zanimljiv

Kako spameri prevare svoju adresu e-pošte (i kako se zaštititi)

Većina nas zna neželjenu poštu kad je vidimo, ali kad vidimo neobičnu e-poštu prijatelja ili još gore, u našoj pristigloj pošti je prilično uznemirujuće. Ako ste vidjeli poruku e-pošte koja izgleda kao da je pisao od prijatelja, to ne znači da su je hakirali. Spameri cijelo vrijeme krivotvore te adrese, a to nije teško učiniti. Evo kako to rade i kako se možete zaštititi.

Spameri već duže vrijeme krivotvore e-adrese. Prije godina dobivali su popise kontakata s PC-a zaraženih zlonamjernim softverom. Današnji kradljivci podataka pažljivo biraju svoje ciljeve i feriraju ih porukama koje izgledaju kao da dolaze od prijatelja, pouzdanih izvora ili čak s vlastitog korisničkog računa.

Ispada da je krivotvorenje stvarnih adresa e-pošte iznenađujuće jednostavno, a dio je i zašto je krađanje identiteta takav problem. Sistemski inženjer, kome je težio CISSP i čitatelj Goldavelez.com Matthew nas je upozorio kako to funkcionira, ali nas je iznenadio i e-mailom nas na Goldavelez.com poslao s adrese e-pošte drugih pisaca Goldavelez.com. Unatoč činjenici da smo znali da je to moguće - svi smo već dobili neželjenu poštu - bilo je više sramno biti zapravo to što smo bili. Dakle, razgovarali smo s njim o tome kako je to učinio i što ljudi mogu učiniti da se zaštite.

Mala povijest: Zašto se adrese e-pošte tako lako krivotvore

Danas većina pružatelja usluga e-pošte rješava problem s neželjenom poštom - barem na svoje zadovoljstvo. Gmail i Outlook imaju snažne, sofisticirane algoritme za hvatanje neželjene pošte i moćne alate za filtriranje. Međutim, početkom 2000-ih to nije bio slučaj. Neželjena pošta bila je još uvijek veliki problem s kojim se serveri pošte još nisu ozbiljno pozabavili, a još manje razvili napredne alate za upravljanje.

Meng Weng Wong je 2003. godine predložio način da poštanski poslužitelji "provjere" da je IP adresa (jedinstveni broj koji identificira računalo na internetu) slanjem poruke ovlaštena za slanje pošte u ime određene domene. Zove se Dopušteni obrazac za pošiljatelja (preimenovan u "Okvir politike pošiljatelja" 2004. godine), a Matthew objašnjava kako to funkcionira:

Svaki put kad bi se poslala poruka e-pošte, poslužitelj e-pošte koji prima primaoce uspoređuje IP podrijetla za poruku s IP adresom navedenom u SPF zapisu za host e-adrese (dio "@ example.com".)

Ako se dvije IP adrese podudaraju, e-adresa bi mogla proslijediti predviđenom primatelju. Ako se IP adrese ne podudaraju, e-pošta će biti označena kao neželjena pošta ili je potpuno odbijena. Teret odlučivanja o ishodu bio je u potpunosti u poslužitelju koji je primao.

Tijekom godina razvijali su se SPF zapisi (najnoviji RFC objavljen je u travnju 2014.), a većina domena na internetu ima SPF zapise (možete ih potražiti ovdje).

Kada registrirate domenu, također registrirate i niz DNS zapisa koji idu uz nju. Ti zapisi govore svijetu s kojim računalima razgovaraju ovisno o tome što žele raditi (e-pošta, web, FTP i tako dalje). SPF zapis je primjer, a idealno bi bilo osigurati da svi poslužitelji pošte na internetu znaju da su ljudi koji šalju e-poštu s, recimo, @ Goldavelez.com.com, zapravo autorizirana računala korisnika.

