Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Подмена электронной почты - это создание сообщений электронной почты с поддельным адресом отправителя.

Основные протоколы электронной почты не имеют какого-либо механизма аутентификации , что делает обычным для спама и фишинговых писем использование такого спуфинга, чтобы ввести получателя в заблуждение или даже разыграть источник сообщения.

Технические детали [ править ]

Когда отправляется электронное письмо с использованием простого протокола передачи почты (SMTP) , первоначальное соединение предоставляет две части адресной информации:

  • ПОЧТА ОТ: - обычно представляется получателю как заголовок Return-path :, но обычно не виден конечному пользователю, и по умолчанию не выполняется никаких проверок того, что отправляющая система имеет право отправлять от имени этого адреса.
  • RCPT TO: - указывает, на какой адрес электронной почты доставляется электронное письмо, обычно не отображается для конечного пользователя, но может присутствовать в заголовках как часть заголовка «Получено:».

Вместе их иногда называют адресацией на «конверте» - по аналогии с традиционным бумажным конвертом . [1] Если получающий почтовый сервер не сигнализирует о проблемах с любым из этих элементов, отправляющая система отправляет команду «DATA» и обычно отправляет несколько элементов заголовка, в том числе:

  • От: Joe Q Doe <[email protected]> - адрес, видимый получателю; но опять же, по умолчанию не выполняется никаких проверок того, что отправляющая система имеет право отправлять сообщения от имени этого адреса.
  • Ответить: Jane Roe <[email protected]> - аналогично не проверено

и иногда:

В результате получатель электронной почты видит, что письмо пришло с адреса, указанного в заголовке От : . Иногда они могут найти адрес MAIL FROM , и если они ответят на электронное письмо, оно перейдет либо на адрес, представленный в заголовке From: или Reply-to:, но ни один из этих адресов обычно не является надежным, [2] поэтому автоматические сообщения о недоставке могут вызывать обратное рассеяние .

Хотя спуфинг электронной почты эффективен для подделки адреса электронной почты, IP-адрес компьютера, отправляющего почту, обычно можно определить по строкам «Получено:» в заголовке электронной почты. [3] Однако в случае злонамеренных действий это, скорее всего, компьютер невиновной третьей стороны, зараженный вредоносным ПО , которое отправляет электронное письмо без ведома владельца.

Злонамеренное использование спуфинга [ править ]

Мошенничество с фишингом и компрометацией корпоративной электронной почты обычно включает в себя элемент спуфинга электронной почты.

Спуфинг электронной почты является причиной публичных инцидентов с серьезными коммерческими и финансовыми последствиями. Так было в электронном письме, отправленном в октябре 2013 года новостному агентству, которое было подделано так, чтобы оно выглядело так, как будто оно было от шведской компании Fingerprint Cards . В письме говорилось, что Samsung предлагал купить компанию. Новость распространилась, и биржевой курс вырос на 50%. [4]

Вредоносные программы, такие как Klez и Sober среди многих других современных примеров, часто ищут адреса электронной почты на зараженном ими компьютере и используют эти адреса как в качестве целей для электронной почты, так и для создания надежных поддельных полей From в отправляемых ими электронных письмах. Это сделано для того, чтобы письма с большей вероятностью открывались. Например:

  1. Алисе отправляется зараженное письмо, которое она открывает с кодом червя.
  2. Код червя ищет в адресной книге электронной почты Алисы и находит адреса Боба и Чарли.
  3. С компьютера Алисы червь отправляет Бобу зараженное электронное письмо, но создается так, чтобы оно выглядело так, как если бы оно было отправлено Чарли.

В этом случае, даже если система Боба обнаруживает, что входящая почта содержит вредоносное ПО, он видит, что источником является Чарли, даже если оно действительно пришло с компьютера Алисы. Между тем, Алиса может не знать, что ее компьютер заражен, а Чарли вообще ничего об этом не знает, если только он не получит сообщение об ошибке от Боба.

Законное использование [ править ]

На раннем этапе развития Интернета «законно поддельная» электронная почта была обычным явлением. Например, посетивший пользователь может использовать SMTP- сервер локальной организации для отправки электронной почты с внешнего адреса пользователя. Поскольку большинство серверов были настроены как « открытые реле », это было обычной практикой. Поскольку спам в электронной почте превратился в досадную проблему, подобные «законные» способы использования перестали быть популярными. Примером законного спуфинга может быть сценарий, в котором служба управления взаимоотношениями с клиентамисистема получает электронное письмо с веб-сайта, и для регистрации входящего электронного письма и создания профиля для электронного письма, связанного с новым контактом, система должна быть настроена на использование «отправителя» электронного письма для создания профиля потенциального клиента с именем и адресом электронной почты отправителя. Отправляющий веб-сайт будет настроен на подделку исходящей электронной почты с веб-сайта и отправку электронной почты таким образом, чтобы казалось, что оно приходит от отправителя с информацией об отправителе в качестве имени отправителя и адреса электронной почты. Затем система зарегистрирует его в соответствии с настройками.

