цікаво

Як спамери підробляють вашу електронну адресу (і як захистити себе)

Більшість з нас знає спам, коли ми бачимо його, але бачити дивне електронне повідомлення від друга, або ще гірше, від нас самих - у нашій папці "Вхідні" це дуже неприємно. Якщо ви бачили електронний лист, схожий на друга, це не означає, що його зламали. Спамери підробляють ці адреси постійно, і це не важко зробити. Ось як вони це роблять і як можна захистити себе.

Спамери давно підробляють електронні адреси. Роки тому вони отримували списки контактів із заражених зловмисними програмами ПК. Сьогоднішні злодії даних ретельно вибирають цілі та фіксують їх повідомленнями, схожими на друзів, надійних джерел чи навіть власного облікового запису.

Виявляється, підробка справжніх адрес електронної пошти напрочуд проста, і частина того, чому фішинг є такою проблемою. Системний інженер, що прагне CISSP, і читач Goldavelez.com Метью підказав нам, як це працює, але також здивував нас, надіславши нам декілька електронних адрес Goldavelez.com з електронних адрес інших письменників Goldavelez.com. Незважаючи на те, що ми знали, що це можливо - ми всі раніше отримували спам, - насправді було насправді непросто. Отже, ми поговорили з ним про те, як він це зробив і що люди можуть зробити, щоб захистити себе.

Невелика історія: чому адреси електронної пошти так легко підробляються

Сьогодні більшість постачальників електронної пошти вирішено проблему зі спамом - принаймні на власне задоволення. Gmail і Outlook мають потужні, складні алгоритми збору спаму та потужні інструменти фільтрації. Ще на початку 2000-х це було не так. Спам все ще залишався величезною проблемою, яку поштові сервери ще не вирішили серйозно, а тим більше розробити сучасні інструменти для управління.

У 2003 році Менг Венг Вонг запропонував способу поштовим серверам "перевірити", що IP-адреса (унікальний номер, який ідентифікує комп'ютер в Інтернеті), надіславши повідомлення, має право відправляти пошту від імені конкретного домену. Він називається дозволеною формою відправника (перейменованою на "Рамкову політику відправника" у 2004 році), і Метью пояснює, як це працює:

Щоразу, коли повідомлення електронної пошти надсилалося, сервер електронної пошти, що приймає, порівнював IP-адресу походження повідомлення з IP-адресою, вказаною в записі SPF для хоста електронної адреси (частина "@ example.com".)

Якщо дві IP-адреси збігаються, то електронний лист може перейти до призначеного одержувача. Якщо IP-адреси не збігаються, то повідомлення електронної пошти буде позначено як спам або взагалі відхилено. Тягар вирішення результату був повністю на руках сервера, що приймає.

Протягом багатьох років записи SPF еволюціонували (найновіший RFC був опублікований у квітні 2014 року), і більшість доменів в Інтернеті мають записи SPF (шукати їх можна тут).

Коли ви реєструєте домен, ви також реєструєте ряд записів DNS, які йдуть разом із ним. Ці записи вказують світові, з якими комп’ютерами слід поговорити, залежно від того, що вони хочуть робити (електронна пошта, Інтернет, FTP тощо). Запис SPF є прикладом, і в ідеалі він би переконався, що всі поштові сервери в Інтернеті знають, що люди, що надсилають електронну пошту, скажімо, від @ Goldavelez.com.com, насправді є авторизованими користувачами комп'ютерів.

Однак цей метод не є досконалим, і це є причиною того, що він не застосований повністю. SPF-записи вимагають адміністрування - хтось фактично додає нові IP-адреси та видаляє старі, а також час, коли запис розповсюджуватиметься в Інтернеті щоразу, коли буде здійснена зміна. (: Ми попередньо прив'язували перевірки SPF до IP-адрес користувачів, коли технологія фактично використовується поштовими хостами для перевірки того, що сервер, через який проходить повідомлення, є уповноваженим відправником від імені певного домену, а не те, що використовуваний дозволений для надсилання від імені вказаної адреси. Вибачте за плутанину, і завдяки коментаторам, які вказали на це!) Більшість компаній у будь-якому випадку використовують м'яку версію SPF. Замість того, щоб ризикувати помилковими позитивами, блокуючи корисну пошту, вони реалізують "жорсткий" та "м'який" помилки. Хости електронної пошти також послабили свої обмеження щодо того, що відбувається з повідомленнями, які не перевіряють цю перевірку. Як результат, корпораціям електронною поштою простіше керувати, але фішинг - це легко і є великою проблемою.

