Спуфинг почтового адреса: как злоумышленники выдают себя за других

Введение

Почтовый спуфинг в общем смысле — это подделка электронных писем от легитимных отправителей. В этой статье мы разберем спуфинг почтового адреса, в рамках которого подделывается заголовок From письма, т. е. то, как имя и адрес отправителя отображаются в почтовом клиенте пользователя.

Протокол SMTP (Simple Mail Transfer Protocol — основной протокол передачи электронной почты в сетях TCP/IP) не предусматривает никакой защиты от спуфинга, поэтому подделать адрес отправителя довольно легко. Фактически все, что нужно злоумышленнику — инструмент, позволяющий выбрать, от чьего имени придет письмо. А им может стать и почтовый клиент, и специальная утилита или скрипт, которых в Сети немало.

Спуфинг почтового адреса используется и в мошеннических схемах, и в целевых атаках на организации. Цель этого приема — убедить жертву в том, что письмо пришло от доверенного отправителя, и побудить ее выполнить указанные в нем действия: перейти по фишинговой ссылке, перевести деньги на определенный счет, скачать вредоносный файл и т. д. Для большей убедительности злоумышленники могут копировать оформление и стиль писем конкретного отправителя, делать акцент на срочности задачи и использовать другие приемы социальной инженерии.

В некоторых случаях поддельные письма являются частью многоступенчатой атаки, и на первом этапе от жертвы не требуется никаких подозрительных действий. Примеры таких атак можно найти в нашей статье про корпоративный доксинг.

Спуфинг легитимного домена (Legitimate Domain Spoofing)

Cамый простой вид спуфинга почтового адреса — спуфинг легитимного домена. Он предполагает подстановку в заголовок From реального домена организации, под которую маскируется злоумышленник. В этом случае пользователю крайне сложно отличить поддельное письмо от настоящего.

Для борьбы со спуфингом были созданы несколько методов почтовой аутентификации, которые улучшают и дополняют друг друга: SPF, DKIM и DMARC. Перечисленные механизмы тем или иным образом подтверждают, что письмо действительно отправлено с заявленного адреса.

• Стандарт SPF (Sender Policy Framework) позволяет владельцу почтового домена ограничить набор IP-адресов, которые могут отправлять письма с этого домена, а почтовому серверу — проверять, что IP-адрес отправителя авторизован владельцем домена. Правда, проверяет SPF не заголовок From, а домен отправителя, указанный в SMTP-конверте, который используется для передачи информации о маршруте письма между почтовым клиентом и сервером и не показывается получателю.
• DKIM решает проблему проверки подлинности отправителя с помощью цифровой подписи, которая генерируется на основе закрытого ключа, хранящегося на сервере отправителя. Открытый ключ для проверки подписи помещается на DNS-сервер, отвечающий за домен отправителя. Если в действительности письмо отправлено с другого домена, подпись окажется невалидной. Однако у этой технологии тоже есть слабое место: злоумышленник может отправить поддельное письмо без DKIM-подписи, и его будет невозможно проверить.
• DMARC (Domain-basedMessageAuthentication, ReportingandConformance) позволяет проверить домен в заголовке From на соответствие домену, подтвержденному с помощью DKIM и/или SPF. Таким образом, при использовании DMARC письмо со спуфингом легитимного домена не пройдет проверку. Однако при выборе строгой политики DMARC может блокировать и полезные письма — в одной из наших статей мы рассказывали, как наши решения улучшают эту технологию и сводят к минимуму ложноположительные срабатывания.

Естественно, с повсеместным внедрением описанных выше технологий злоумышленники столкнулись с нелегким выбором: полагаться на то, что в компании, под которую они маскируются, почтовая аутентификация не настроена или настроена с ошибками (а такие, к сожалению, еще остались), либо использовать способы подделки заголовка From, которые обходят аутентификацию.

Спуфинг отображаемого имени (Display Name Spoofing)

Отображаемое имя — это имя отправителя, которое стоит в заголовке From перед его адресом. Если речь идет о корпоративной почте, то в качестве имени отправителя обычно используется реальное имя человека, название отдела и т. д.