Когда несколько программных систем связываются друг с другом по электронной почте, может потребоваться спуфинг, чтобы облегчить такое общение. В любом сценарии, когда адрес электронной почты настроен для автоматической пересылки входящих писем в систему, которая принимает письма только от сервера пересылки электронной почты, для облегчения такого поведения требуется спуфинг. Это характерно для билетных систем, которые взаимодействуют с другими билетными системами.

Влияние на почтовые серверы [ править ]

Традиционно почтовые серверы могли принимать почтовый элемент, а затем отправлять отчет о недоставке или сообщение о недоставке, если оно не могло быть доставлено или было помещено в карантин по какой-либо причине. Они будут отправлены на адрес «ПОЧТА ОТ:», также известный как «обратный путь». В связи с массовым ростом числа поддельных адресов, теперь лучше всего не создавать отчеты о недоставке для обнаруженного спама, вирусов и т. Д. [5], а отклонять электронную почту во время транзакции SMTP. Когда почтовые администраторы не применяют этот подход, их системы виновны в отправке электронных писем с обратным рассеянием невиновным сторонам - что само по себе является формой спама - или в использовании для выполнения атак типа « Джо Джо ».

Контрмеры [ править ]

Система SSL / TLS , используемая для шифрования межсерверного почтового трафика, также может использоваться для принудительной аутентификации, но на практике она используется редко [6], а ряд других потенциальных решений также не получил поддержки.

Однако в настоящее время широко используется ряд эффективных систем, в том числе:

  • SPF
  • Удостоверение личности отправителя
  • DKIM
  • DMARC

Чтобы эффективно остановить доставку поддельной электронной почты, отправляющие домены, их почтовые серверы и принимающая система должны быть правильно настроены для этих более высоких стандартов аутентификации. Хотя их использование увеличивается, оценки сильно разнятся относительно того, какой процент электронных писем не имеет формы аутентификации домена: от 8,6% [7] до «почти половины». [8] [9] [10] По этой причине принимающие почтовые системы обычно имеют ряд настроек для настройки того, как они обрабатывают плохо настроенные домены или электронную почту. [11] [12]

См. Также [ править ]

  • Аутентификация электронной почты  - методы, направленные на предоставление проверяемой информации о происхождении сообщений электронной почты.
  • Структура политики отправителя  - простая система проверки электронной почты, предназначенная для обнаружения спуфинга электронной почты (SPF)
  • Компьютерный вирус  - компьютерная программа, которая изменяет другие программы для самовоспроизведения и распространения.
  • Компьютерный червь  - автономная вредоносная компьютерная программа, которая копирует себя для распространения на другие компьютеры.
  • Обман  - преднамеренно сфабрикованная ложь, маскирующаяся под правду.
  • Цепное письмо  - письмо, написанное подряд группой людей.
  • Джо Джобс  - метод рассылки нежелательных сообщений электронной почты с использованием поддельных данных отправителя.
  • Подмена веб-сайта  - создание веб-сайта в качестве обмана с целью ввести читателей в заблуждение.
  • Розыгрыш звонка

Ссылки [ править ]

  1. ^ Зибенманн, Крис. «Краткий обзор SMTP» . Университет Торонто . Проверено 8 апреля 2019 .
  2. ^ Барнс, Билл (2002-03-12). "Имитаторы электронной почты" . Проверено 8 апреля 2019 .
  3. ^ "имитаторы электронной почты: определение" поддельной "электронной почты" . Архивировано из оригинала на 2017-06-21 . Проверено 8 апреля 2019 .
  4. ^ «Отпечатки пальцев мошенников на поддельной сделке с Samsung» . Проверено 8 апреля 2019 .
  5. ^ См. RFC3834
  6. ^ «Безопасность транспортного уровня для входящей почты» . Службы Google Postini . Архивировано из оригинала на 2016-11-11 . Проверено 8 апреля 2019 .
  7. ^ Bursztein, Elie; Эранти, Виджай (2013-12-06). «Все усилия Интернета по борьбе с фишингом электронной почты работают» . Блог по безопасности Google . Проверено 8 апреля 2019 .
  8. ^ Эггерт, Ларс. «Тенденции развертывания SPF» . Архивировано из оригинала на 2016-04-02 . Проверено 8 апреля 2019 .
  9. ^ Эггерт, Ларс. «Тенденции развертывания DKIM» . Архивировано из оригинала на 2018-08-22 . Проверено 8 апреля 2019 .
  10. ^ «В первый год DMARC защищает 60 процентов глобальных почтовых ящиков потребителей» . dmarc.org . 2013-02-06 . Проверено 8 апреля 2019 .
  11. ^ «Предотвращение поддельных сообщений с обнаружением поддельных отправителей» . Проверено 8 апреля 2019 .
  12. ^ «Защита от спуфинга в Office 365» . Проверено 8 апреля 2019 .

Внешние ссылки [ править ]

  • «Технический совет 2002 года: поддельная / поддельная электронная почта» . Электронная библиотека SEI . Университет Карнеги Меллон. 2002-01-01 . Проверено 19 декабря 2019 .