имени этого адреса.
- RCPT TO: - указывает, на какой адрес электронной почты доставляется электронное письмо, обычно не отображается для конечного пользователя, но может присутствовать в заголовках как часть заголовка «Получено:».
Вместе их иногда называют адресацией на «конверте» - по аналогии с традиционным бумажным конвертом . [1] Если получающий почтовый сервер не сигнализирует о проблемах с любым из этих элементов, отправляющая система отправляет команду «DATA» и обычно отправляет несколько элементов заголовка, в том числе:
- От: Joe Q Doe
- адрес, видимый получателю; @example.com>но опять же, по умолчанию не выполняется никаких проверок того, что отправляющая система имеет право отправлять сообщения от имени этого адреса. - Ответить: Jane Roe
- аналогично не проверено @example.mil>
и иногда:
- Отправитель: Jin Jo
- тоже не проверено @example.jp>
В результате получатель электронной почты видит, что письмо пришло с адреса, указанного в заголовке От : . Иногда они могут найти адрес MAIL FROM , и если они ответят на электронное письмо, оно перейдет либо на адрес, представленный в заголовке From: или Reply-to:, но ни один из этих адресов обычно не является надежным, [2] поэтому автоматические сообщения о недоставке могут генерировать обратное рассеяние .
Хотя спуфинг электронной почты эффективен для подделки адреса электронной почты, IP-адрес компьютера, отправляющего почту, обычно можно определить по строкам «Получено:» в заголовке электронной почты. [3] Однако в случае злонамеренных действий это, скорее всего, компьютер невиновной третьей стороны, зараженный вредоносным ПО , которое отправляет электронное письмо без ведома владельца.
Вредоносное использование спуфинга
Мошенничество с фишингом и компрометацией деловой электронной почты обычно включает в себя элемент спуфинга электронной почты.
Спуфинг электронной почты является причиной публичных инцидентов с серьезными коммерческими и финансовыми последствиями. Так было в электронном письме, отправленном в октябре 2013 года новостному агентству, которое было подделано так, чтобы оно выглядело так, как будто оно было от шведской компании Fingerprint Cards . В письме говорилось, что Samsung предлагал купить компанию. Новость распространилась, и биржевой курс вырос на 50%. [4]
Вредоносные программы, такие как Klez и Sober среди многих других современных примеров, часто ищут адреса электронной почты на зараженном ими компьютере и используют эти адреса как в качестве целей для электронной почты, так и для создания надежных поддельных полей From в отправляемых ими электронных письмах. Это сделано для того, чтобы письма с большей вероятностью открывались. Например:
- Алисе отправляется зараженное письмо, которое она открывает с кодом червя.
- Код червя ищет в адресной книге электронной почты Алисы и находит адреса Боба и Чарли.
- С компьютера Алисы червь отправляет Бобу зараженное электронное письмо, но создается так, чтобы оно выглядело так, как если бы оно было отправлено Чарли.
В этом случае, даже если система Боба обнаруживает, что входящая почта содержит вредоносное ПО, он видит, что источником является Чарли, даже если оно действительно пришло с компьютера Алисы. Между тем, Алиса может не знать, что ее компьютер заражен, а Чарли вообще ничего об этом не знает, если только он не получит сообщение об ошибке от Боба.
Законное использование
На раннем этапе развития Интернета «законно поддельная» электронная почта была обычным явлением. Например, посетивший пользователь может использовать SMTP- сервер локальной организации для отправки электронной почты с внешнего адреса пользователя. Поскольку большинство серверов были настроены как « открытые реле », это было обычной практикой. Поскольку спам в электронной почте превратился в досадную проблему, подобные «законные» способы использования перестали быть популярными. Примером законного спуфинга может быть сценарий, когда система управления взаимоотношениями с клиентами получает электронное письмо с веб-сайта, и для регистрации входящего электронного письма и создания профиля для электронного письма, связанного с новым контактом, система будет настроена. использовать «отправителя» электронного письма для создания профиля потенциального клиента с именем и адресом электронной почты отправителя. Отправляющий веб-сайт будет настроен на подделку исходящей электронной почты с веб-сайта и отправку электронной почты таким образом, чтобы казалось, что оно приходит от отправителя с информацией об отправителе в качестве имени отправителя и адреса электронной почты. Затем система зарегистрирует его в соответствии с настройками.
Когда несколько программных систем связываются друг с другом по электронной почте, может потребоваться спуфинг, чтобы облегчить такое общение. В любом сценарии, когда адрес электронной почты настроен для автоматической пересылки входящих писем в систему, которая принимает письма только от сервера пересылки электронной почты, для облегчения такого поведения требуется спуфинг. Это характерно для билетных систем, которые взаимодействуют с другими билетными системами.
