интересен

Как спамерите подправят вашия имейл адрес (и как да се защитите)

Повечето от нас познават спама, когато го видим, но виждането на странен имейл от приятел - или по-лошо от нас самите - във входящата ни поща е доста смущаващо. Ако сте виждали имейл, който изглежда като от приятел, това не означава, че са били хакнати. Спамерите подправят тези адреси през цялото време и това не е трудно да се направи. Ето как го правят и как можете да се защитите.

Спамерите отдавна излъгват имейл адресите. Преди години те са получавали списъци с контакти от компютри, заразени със злонамерен софтуер. Днешните крадци на данни избират внимателно целите си и ги фишират със съобщения, които изглеждат като от приятели, надеждни източници или дори от собствената им сметка.

Оказва се, че подправянето на истински имейл адреси е изненадващо лесно и част от това, защо фишингът е такъв проблем. Системният инженер, стремящ се към CISSP и читателят на Goldavelez.com Матю ни насочи към начина, по който работи, но също така ни изненада, като ни изпрати имейл на Goldavelez.com от имейл адресите на други писатели на Goldavelez.com. Въпреки факта, че знаехме, че това е възможно - всички сме получавали спам и преди - беше по-смущаващо всъщност да бъдем от него. И така, разговаряхме с него как го е направил и какво хората могат да направят, за да се защитят.

Малка история: Защо адресите по имейл са толкова лесно подправени

Днес повечето доставчици на електронна поща разрешават проблема със спама - поне за свое удовлетворение. Gmail и Outlook имат силни, сложни алгоритми за улавяне на спам и мощни инструменти за филтриране. В началото на 2000-те обаче това не беше така. Спамът все още беше огромен проблем, който пощенските сървъри все още не трябваше да се справят сериозно, още по-малко разработиха съвременни инструменти за управление.

През 2003 г. Менг Венг Вонг предложи начин пощенските сървъри да „проверят“ дали IP адресът (уникалният номер, който идентифицира компютър в интернет), изпращайки съобщение, е упълномощен да изпраща поща от името на конкретен домейн. Нарича се разрешеният формуляр на изпращача (преименуван на „рамка на политиката за подателя“ през 2004 г.) и Матю обяснява как работи:

Всеки път, когато е изпратено съобщение по имейл, получаващият имейл сървър ще сравнява IP на произхода на съобщението с IP адреса, посочен в SPF записа за хост на имейл адреса (частта „@ example.com“).

Ако двата IP адреса съвпадат, тогава имейлът може да премине към предвидения получател. Ако IP адресите не съвпадат, имейл ще бъде маркиран като спам или напълно отхвърлен. Тежестта за вземане на решение за резултата беше изцяло в ръцете на приемащия сървър.

С течение на годините SPF записите се развиват (най-скорошната RFC е публикувана през април 2014 г.), а повечето домейни в интернет имат SPF записи (можете да ги търсите тук).

Когато регистрирате домейн, вие също регистрирате редица DNS записи, които вървят заедно с него. Тези записи казват на света с кои компютри да говорят в зависимост от това какво искат да правят (имейл, уеб, FTP и т.н.). Записът на SPF е пример и в идеалния случай би бил сигурен, че всички пощенски сървъри в интернет знаят, че хората, изпращащи имейл от, да речем, @ Goldavelez.com.com, всъщност са оторизирани потребители на компютри.

Този метод обаче не е перфектен, което е част от причината да не се захване напълно. SPF записите изискват администриране - някой действително добавя нови IP адреси и премахва стари, и време, за да се разпространи записът в интернет всеки път, когато се извърши промяна. (: Преди свързвахме проверки на SPF за IP адреси на потребители, когато технологията действително се използва от пощенски хостове, за да се провери дали сървърът, през който преминава съобщението, е оторизиран подател от името на даден домейн, а не дали използваният е упълномощен да изпраща на извинявам се за объркването и благодарение на коментаторите, които посочиха това!) Повечето компании така или иначе използват мека версия на SPF. Вместо да рискуват фалшиви позитиви чрез блокиране на полезна поща, те прилагат „твърд“ и „мек“ отказ. Хостовете по електронната поща също разхлабиха ограниченията си относно това, което се случва със съобщенията, които не са успели да проверят. В резултат на това имейлите са по-лесни за управление на корпорациите, но фишингът е лесен и голям проблем.

Тогава, през 2012 г., беше въведен нов тип запис, предназначен да работи заедно с SPF. Нарича се DMARC или удостоверяване на съобщения на базата на домейн, отчитане и съответствие. След една година той се разширява, за да защити голям брой потребителски пощенски кутии (въпреки че самопровъзгласилите се 60% вероятно са оптимистични.) Матей обяснява подробностите:

DMARC се свежда до два важни флага (въпреки че има общо 10) - флагът "p", който инструктира получаващите сървъри как да се справят с потенциално фалшиви имейли, или чрез отхвърляне, карантиране или преминаване; и флагът "rua", който казва на получаващите сървъри, където могат да изпращат отчет за неуспешни съобщения (обикновено имейл адрес в групата за защита на администратора на домейна). Записът DMARC решава повечето от проблемите със SPF записи, като поема тежестта да реши как да отговори далеч от получателя.