Пример отображаемого имени

Многие почтовые клиенты для удобства получателя скрывают адрес отправителя и показывают в письме только отображаемое имя. Этим активно пользуются злоумышленники, подделывая имя, но оставляя в заголовке From свой настоящий адрес. Этот адрес зачастую даже защищен DKIM-подписью и SPF, поэтому механизмы аутентификации пропускают послание как легитимное.

Ghost Spoofing

Самый популярный и часто встречающийся вид спуфинга отображаемого имени — это Ghost Spoofing. Его суть заключается в том, что злоумышленник указывает в качестве имени не только имя человека или название компании, под которую он маскируется, но и адрес предполагаемого отправителя, как в примере на скриншоте ниже.

Пример Ghost Spoofing

При этом на самом деле письмо приходит с совсем другого адреса.

Реальный адрес отправителя в Ghost Spoofing и почтовая аутентификация

AD Spoofing

AD (Active Directory) Spoofing тоже является одной из разновидностей спуфинга отображаемого имени, но в отличие от техники Ghost Spoofing не предполагает указания поддельного адреса в качестве части имени. При этом в адресе злоумышленников, с которого рассылаются такие письма, используется имя человека, от лица которого они рассылаются.

Пример AD Spoofing

Этот метод выглядит более примитивным по сравнению с Ghost Spoofing, однако мошенники могут предпочитать его по нескольким причинам. Во-первых, если почтовый агент получателя все-таки отображает содержимое заголовка From целиком, то двойной адрес отправителя вызовет у пользователя больше подозрений, чем адрес на общедоступном домене. Во-вторых, технически Ghost Spoofing легче блокировать спам-фильтрами: достаточно просто отправлять в спам письма, где в отображаемом имени отправителя содержится почтовый адрес. Запретить же все входящие письма от тезок всех коллег и контрагентов, как правило, не представляется возможным.

Спуфинг схожего домена (Lookalike domain Spoofing)

В более сложных атаках злоумышленники используют специально зарегистрированные домены, похожие на домен организации-мишени. Это требует немного больших затрат: все же найти и купить определенный домен, настроить на нем почту, подписи DKIM и SPF и аутентификацию DMARC сложнее, чем просто немного изменить заголовок From. Но и распознать подделку в таком случае труднее.

Primary Lookalike

Lookalike-домены — это домены, схожие по написанию с доменами подделываемой организации, но отличающиеся от них одной или несколькими буквами. Подробнее мы рассказывали о них в статье «Lookalike-домены и защита от них»). Например, письмо на скриншоте ниже пришло с домена deutschepots.de, который очень легко перепутать с доменом немецкой почтовой компании Deutsche Post (deutschepost.de). Если перейти по ссылке в таком письме и попытаться оплатить доставку посылки, можно не только потерять 3 евро, но и оставить мошенникам данные своей карты.

Пример письма с lookalike-домена

Впрочем, при должном уровне внимательности такую ошибку можно заметить. Но бывают и случаи, когда простой внимательностью уже не обойтись.

Unicode Spoofing

Unicode Spoofing — разновидность спуфинга, в которой один из ASCII-символов в имени домена заменяется на схожий по написанию символ из диапазона Unicode. Чтобы понять эту технику, нужно разобраться, как кодируются домены, в которых используются нелатинские символы (например, кириллица или умлауты). Для работы с ними был создан метод преобразования Punycode, в соответствии с которым символам Unicode сопоставляются так называемые ACE-последовательности (ASCII Compatible Encoding — кодировка, совместимая с ASCII), состоящие из букв латинского алфавита, дефисов и чисел от 0 до 9. При этом многие браузеры и почтовые клиенты отображают Unicode-версию домена. Так, например, домен:

касперский.рф

преобразуется в:

xn--80akjebc7ajgd.xn--p1ai

Однако в браузере вы, скорее всего, увидите именно «касперский. рф». При этом, поскольку данная технология предусматривает частичное кодирование (кодируется не вся строка, а отдельный символ), домен может содержать и ASCII-, и Unicode-символы, и злоумышленники активно этим пользуются.

Пример письма с Unicode spoofing

На скриншоте выше мы видим сообщение, которое якобы отправлено с домена apple.com. Написание полностью совпадает, почтовую аутентификацию письмо прошло. Удивляет дизайн письма, но обычному пользователю редко приходят сообщения о блокировке, поэтому сравнивать особо не с чем. Если ничего не подозревающий пользователь кликает по ссылке, он попадает на поддельный сайт и оставляет там данные своего аккаунта.