Međutim, ova metoda nije savršena, što je dio zašto se nije potpuno zahvatila. SPF zapisi zahtijevaju administraciju - netko zapravo dodaje nove IP adrese i uklanja stare, te vrijeme da se zapis širi internetom svaki put kad se napravi promjena. (: Prethodno smo vezali čekove SPF-a za korisničke IP adrese, kada poštarni gosti zapravo koriste tehnologiju da provjere je li poslužitelj kroz koji prolazi poruka ovlašteni pošiljatelj u ime određene domene, a ne da je korišteni ovlašten slati na Umjesto dane adrese. Oprostite na zbrci i zahvaljujući komentatorima koji su ovo istakli!) Većina tvrtki ionako koristi softversku verziju SPF-a. Umjesto da riskiraju lažno pozitivno blokiranje korisne pošte, implementiraju "tvrdi" i "meki" neuspjeh. Domaćini e-pošte također su labavili ograničenja u vezi s onim što se događa s porukama koje ne provjere ovu provjeru. Kao rezultat, korporacijama je e-poštom jednostavnije upravljati, ali krađanje identiteta je lako i veliki je problem.

Tada je 2012. uveden novi tip zapisa, dizajniran da djeluje uporedo sa SPF-om. Zove se DMARC ili Autorizacija poruka, izvješćivanje i sukladnost na bazi domene. Nakon godinu dana proširio se kako bi zaštitio veliki broj poštanskih sandučića za potrošače (iako je samoproglašeni 60% vjerojatno optimističan.) Matthew objašnjava detalje:

DMARC se svodi na dvije važne zastave (iako ih ima ukupno 10) - zastavu "p" koja upućuje poslužitelje kako da postupaju s potencijalno lažnim e-mailovima, bilo odbacivanjem, karantiranjem ili prolaskom; i zastava "rua", koja poslužiteljima za prijem šalje na koje mogu poslati izvještaj o neuspjelim porukama (obično e-adresu u sigurnosnoj grupi administratora domene). DMARC zapis rješava većinu problema sa SPF zapisima preuzimajući teret odlučivanja kako reagirati daleko od primatelja.

Problem je u tome što svi još ne koriste DMARC.

Ovaj zgodan alat omogućuje vam da zapitate DMARC zapis bilo koje domene - isprobajte ga na nekoliko svojih omiljenih (gawker.com, whitehouse.gov, redcross.org, reddit.com). Primijetili nešto? Nijedan od njih nije objavio DMARC zapise. To znači da bilo koji domaćin e-pošte koji pokušava udovoljiti pravilima DMARC-a ne bi imao upute o rukovanju SPF-ovim neuspjelim e-mailovima i vjerojatno bi ih pustio u promet. To je ono što Google radi s Gmailom (i Google Appsom) i zato se lažne e-poruke mogu prebaciti u vašu pristiglu poštu.

Da biste dokazali da Google obraća pažnju na DMARC zapise, pogledajte zapis DMARC-a za facebook.com - identifikacijske oznake "p" da primatelji trebaju odbiti e-poštu i poslati izvještaj o tome poštaru na Facebooku. Sada pokušajte lažirati poruku e-pošte s facebook.com i pošaljite je na Gmail adresu - neće proći. Sad pogledajte DMARC zapis za fb.com - on ukazuje da nijednu e-poštu ne treba odbiti, ali izvještaj se ionako treba sastaviti. A ako ga testirate, e-poruke s web stranice @ fb.com proći će.

Matthew je također napomenuo da "izvješće za upravitelje pošte" nije šala. Kad je pokušao spoofitirati domenu s DMARC zapisom, njegov SMTP poslužitelj bio je blokiran za manje od 24 sata. Na našem testiranju primijetili smo isto. Ako se domena pravilno postavi, brzo će prekinuti te lažne poruke - ili barem dok spoofer ne koristi drugu IP adresu. Međutim, domena koja nema DMARC zapise je fer igra. Možete ih prevariti mjesecima, a nitko na kraju slanja ne bi primijetio - na davatelju pošte bit će da zaštiti svoje korisnike (bilo da označe poruku kao neželjenu na temelju sadržaja ili na temelju neuspjele provjere SPF poruke. )

Kako spameri lažu adrese e-pošte

Alate potrebne za lažiranje adresa e-pošte iznenađujuće je lako dobiti. Sve što trebate je radni SMTP poslužitelj (aka, poslužitelj koji može slati e-poštu) i pravi softver za slanje e-pošte.