Проблемът е, че все още не всички използват DMARC.

Този удобен инструмент ви позволява да питате записа на DMARC на всеки домейн - изпробвайте го в няколко от любимите си (gawker.com, whitehouse.gov, redcross.org, reddit.com). Забелязвате ли нещо? Нито един от тях не е публикувал записи на DMARC. Това означава, че всеки имейл хост, който се опитва да спазва правилата на DMARC, няма да има инструкции как да борави с SPF неуспешни имейли и вероятно ще ги пусне. Това прави Google с Gmail (и Google Apps) и затова фалшивите имейли могат да стигнат до вашата пощенска кутия.

За да докажете, че Google обръща внимание на записите в DMARC, погледнете записа на DMARC за facebook.com - идентификаторите на флага „p“, че получателите трябва да отхвърлят имейлите, и изпратете доклад за това на пощенския майстор във Facebook. Сега опитайте да фалшифицирате имейл от facebook.com и го изпратете до адрес в Gmail - той няма да премине. Сега погледнете записа на DMARC за fb.com - той показва, че не трябва да се отхвърля имейл, но все пак трябва да се направи отчет. И ако го тествате, имейлите от @ fb.com ще преминат.

Матю отбеляза също, че „докладът за поща“ не е шега. Когато се опита да подправя домейн с DMARC запис, неговият SMTP сървър беше блокиран за по-малко от 24 часа. При нашето тестване забелязахме същото. Ако един домейн е настроен правилно, те бързо ще сложат край на тези подправени съобщения - или поне докато споферът не използва различен IP адрес. Домейнът, който няма записи на DMARC, обаче е честна игра. Можете да ги излъжете в продължение на месеци и никой в ​​края на изпращането няма да забележи - зависи от доставчика на пощата, който ще защити своите потребители (или чрез маркиране на съобщението като спам въз основа на съдържание, или въз основа на неуспешната проверка на SPF на съобщението. )

Как спамерите подправят имейл адреси

Инструментите, необходими за подправяне на имейл адреси, са изненадващо лесни за получаване. Всичко, от което се нуждаете, е работещ SMTP сървър (известен още като сървър, който може да изпраща имейл) и подходящият софтуер за пощенски адреси.

Всеки добър уеб хост ще ви предостави SMTP сървър. (Можете също така да инсталирате SMTP в собствена система. Порт 25 - портът, използван за изходящ имейл, обикновено се блокира от интернет доставчиците. Това е специално, за да се избегне вида на масовия имейл злонамерен софтуер, който видяхме в началото на 2000-те.) За него шега по нас, Матю използва PHP Mailer. Той е лесен за разбиране, лесен за инсталиране и дори има уеб интерфейс. Отворете PHP Mailer, съставете съобщението си, поставете в адресите „от“ и „до“ и щракнете върху изпращане. В края на получателя, той ще получи имейл във входящата си поща, който изглежда сякаш идва от адреса, който сте въвели. Матю обяснява:

Имейлът трябваше да работи без проблем и изглежда, че е от когото сте казали, че е от. Има много малко данни, че това не е дошло от входящата им поща, докато не видите изходния код на имейла (опция „Преглед на оригинала“ в Gmail). [ed бележка: вижте изображението по-горе]

Ще забележите, че „мекият“ имейл не успя да провери SPF, но въпреки това той премина във входящата поща. Важно е също да се отбележи, че изходният код включва първоначалния IP адрес на имейла, така че е възможно имейлът да бъде проследен, ако получателят иска.

В този момент е важно да се отбележи, че все още няма стандарт за това как хостовете на електронната поща ще третират провалите на SPF. Gmail, хостът, с който направих по-голямата част от тестването си, разреши влизането на имейли. Outlook.com обаче не достави нито един фалшифициран имейл, независимо дали е мек или твърд. Моят корпоративен сървър за Exchange ги пусна без проблем, а домашният ми сървър (OS X) ги прие, но ги маркира като спам.

Това е всичко, което има. Прегледахме някои детайли, но не много. Най-голямото предимство тук е, ако кликнете върху отговора на подправеното съобщение, всичко изпратено обратно отива на собственика на адреса, а не на спофера. Това не е от значение за крадците, тъй като спамерите и фишистите просто се надяват да щракнете върху връзки или да отворите прикачени файлове.

Компромисът е ясен: Тъй като SPF никога не се е захванал по начина, по който е предназначен, няма нужда да добавяте IP адреса на устройството си в списък и да чакате 24 часа всеки път, когато пътувате, или да искате да изпращате имейл от новия си смартфон, Това обаче означава също, че фишингът остава основен проблем. Най-лошото е, че просто всеки може да го направи.

Какво можете да направите, за да се защитите

Всичко това може да ви се стори тайнствено или да изглежда като много шум над няколко злобни спам имейла. В крайна сметка повечето от нас познават спама, когато го видим - ако изобщо го видим. Но истината е, че за всеки акаунт, където тези съобщения са маркирани, има друго, където не са и фишинг имейлите плават във входящи кутии на потребители.