Влияние на почтовые серверы
Традиционно почтовые серверы могли принимать почтовый элемент, а затем отправлять отчет о недоставке или сообщение о недоставке, если оно не могло быть доставлено или было помещено в карантин по какой-либо причине. Они будут отправлены на адрес «ПОЧТА ОТ:», также известный как «обратный путь». В связи с массовым ростом числа поддельных адресов, теперь лучше всего не создавать отчеты о недоставке для обнаруженного спама, вирусов и т. Д. [5], а отклонять электронную почту во время транзакции SMTP. Когда почтовые администраторы не применяют этот подход, их системы виновны в отправке электронных писем с обратным рассеянием невиновным сторонам - что само по себе является формой спама - или в использовании для выполнения атак типа « Джо Джо ».
Контрмеры
Система SSL / TLS , используемая для шифрования межсерверного почтового трафика, также может использоваться для принудительной аутентификации, но на практике она используется редко [6], а ряд других потенциальных решений также не получил поддержки.
Однако в настоящее время широко используется ряд эффективных систем, в том числе:
Чтобы эффективно остановить доставку поддельной электронной почты, отправляющие домены, их почтовые серверы и принимающая система должны быть правильно настроены для этих более высоких стандартов аутентификации. Хотя их использование увеличивается, оценки сильно разнятся относительно того, какой процент электронных писем не имеет формы аутентификации домена: от 8,6% [7] до «почти половины». [8] [9] [10] По этой причине принимающие почтовые системы обычно имеют ряд настроек для настройки того, как они обрабатывают плохо настроенные домены или электронную почту. [11] [12]
Смотрите также
- Аутентификация электронной почты - методы, направленные на предоставление проверяемой информации о происхождении сообщений электронной почты.
- Структура политики отправителя - простая система проверки электронной почты, предназначенная для обнаружения спуфинга электронной почты (SPF)
- Компьютерный вирус - компьютерная программа, которая изменяет другие программы для самовоспроизведения и распространения.
- Компьютерный червь - автономная вредоносная компьютерная программа, которая копирует себя для распространения на другие компьютеры.
- Обман - преднамеренно сфабрикованная ложь, маскирующаяся под правду.
- Цепное письмо - письмо, написанное подряд группой людей.
- Джо Джобс - метод рассылки нежелательных сообщений электронной почты с использованием поддельных данных отправителя.
- Подмена веб-сайта - создание веб-сайта в качестве обмана с целью ввести читателей в заблуждение.
- Розыгрыш звонка
Рекомендации
- ^ Зибенманн, Крис. «Краткий обзор SMTP» . Университет Торонто . Проверено 8 апреля 2019 .
- ^ Барнс, Билл (2002-03-12). "Имитаторы электронной почты" . Проверено 8 апреля 2019 .
- ^ «Имитаторы электронной почты: определение« поддельной »электронной почты» . Архивировано из оригинала на 2017-06-21 . Проверено 8 апреля 2019 .
- ^ «Отпечатки мошенников на фальшивой сделке с Samsung» . Проверено 8 апреля 2019 .
- ^ См. RFC3834
- ^ «Безопасность транспортного уровня для входящей почты» . Службы Google Postini . Архивировано из оригинала на 2016-11-11 . Проверено 8 апреля 2019 .
- ^ Бурштейн, Эли; Эранти, Виджай (2013-12-06). «Все усилия Интернета по борьбе с фишингом электронной почты работают» . Блог по безопасности Google . Проверено 8 апреля 2019 .
- ^ Эггерт, Ларс. «Тенденции развертывания SPF» . Архивировано из оригинала на 2016-04-02 . Проверено 8 апреля 2019 .
- ^ Эггерт, Ларс. «Тенденции развертывания DKIM» . Архивировано из оригинала на 2018-08-22 . Проверено 8 апреля 2019 .
- ^ «В первый год DMARC защищает 60% почтовых ящиков потребителей во всем мире» . dmarc.org . 2013-02-06 . Проверено 8 апреля 2019 .
- ^ «Предотвращение поддельных сообщений с обнаружением поддельных отправителей» . Проверено 8 апреля 2019 .
- ^ «Защита от спуфинга в Office 365» . Проверено 8 апреля 2019 .
Внешние ссылки
- «Технический совет 2002 года: поддельная / поддельная электронная почта» . Электронная библиотека SEI . Университет Карнеги Меллон. 2002-01-01 . Проверено 19 декабря 2019 .