Svaki dobar web domaćin pružit će vam SMTP poslužitelj. (Također možete instalirati SMTP na sustav koji posjedujete. Port 25 - port koji se koristi za odlaznu e-poštu obično je blokiran od strane ISP-a. To je posebno za izbjegavanje vrste masovnog slanja e-pošte koji smo vidjeli početkom 2000-ih.) ludost nas, Matthew je koristio PHP Mailer. To je lako razumjeti, lako se instalirati, a čak ima i web sučelje. Otvorite PHP Mailer, sastavite svoju poruku, stavite adrese "od" i "do" i kliknite Pošalji. Na kraju primatelja u svoju će mapu primiti e-poštu koja izgleda kao da je stigla s adrese koju ste upisali. Matthew objašnjava:

E-adresa bi trebala raditi bez problema, a čini se da dolazi od onoga od koga ste rekli. Vrlo je malo da se kaže da to nije stiglo iz pristigle pošte, sve dok ne pogledate izvorni kod e-pošte (opcija "Pogledaj original" na Gmailu). [ed napomena: pogledajte sliku gore]

Primijetit ćete da je "soft" e-pošta pokrenula SPF provjeru, ali ipak je stigla u mapu pristigle pošte. Važno je također imati na umu da izvorni kôd sadrži izvornu IP adresu e-pošte, tako da je moguće da se e-adresa može pratiti ako primatelj to želi.

Važno je u ovom trenutku napomenuti da još uvijek ne postoji standard za način na koji će domaćini e-pošte tretirati SPF-ove pogreške. Gmail, domaćin s kojim sam radio većinu testiranja, dozvolio je ulaz e-pošte. Međutim, Outlook.com nije isporučio niti jedan falsificirani email, bilo da je mekan ili tvrd. Moj korporativni Exchange poslužitelj pustio ih je bez problema, a moj kućni poslužitelj (OS X) prihvatio ih je, ali ih je označio kao neželjenu poštu.

To je sve. Preskočili smo neke detalje, ali ne i mnoge. Najveći je argument ovdje ako kliknete odgovor na spoofed poruku, sve što pošaljete ide vlasniku adrese, a ne spooferu. Lopovima to nije bitno, s obzirom da se neželjeni poštu i phishing-ove samo nadaju da ćete kliknuti veze ili otvoriti privitke.

Kompromis je jasan: Budući da se SPF nikada nije uhvatio na način na koji je zamišljen, ne trebate dodati IP adresu uređaja na popis i čekati 24 sata svaki put kad putujete ili želite slati e-poštu s vašeg novog pametnog telefona, Međutim, to također znači da krađa identiteta ostaje glavni problem. Najgore od svega, samo to može bilo tko.

Što možete učiniti da se zaštitite

Sve ovo se može činiti skrivenim ili izgleda poput puno buke zbog nekoliko opojnih neželjenih e-poruka. Uostalom, većina nas zna neželjenu poštu kad je vidimo - ako je ikad vidimo. Ali istina je da za svaki račun na kojem su te poruke označene postoji još jedno mjesto gdje ih nema, a phishing e-poruke uploadaju u poštanske sandučiće korisnika.

Matthew nam je objasnio da je koristio lažiranje adresa s prijateljima samo da bi prevario prijatelje i malo ih uplašio - kao što je šef bio bijesan na njih ili recepcionar e-poštom kako bi rekao da je njihov automobil vučen - ali shvatio je da djeluje pomalo dobro, čak i izvan mreže poduzeća. Prevarene poruke stizale su putem poslužitelja pošte tvrtke, zajedno sa slikama profila, korporativnim statusom IM-a, podacima o kontaktima s automatskim popunjenjem i još mnogo toga, sve što korisno dodaje poslužitelj e-pošte i sve koje čine da spoofed email izgleda kao zakonit. Kad sam testirao postupak, nije bilo puno posla prije nego što sam u poštanskom sandučiću pogledao kako me gleda lice, ili Whitson-e, ili čak Adama Dachisa, koji više nema ni adresu e-pošte Goldavelez.com.

Što je još gore, jedini način na koji možete reći da e-pošta nije od osobe na koju izgleda jest kopanje u zaglavima i znate što tražite (kao što smo gore opisali.) To je prilično visok nalog čak i za tehnologiju -zavri među nama - tko ima vremena za to usred napornog radnog dana? Čak bi i brz odgovor na lažni e-mail samo stvorio zbrku. To je savršen način da izazovete malo kaosa ili ciljate pojedince da ih natjeraju da kompromitiraju vlastita računala ili se odreknu podataka o prijavi. Ali ako vidite nešto što je čak pomalo sumnjivo, barem ćete imati još jedan alat u svom arsenalu.