Если посмотреть в заголовки этого письма (это можно сделать в большинстве почтовых клиентов для ПК и), откроется совсем другая картина:

Punycode-запись домена

Дело тут в том, что домен аррle.com как раз подпадает под правило кодирования Unicode-символов в ASCII — первые три символа являются кириллическими «а» и «р». Но почтовый агент, которым было открыто письмо, для удобства пользователя преобразовал Punycode-комбинацию в Unicode и в письме отобразилось «аррle.com».

Отметим, что некоторые почтовые клиенты предупреждают пользователя, что в имени домена использованы нестандартные символы, или даже отображают Punycode в заголовке From. Однако такие механизмы защиты предусмотрены далеко не везде, и это играет на руку мошенникам.

Вывод

Существуют разные способы убедить получателя письма в том, что оно пришло от доверенного отправителя. Некоторые из них выглядят примитивными, однако позволяют злоумышленникам успешно обходить почтовую аутентификацию. При этом спуфинг как техника используется для реализации самых разных типов атак, начиная с обычного фишинга и заканчивая продвинутыми BEC-атаками. А они, в свою очередь, могут быть одним из этапов более сложных целевых атак. Соответственно, и ущерб от спуфинга даже в рамках одной атаки может варьироваться от кражи личных данных до приостановки работы, потери репутации и многомилионных убытков.

Для защиты от спуфинга также существуют самые разные способы — от простой, но не очень надежной внимательности до специальных компонентов в составе решений для бизнеса. «Лаборатория Касперского» включила нужный модуль в решения для почтовых серверов на Microsoft Exchange, Linux и в виртуальных средах, а также отдельный продукт для Microsoft Office 365.

Что такое «Email Spoof».

Что такое «Email Spoof» (почтовая подмена) и является ли она фишинг-атакой. Без сомнений email spoofing – это использующий электронную почту способ мошенничества и обмана. Подмена является наиболее распространённой формой современного мошенничества под названием «фишинг».

Слово подмена означает фальсификацию. В поддельной электронной почте, отправитель намеренно изменяет её части, маскируясь под другого автора. Как правило, имя / адрес отправителя и само тело сообщения вставлены из настоящего источника, как будто письмо пришло из банка или какой либо другой законной компании. Иногда, подменённые электронные письма приходят и от частного лица.

Во многих случаях, поддельный адрес электронной почты является частью фишинга (мошеннической атаки). Но нередок и вариант, при котором поддельный адрес электронной почты используется для продажи поддельного продукта.

Содержание:

• 1
  Почему мошенники используют email spoofing.
• 2 Как фальсифицируется почта.
• 3 Делают ли поддельные письма вручную.
• 4 Как распознать и защититься от поддельных писем «email spoofing».

Почему мошенники используют email spoofing.

Цель 1: С помощью email spoofing мошенники пытаются получить ваши пароли и логины входа. Основная задача фишинга заставить вас доверять этому электронному сообщению. Перейдя по ссылке из этого сообщения, вы попадёте на ложный (сфальсифицированный) сайт, который будет ловко замаскирован как настоящий веб-сайт онлайнового банка или платной веб-службы. Слишком часто жертвы верят поддельным адресам электронной почты и попадают на ложные сайты.

Как это обычно происходит. Доверяя поддельному сайту, жертва будет вводить свой пароль и логин, правда войти в аккаунт не сможет, а получит сообщение об ошибке, что «веб-сайт недоступен». В это время, мошенники захватят конфиденциальную информацию жертвы, и приступят к снятию её личных средств или, в другом варианте, совершат свои сделки, опять же за счёт жертвы.

Цель 2: С помощью email spoofing спамеры забивают ваш почтовый ящик рекламой. Спамеры изменяют исходный адрес электронной почты, и под видом  невинных граждан или компаний используют программное обеспечение для массовой рассылки почты. Цель, как и в фишинге, заставить людей доверять письму настолько, чтобы открыть его и читать находящуюся внутри спам рекламу.

Как фальсифицируется почта.