Тоді, у 2012 році, було запроваджено новий тип запису, розроблений для співпраці зі SPF. Це називається DMARC або автентифікація повідомлень на основі домену, звітування та відповідність. Через один рік він розширюється, щоб захистити велику кількість поштових скриньок споживачів (хоча самопроголошені 60%, мабуть, оптимістичні.) Метью пояснює деталі:

DMARC зводить до двох важливих прапорів (хоча їх усього 10) - прапор "p", який вказує серверам прийому, як поводитися з потенційно хибними електронними листами, або шляхом відхилення, карантинування або передачі; і прапор "rua", який повідомляє приймаючим серверам, куди вони можуть надсилати звіт про невдалі повідомлення (як правило, електронну адресу в групі безпеки адміністратора домену). Запис DMARC вирішує більшість питань із записами SPF, приймаючи на себе тягар вирішення способів реагування у відповідь на одержувача.

Проблема в тому, що ще не всі використовують DMARC.

Цей зручний інструмент дозволяє вам запитувати запис DMARC будь-якого домену - спробуйте його у кількох улюблених (gawker.com, whitehouse.gov, redcross.org, reddit.com). Помітили щось? Жоден з них не опублікував записи DMARC. Це означає, що будь-який хост електронної пошти, який намагається відповідати правилам DMARC, не мав би ніяких інструкцій щодо обробки SPF невдалих електронних листів, і, ймовірно, дозволив би їх пропустити. Це те, що Google робить з Gmail (і Google Apps), і саме тому фальшиві електронні листи можуть потрапляти у вашу поштову скриньку.

Щоб довести, що Google звертає увагу на записи DMARC, подивіться запис DMARC для facebook.com - ідентифікатори прапорця "p", яким одержувачі повинні відхиляти електронні листи, та надішліть звіт про це поштовому майстру у Facebook. Тепер спробуйте підробити електронний лист від facebook.com та надіслати його на адресу Gmail - він не пройде. Тепер подивіться запис DMARC для fb.com - це вказує на те, що жодна електронна пошта не повинна відхилятися, але все-таки слід робити звіт. І якщо ви протестуєте це, електронні листи від @ fb.com будуть надходити.

Метью також зазначив, що "доповідь пошти" - це не жарт. Коли він спробував підробляти домен із записом DMARC, його SMTP-сервер був заблокований менш ніж за 24 години. У нашому тестуванні ми помітили те саме. Якщо домен налаштований належним чином, вони швидко припинять ці підроблені повідомлення - або принаймні, поки спофер не використовує іншу IP-адресу. Однак домен, який не має записів DMARC, - це чесна гра. Ви можете підробляти їх місяцями, і ніхто в кінці надсилання не помітить - дозволити постачальнику пошти буде захищати своїх користувачів (або позначити повідомлення як спам на основі вмісту, або на основі невдалої перевірки SPF повідомлення. )

Як спамери підробляють адреси електронної пошти

Інструменти, необхідні для підробки електронних адрес, можна отримати напрочуд легко. Все, що вам потрібно, - це робочий SMTP-сервер (він же, сервер, який може надсилати електронну пошту) та правильне поштове програмне забезпечення.