Dakle, ako želite zaštititi svoje pretinac pristigle pošte od ovakvih poruka, možete učiniti nekoliko stvari:

  • Pojačajte svoje filtre neželjene pošte i koristite alate kao što su Prioritetna pošta . Ako postavite svoje filtre neželjene pošte malo jači, ovisno o vašem davatelju pošte, može se napraviti razlika između poruke koja ne uspije da njegov SPF provjeri slijetanje u neželjenu poštu u odnosu na vašu poštu. Slično tome, ako možete koristiti usluge poput Prioritetne pošte usluge Gmail ili Apple-ovog VIP-a, u osnovi dopuštate poslužitelju pošte da shvati važne ljude za vas. Ako se važna osoba prevari, ipak ćete je dobiti.
  • Naučite čitati zaglave poruka i pratiti IP adrese . U ovom postu objasnili smo kako to učiniti s pronalaženjem izvora neželjene pošte i dobro je je imati. Kad dođe sumnjiva e-pošta, moći ćete otvoriti zaglavlja, pogledati IP adresu pošiljatelja i vidjeti može li se podudarati s prethodnim e-porukama iste osobe. Možete čak i obrnuto pregledati pošiljatelja IP da biste vidjeli gdje se nalazi - što može biti, ali ne mora biti informativno, ali ako od svog prijatelja dobijete e-poštu iz cijelog grada koja je podrijetlom iz Rusije (a ne putuje), vi znaj da nešto ima.
  • Nikada ne kliknite nepoznate veze ili ne preuzimajte nepoznate privitke . Možda se čini da nitko ne razmišlja, ali sve što je potrebno jest da jedan zaposlenik u tvrtki vidi poruku svog šefa ili nekog drugog u kompaniji da otvori privitak ili klikne smiješnu vezu Google Docs-a kako bi razotkrio čitavu korporativnu mrežu. Mnogi od nas misle da smo prevareni na taj način, ali stalno se događa. Obratite pažnju na poruke koje dobivate, ne klikajte veze u e-pošti (idite izravno na banku, kablovsku tvrtku ili drugu web stranicu i prijavite se kako biste pronašli ono što želite vidjeti) i ne preuzimajte privitke e-pošte koji ste ne izričito očekujete. Ažurirajte antimalware svog računala.
  • Ako upravljate vlastitom e-poštom, pregledajte je kako biste vidjeli kako reagira na SPF i DMARC zapise . Možda ćete o tome moći pitati svog web domaćina, ali nije teško sami provjeriti pomoću iste metode spoofinga koju smo gore opisali. Inače, provjerite mapu za bezvrijednu poštu - tamo možete vidjeti poruke od sebe ili od ljudi koje poznajete. Pitajte svog web domaćina mogu li promijeniti način konfiguriranja vašeg SMTP poslužitelja ili razmotrite prebacivanje usluga e-pošte na nešto poput Google Appsa za vašu domenu.
  • Ako posjedujete vlastitu domenu, podnesite DMARC zapise za nju . Matthew objašnjava da imate kontrolu nad time koliko želite biti agresivni, ali pročitajte kako podnijeti DMARC zapise i ažurirati svoje s registrom domene. Ako niste sigurni kako, trebali bi vam pomoći. Ako dobivate lažne poruke na račun tvrtke, obavijestite svoje korporativne IT. Možda imaju razloga za nepodnošenje DMARC zapisa (Matthew je objasnio da je rekao da ne mogu, jer imaju vanjske usluge koje trebaju poslati putem domene tvrtke - nešto što je lako popraviti, ali takvo je mišljenje dio problema), barem ih obavijesti.

Kao i uvijek, najslabija veza u sigurnosti je krajnji korisnik. To znači da ćete morati BS senzore držati potpuno okrenute svaki put kad dobijete e-poštu koju niste očekivali. Educirajte se. Ažurirajte softver protiv zlonamjernog softvera. I na kraju, pazite na ovakva pitanja jer će se oni dalje razvijati dok se i dalje borimo protiv neželjene pošte i krađe identiteta.