Нечестные пользователи изменяют различные разделы электронной почты для маскирования отправителя. Примеры свойств, которые фальсифицированных:

ОТ КОГО: имя / адрес

ОТВЕТ ДЛЯ: имя / адрес

ОТВЕТ-ПУТЬ: адрес

IP-АДРЕС ИСТОЧНИКА: адрес.

Три первых свойства легко изменить в настройках Microsoft Outlook, Gmail, Hotmail, или любого другого почтового программного обеспечения. Четвёртое свойство, IP-адрес, также можно изменить, но, как правило, для того, чтобы сделать ложный IP-адрес убедительным требуются более глубокие знания.

Делают ли поддельные письма вручную.

Хотя некоторые фальшивые письма действительно сфальсифицированы вручную, подавляющее их большинство создаётся специальным программным обеспечением. Среди спамеров широко распространено использование программ массовой рассылки «ratware». Ratware программы могут создать тысячи целевых адресов электронной почты, подделать исходное письмо, а затем разослать его по этим адресам. Бывает, что ratware программы используют незаконно приобретённые списки адресов электронной почты.

Кроме ratware программ для массовой рассылки также широко применяются черви. Черви это самотиражирующиеся программы, которые действуют как вирус. Однажды червь считает на вашем компьютере вашу же книгу адресов электронной почты. А затем сфальсифицирует исходящее сообщение, отправляясь от вашего имени всему списку друзей. Это не только может оскорбить десятки получателей, но и бросит тень на невинного человека. Некоторые хорошо — знают таких червей для массовой рассылки: Sober, Klez и ILOVEYOU.

Как распознать и защититься от поддельных писем «email spoofing».

Как и с любым мошенничеством, лучшая защита — скептицизм. Если Вы сомневаетесь в электронном письме, или в законности его отправителя, просто не щелкайте по ссылке, а введите свой проверенный адрес электронной почты. Если в письме есть неизвестное файловое вложение, просто не открывайте его. Если содержание письма в электронной почте кажется слишком хорошим, чтобы быть правдой, то ваш скептицизм спасёт вас от разглашения своей банковской информации.

Что такое спуфинг электронной почты? Определение и примеры

Цель спуфинга электронной почты — заставить пользователей поверить в то, что электронное письмо отправлено кем-то, кого они знают или могут доверять — в большинстве случаев это коллега, поставщик или торговая марка. Используя это доверие, злоумышленник просит получателя раскрыть информацию или предпринять какие-либо другие действия.

В качестве примера спуфинга электронной почты злоумышленник может создать электронное письмо, которое выглядит так, как будто оно пришло от PayPal. В сообщении пользователю сообщается, что его учетная запись будет заблокирована, если он не нажмет на ссылку, не авторизуется на сайте и не изменит пароль учетной записи. Если пользователь успешно обманут и введет учетные данные, у злоумышленника теперь есть учетные данные для аутентификации в учетной записи PayPal целевого пользователя, что может привести к краже денег у пользователя.

Более сложные атаки нацелены на финансовых сотрудников и используют социальную инженерию и онлайн-рекогносцировку, чтобы обмануть целевого пользователя и заставить его отправить миллионы на банковский счет злоумышленника.

Для пользователя поддельное сообщение электронной почты выглядит законным, и многие злоумышленники берут элементы с официального веб-сайта, чтобы сделать сообщение более правдоподобным. Вот пример подделки электронной почты с помощью фишинговой атаки PayPal:

В обычном почтовом клиенте (например, Microsoft Outlook) адрес отправителя вводится автоматически, когда пользователь отправляет новое сообщение электронной почты. Но злоумышленник может программно отправлять сообщения, используя базовые сценарии на любом языке, который настраивает адрес отправителя на выбранный адрес электронной почты. Конечные точки API электронной почты позволяют отправителю указать адрес отправителя независимо от того, существует ли этот адрес. И серверы исходящей почты не могут определить, является ли адрес отправителя законным.

Исходящая электронная почта извлекается и маршрутизируется с использованием простого протокола передачи почты (SMTP). Когда пользователь нажимает «Отправить» в почтовом клиенте, сообщение сначала отправляется на исходящий SMTP-сервер, настроенный в клиентском программном обеспечении. SMTP-сервер идентифицирует домен получателя и направляет его на почтовый сервер домена. Затем почтовый сервер получателя направляет сообщение в нужный почтовый ящик пользователя.