Будь-який хороший веб-хостинг надасть вам SMTP-сервер. (Ви також можете встановити SMTP у вашій системі, порт 25 - порт, який використовується для вихідної електронної пошти, зазвичай блокується провайдерами. Це спеціально для уникнення виду зловмисного програмного забезпечення для масової розсилки, яке ми бачили на початку 2000-х років.) прикро від нас, Метью використав PHP Mailer. Це легко зрозуміти, легко встановити, і він навіть має веб-інтерфейс. Відкрийте програму PHP Mailer, складіть своє повідомлення, поставте адреси "від" та "до" та натисніть кнопку "Надіслати". Після закінчення одержувача вони отримають електронну пошту у свою поштову скриньку, яка виглядає так, що вона надійшла з адреси, яку ви ввели. Метью пояснює:

Електронний лист повинен працювати без проблем і, здається, є від того, з кого ви сказали. Існує дуже мало, щоб вказати, що це не надходило з папки "Вхідні", поки ви не переглянете вихідний код електронної пошти (параметр "Переглянути оригінал" в Gmail) [ed примітка: див. зображення вище]

Ви помітите, що повідомлення електронної пошти "soft" не вдалося перевірити SPF, але все-таки воно потрапило у папку "Вхідні". Важливо також зазначити, що вихідний код включає початкову IP-адресу електронної пошти, тому можливо, щоб електронний лист був відстежений, якщо одержувач цього захотів.

Важливо зазначити, що на даний момент все ще не існує стандарту того, як хости електронної пошти будуть поводитись з відмовами SPF. Gmail, хост, з яким я робив більшу частину тестування, дозволив надходити електронні листи. Однак Outlook.com не доставив жодного фальсифікованого електронного листа, будь то м'який чи жорсткий. Мій корпоративний сервер Exchange впустив їх без проблем, а мій домашній сервер (OS X) прийняв їх, але позначив їх як спам.

Це все, що там є. Ми переглянули деякі деталі, але не багато. Найбільший застереження тут - якщо натиснути відповідь на підроблене повідомлення, все, що надсилається назад, надходить до власника адреси, а не до підробника. Для злодіїв це не має значення, оскільки спамери та фішери сподіваються, що ви натиснете посилання або відкриєте вкладення.

Компроміс очевидний: оскільки SPF ніколи не переймався способом, яким він був призначений, вам не потрібно додавати IP-адресу свого пристрою до списку та чекати 24 години щоразу, коли ви подорожуєте, або хочете надсилати електронну пошту зі свого нового смартфона . Однак це також означає, що фішинг залишається головною проблемою. Найгірше, що це може зробити кожен.

Що ви можете зробити, щоб захистити себе

Це все може здатися таємничим, або здаватися великою метушнею за кілька потворних спам-листів. Зрештою, більшість із нас знає спам, коли ми бачимо його - якщо ми колись його бачимо. Але правда полягає в тому, що для кожного облікового запису, де зазначені повідомлення позначені, є ще одне, де вони відсутні, а фішинг-листи надходять у вхідні скриньки користувачів.

Метью пояснив нам, що він використовував підробку адрес з друзями просто для того, щоб розіграти друзів і трохи злякатися - як бос сердився на них, або портьє надіслали електронною поштою, щоб сказати, що їхня машина була буксирована - але зрозумів, що вона працює надто добре, навіть із мережі компанії. Підроблені повідомлення надходили через сервер електронної пошти компанії, а також фотографії профілю, статус корпоративного чату, автоматично заповнену контактну інформацію та багато іншого, всі вони корисно додані поштовим сервером, і всі вони дозволяють зробити підроблений електронний лист законним виглядом. Коли я тестував процес, це було не так багато роботи, перш ніж я побачив, як моє обличчя озирається на мене у моїй папці, або Уїтсона, або навіть Адама Дачіса, у якого вже немає електронної адреси Goldavelez.com.

Що ще гірше, єдиний спосіб сказати, що електронний лист не від людини, на яку він схожий, - це копати в заголовках і знати, що ви шукаєте (як ми описали вище). Це досить високе замовлення навіть для технологій -савви серед нас, хто встигає на це посеред напруженого робочого дня? Навіть швидка відповідь на підроблений електронний лист просто призведе до плутанини. Це ідеальний спосіб викликати невеликий хаос або націлити людей, щоб змусити їх компрометувати власні ПК або відмовитися від інформації про вхід. Але якщо ви бачите щось, що навіть трохи підозріло, у вас, принаймні, є ще один інструмент у вашому арсеналі.