Матю ни обясни, че той обиждал адреси с приятели, само за да свали приятели и да ги изплаши малко - като шефът се сърдил на тях или рецепционистът по имейл казал, че колата им е теглена - но разбрал, че работи малко прекалено добре, дори от мрежата на компанията. Подправените съобщения са дошли през пощенския сървър на компанията, допълнени със снимки на профили, корпоративен статус на IM, автоматично въведена информация за контакт и други, всички полезно добавени от пощенския сървър и всички от които правят подправения имейл да изглежда законно. Когато тествах процеса, не беше много работа, преди да видя как моето собствено лице ме гледа във входящата си поща, или Уитсън, или дори Адам Дачис, който дори няма имейл адрес на Goldavelez.com.

Още по-лошото е, че единственият начин да разберете, че имейлът не е от човека, който изглежда, е да ровите в заглавките и да знаете какво търсите (както описахме по-горе.) Това е доста висока поръчка дори за технологиите -савви сред нас - кой има време за това посред натоварен работен ден? Дори бърз отговор на подправения имейл просто би породил объркване. Това е перфектен начин да предизвикате малко хаос или да насочите индивидите да ги накарат да компрометират собствените си компютри или да се откажат от информация за вход. Но ако видите нещо, което е дори малко подозрително, поне имате още един инструмент в арсенала си.

Така че, ако искате да защитите пощенските си кутии от съобщения като това, можете да направите няколко неща:

  • Повишете вашите филтри за спам и използвайте инструменти като Приоритетна вх . Настройката на вашите спам филтри малко по-силна може - в зависимост от вашия доставчик на поща - да направи разликата между съобщение, което не успява SPF да провери кацането в спам спрямо вашата пощенска кутия. По същия начин, ако можете да използвате услуги като Приоритетна пощенска кутия на Gmail или ВИП на Apple, по същество оставяте пощенския сървър да разбере важните хора за вас. Ако важен човек е измамен, все пак ще го получите.
  • Научете се да четете заглавки на съобщения и да проследявате IP адреси . В тази публикация обяснихме как да направите това за проследяването на източника на спам и е добре да го притежавате. Когато влезе подозрителен имейл, ще можете да отворите заглавките, да погледнете IP адреса на подателя и да видите дали съвпада с предишни имейли от същия човек. Можете дори да направите обратно търсене в IP адреса на изпращача, за да видите къде е - което може или не може да бъде информативно, но ако получите имейл от вашия приятел в града, който е с произход от Русия (и те не пътуват), вие знам, че нещо е готово.
  • Никога не щраквайте върху непознати връзки или изтегляйте непознати прикачени файлове . Това може да изглежда като не-мозъчен, но всичко, което е необходимо, е един служител във фирма, който вижда съобщение от шефа си или от някой друг от компанията, за да отвори прикачен файл или да кликне на смешна връзка с Google Docs, за да разкрие цялата корпоративна мрежа. Много от нас смятат, че по-горе сме излъгани по този начин, но това се случва непрекъснато. Обърнете внимание на получените съобщения, не кликнете върху връзки в имейл (отидете директно до вашата банка, кабелна компания или друг уебсайт и влезте, за да намерите това, което искат да видите) и не изтегляйте прикачени файлове по имейл не очаквате изрично. Поддържайте актуализацията на анти-софтуера на вашия компютър.
  • Ако управлявате собствения си имейл, го одитирайте, за да видите как реагира на SPF и DMARC записи . Може да успеете да попитате вашия уеб-домакин за това, но не е трудно да проверите сами, като използвате същия метод на подправяне, който описахме по-горе. Освен това проверете папката си за нежелана поща - може да видите съобщения там от себе си или от хора, които познавате. Попитайте вашия уеб хост дали те могат да променят начина на конфигуриране на вашия SMTP сървър или помислете за превключване на пощенски услуги към нещо като Google Apps за вашия домейн.
  • Ако притежавате свой собствен домейн, подайте DMARC записи за него . Матю обяснява, че имате контрол върху това колко агресивен искате да бъдете, но прочетете как да подадете записи на DMARC и да актуализирате вашите с регистратора на вашия домейн. Ако не сте сигурни как, те трябва да могат да помогнат. Ако получавате подправени съобщения във фирмен акаунт, уведомете корпоративния си ИТ. Те може да имат причина да не записват записи на DMARC (Матю обясни, че каза, че не могат, тъй като имат външни услуги, които трябва да изпращат, използвайки домейна на компанията - нещо лесно фиксирано, но такъв тип мислене е част от проблема), но поне ги уведомяваш.

Както винаги, най-слабата връзка в сигурността е крайният потребител. Това означава, че ще трябва да държите BS сензорите си обърнати докрай всеки път, когато получите имейл, който не сте очаквали. Образовайте се. Актуализирайте софтуера си срещу злонамерен софтуер. И накрая, внимавайте за проблеми като тези, тъй като те ще продължат да се развиват, докато ние продължаваме да се борим със спама и фишинга.