Для каждого «прыжка», который совершает сообщение электронной почты при перемещении через Интернет с сервера на сервер, IP-адрес каждого сервера регистрируется и включается в заголовки электронной почты. Эти заголовки раскрывают истинный маршрут и отправителя, но многие пользователи не проверяют заголовки перед взаимодействием с отправителем электронной почты.

Тремя основными компонентами электронного письма являются:

— Адрес отправителя

— Адрес получателя

— Тело электронного письма

Другой компонент, часто используемый в фишинге, — это поле «Ответить». Это поле также настраивается отправителем и может использоваться при фишинговой атаке. Адрес Reply-To сообщает клиентскому почтовому программному обеспечению, куда отправить ответ, который может отличаться от адреса отправителя. Опять же, серверы электронной почты и протокол SMTP не проверяют, является ли это электронное письмо законным или поддельным. Пользователь должен понять, что ответ отправляется не тому получателю.

Вот пример поддельного электронного письма:

Обратите внимание, что адрес электронной почты в поле «От отправителя» предположительно принадлежит Биллу Гейтсу ([email protected]). В заголовках этих писем есть два раздела, которые нужно просмотреть. Раздел «Получено» показывает, что электронное письмо изначально было обработано почтовым сервером email.random-company.nl, что является первым признаком того, что речь идет о спуфинге электронной почты. Но лучше всего просмотреть поле Received-SPF — обратите внимание, что этот раздел имеет статус «Fail».

Sender Policy Framework (SPF) — это протокол безопасности, установленный в качестве стандарта в 2014 году. Он работает в сочетании с DMARC (доменная проверка подлинности сообщений, отчетность и соответствие) для предотвращения вредоносных программ и фишинговых атак.

SPF может обнаруживать поддельные сообщения электронной почты, и большинство почтовых служб используют его для борьбы с фишингом. Но ответственность за использование SPF лежит на владельце домена. Чтобы использовать SPF, владелец домена должен настроить запись DNS TXT, указав все IP-адреса, которым разрешено отправлять электронную почту от имени домена. Если эта запись DNS настроена, почтовые серверы получателя ищут IP-адрес при получении сообщения, чтобы убедиться, что он соответствует авторизованным IP-адресам домена электронной почты. Если есть совпадение, в поле Received-SPF отображается статус PASS. Если совпадений нет, в поле отображается статус FAIL. Получатели должны проверять этот статус при получении электронного письма со ссылками, вложениями или письменными инструкциями.

Что такое спуфинг электронной почты? — Как работает спуфинг электронной почты?

Tessian Cloud Email Security интеллектуально предотвращает сложные угрозы электронной почты и защищает от потери данных, укрепляя безопасность электронной почты и формируя более разумную культуру безопасности на современных предприятиях.

Начнем с определения спуфинга электронной почты.

• Что такое спуфинг электронной почты?

  Подделка электронной почты предполагает подделку адреса отправителя электронной почты. Если вы получаете поддельное электронное письмо, настоящим отправителем является не тот человек, который указан в поле «От». Скорее всего, это хакер.

Хотя спуфинг электронной почты может иметь серьезные последствия, для хакера это не представляет особого труда. И, несмотря на то, что почтовые фильтры и приложения лучше обнаруживают поддельные электронные письма, они все еще могут проскальзывать.

Почему люди подделывают электронные письма?

Вам может быть интересно, зачем кому-то вообще нужно подделывать адрес электронной почты другого человека или компании. Все просто: они хотят, чтобы получатель поверил, что письмо пришло от доверенного лица.

Чаще всего он используется для таких действий, как:

• Целевой фишинг: тип атаки «социальной инженерии», когда злоумышленник выдает себя за доверенное лицо и нацелен на конкретного человека.
• Компрометация корпоративной электронной почты (BEC): фишинговая атака с использованием поддельного, олицетворенного или взломанного корпоративного адреса электронной почты.
• Мошенничество с генеральным директором: атака BEC, при которой злоумышленник выдает себя за высокопоставленного руководителя компании и нацеливается на сотрудника.
• Компрометация электронной почты поставщика (VEC): атака BEC, при которой атака выдает себя за поставщика или другую компанию в цепочке поставок компании.
• Спам: рассылка нежелательной коммерческой электронной почты большому количеству людей.