Отже, якщо ви хочете захистити свої поштові скриньки від подібних повідомлень, ви можете зробити кілька таких дій:

  • Увімкніть фільтри спаму та використовуйте такі інструменти, як "Пріоритетна папка" . Якщо налаштувати ваші спам-фільтри трохи сильніше, залежно від постачальника пошти, можна змінити повідомлення, яке не вдалося перевірити SPF на посадку спаму в порівнянні з поштовою скринькою. Так само, якщо ви можете використовувати такі сервіси, як пріоритетна вхідна скринька Gmail або VIP, ви, по суті, дозволяєте поштовому серверу з'ясувати важливих для вас людей. Якщо важлива людина обдурена, ви все одно отримаєте це.
  • Навчіться читати заголовки повідомлень та відстежувати IP-адреси . Ми пояснили, як це зробити в цій публікації про відстеження джерела спаму, і це хороший навик. Коли надійде підозрілий електронний лист, ви зможете відкрити заголовки, подивитися IP-адресу відправника та побачити, чи збігається він із попередніми листами тієї самої особи. Ви навіть можете зробити зворотний пошук у IP-адресі відправника, щоб побачити, де він знаходиться - що може бути, а може і не бути інформативним, але якщо ви отримаєте електронний лист від свого друга, який походить з Росії (а він не подорожує), ви знаю, що щось вийшло.
  • Ніколи не натискайте незнайомі посилання та не завантажуйте незнайомі додатки . Це може здатися, що це не так, що потрібно, але все, що потрібно, - це один співробітник компанії, який бачить повідомлення від свого начальника чи когось іншого в компанії про відкриття вкладеного файлу або натискає смішне посилання Google Docs, щоб відкрити всю корпоративну мережу. Багато хто з нас думає, що нас вище обдурили таким чином, але це відбувається постійно. Зверніть увагу на отримані повідомлення, не натискайте посилання електронною поштою (перейдіть безпосередньо до свого банку, компанії кабельного зв’язку чи іншого веб-сайту та ввійдіть у систему, щоб знайти те, що вони хочуть, щоб ви бачили), і не завантажуйте вкладені повідомлення електронною поштою " повторно не чекаю. Будьте в курсі антивірусних програм вашого комп'ютера.
  • Якщо ви керуєте своєю власною електронною поштою, перевірте її, щоб побачити, як вона відповідає на записи SPF та DMARC . Ви можете запитати про це свого веб-хоста, але це не важко перевірити самостійно, використовуючи той же метод підробки, який ми описали вище. Крім того, перевірте свою папку з небажаною поштою - ви можете побачити там повідомлення від себе або від людей, яких ви знаєте. Запитайте у свого веб-хоста, чи можуть вони змінити спосіб налаштування вашого SMTP-сервера або розглянути можливість переключення поштових служб на щось на зразок Google Apps для вашого домену.
  • Якщо у вас є власний домен, подайте до нього записи DMARC . Метью пояснює, що ви маєте контроль над тим, наскільки агресивним ви хочете бути, але читайте про те, як подавати записи DMARC та оновлювати ваші реєстратори вашого домену. Якщо ви не знаєте, як, вони повинні мати можливість допомогти. Якщо ви отримуєте підроблені повідомлення на рахунок компанії, повідомте про це корпоративного ІТ. У них можуть бути причини не записувати записи DMARC (Метью пояснив, що він сказав, що цього не може, тому що у них є зовнішні служби, які потрібно надсилати за допомогою домену компанії - щось легко виправити, але таке мислення є частиною проблеми), але принаймні, ти дай їм знати.

Як завжди, найслабшою ланкою безпеки є кінцевий користувач. Це означає, що вам потрібно буде тримати ваші датчики BS до кінця вгору щоразу, коли ви отримуєте електронний лист, якого ви не очікували. Виховуйте себе. Оновлюйте своє програмне забезпечення проти зловмисного програмного забезпечення. Нарешті, слідкуйте за подібними проблемами, оскільки вони продовжуватимуть розвиватися, коли ми продовжуємо боротися зі спамом та фішингом.