Теперь давайте посмотрим на технический процесс спуфинга электронной почты.

Как работает спуфинг электронной почты

Во-первых, необходимо различать «спуфинг электронной почты» и «имитацию домена». Иногда эти две техники смешивают.

Вот разница:

• При атаке с подменой электронной почты адрес электронной почты отправителя выглядит идентично подлинному адресу электронной почты (jeff. [email protected]).
• При атаке с имитацией домена мошенник использует адрес электронной почты, который очень похож на другой адрес электронной почты ([email protected]).

Когда вы получаете электронное письмо, ваш почтовый клиент (например, Outlook или Gmail) сообщает вам, от кого оно предположительно отправлено. Когда вы нажимаете «ответить», ваш клиент автоматически заполняет поле «кому» в вашем ответном письме. Все это делается автоматически и за кулисами. Но эта информация не так надежна, как вы думаете.

Электронное письмо состоит из нескольких частей:

• Конверт : сообщает принимающему серверу, кто отправил электронное письмо и кто его получит. Когда вы получаете электронное письмо, вы обычно не видите конверт.
• Заголовок : Содержит метаданные об электронном письме: включая имя и адрес электронной почты отправителя, дату отправки, тему и адрес «ответить». Вы можете увидеть эту часть.
• Тело : Содержимое самого письма.

Спуфинг настолько распространен, потому что удивительно легко подделать элементы «от» в конверте и заголовке электронного письма, чтобы создать впечатление, что его отправил кто-то другой.

Разумеется, мы не будем давать инструкции, как подделать электронную почту. Но мы можем расшифровать поддельное электронное письмо, чтобы помочь вам понять, как работает процесс.

Давайте взглянем на заголовок электронного письма:

Во-первых, взгляните на заголовок «Получено от», выделенный синим цветом, который показывает, что электронное письмо пришло с домена «cybercrime.org».

А теперь посмотрите на части, выделенные желтым цветом — заголовки «Return-Path», «From» и «Reply-To», — все они указывают на «Mickey Mouse» или «m.mouse@disney». ком». Эти заголовки определяют, что получатель увидит в своем почтовом ящике, и все они были подделаны.

Стандартный протокол электронной почты (SMTP) не имеет способа проверки подлинности электронной почты по умолчанию. Существуют проверки аутентификации, которые зависят от того, защищает ли владелец домена свой домен. В этом случае поддельное электронное письмо не удалось выполнить два важных процесса аутентификации (также выделенных синим цветом выше):

• SPF, сокращение от Sender Policy Framework: проверяет, связан ли IP-адрес отправителя с доменом, указанным в конверте.
• DMARC, сокращение от Domain-based Message Authentication, Reporting, and Conformance: проверяет информацию заголовка электронной почты.
• DKIM, сокращенно от DomainKeys Identified Mail: предназначен для обеспечения того, чтобы сообщения не изменялись при передаче между сервером отправки и сервером получателя.

Как видите, все DMARC, SPF и DKIM = нет. Это означает, что наше поддельное электронное письмо проскользнуло. Вот как электронное письмо выглядит в папке «Входящие» получателя:

Судя по всему, письмо выше было отправлено Микки Маусом с использованием адреса электронной почты [email protected]. Но из заголовка мы знаем, что на самом деле оно пришло с сайта cybercrime.org. Это демонстрирует важность настройки политик DMARC. Вы можете узнать больше о том, как это сделать здесь. Примечание. В Disney включена функция DMARC. Это гипотетический пример! Хотите узнать, в каких компаниях нет настройки DMARC? Проверьте этот веб-сайт.

Насколько распространен спуфинг?

Невозможно измерить точное количество отправленных и полученных поддельных электронных писем каждый день. Но мы можем посмотреть, сколько случаев киберпреступлений, связанных с спуфингом, регистрируется каждый год. Хорошей отправной точкой является годовой отчет Федерального бюро расследований США (ФБР) Центра жалоб на преступления в Интернете (IC3). В 2020 году IC3 сообщила, что:

• IC3 получила 28 218 жалоб на спуфинг (по сравнению с 25 789 в 2019 году).
  

  This entry was posted in Популярное