Подмена электронной почты - Email spoofing

Подмена электронной почты это создание электронное письмо сообщения с кованый адрес отправителя.

Основные протоколы электронной почты не имеют механизма для аутентификация, что делает его обычным для спам и фишинг электронные письма, чтобы использовать такую ​​подделку, чтобы ввести получателя в заблуждение или даже подшутить над происхождением сообщения.

Технические детали

Когда Простой протокол передачи почты (SMTP) электронное письмо отправлено, первоначальное соединение предоставляет две части адресной информации:

  • ПОЧТА ОТ: - обычно представляется получателю как Обратный путь: заголовок, но обычно не виден конечному пользователю, и по умолчанию нет проверок сделано, что отправляющая система уполномочена отправлять от имени этого адреса.
  • RCPT TO: - указывает, на какой адрес электронной почты доставляется электронное письмо, обычно не отображается для конечного пользователя, но май присутствовать в заголовках как часть заголовка «Получено:».

Вместе их иногда называют адресацией "конверт" - аналогия с традиционным бумажный конверт.[1] Если получающий почтовый сервер не сигнализирует о проблемах с любым из этих элементов, отправляющая система отправляет команду «DATA» и обычно отправляет несколько элементов заголовка, в том числе:

  • Из: Joe Q Doe - адрес, видимый получателю; но опять же, по умолчанию не выполняется никаких проверок того, что отправляющая система имеет право отправлять от имени этого адреса.
  • Ответить на: Jane Roe - аналогично не проверено

и иногда:

  • Отправитель: Джин Джо - тоже не проверено

В результате получатель электронной почты видит, что письмо пришло с адреса, указанного в Из: заголовок. Иногда они могут найти ПОЧТА ОТ адрес, и если они ответят на электронное письмо, оно перейдет на адрес, указанный в Из: или же Ответить на: заголовок, но ни один из этих адресов обычно не является надежным,[2] так автоматизировано сообщения возврата может генерировать обратное рассеяние.

Хотя спуфинг электронной почты эффективен для подделки адреса электронной почты, айпи адрес Компьютер, отправляющий почту, обычно можно определить по строкам «Получено:» в заголовке электронной почты.[3] Однако во вредоносных случаях это, скорее всего, компьютер невиновной третьей стороны, зараженный вредоносное ПО это отправляет электронное письмо без ведома владельца.

Вредоносное использование спуфинга

Фишинг и компрометация корпоративной электронной почты мошенничество обычно включает в себя элемент подделки электронной почты.

Спуфинг электронной почты является причиной публичных инцидентов с серьезными коммерческими и финансовыми последствиями. Так было в электронном письме в октябре 2013 года в информационное агентство, которое было подделано так, чтобы оно выглядело так, как будто оно было от шведской компании. Карты отпечатков пальцев. В электронном письме говорилось, что Samsung предложили приобрести компанию. Распространение новостей и рост биржевого курса на 50%.[4]

Вредоносное ПО, такое как Klez и Трезвый среди многих других современных примеров часто ищут адреса электронной почты на зараженном компьютере, и они используют эти адреса как в качестве целей для электронной почты, так и для создания надежных поддельных Из поля в электронных письмах, которые они отправляют. Это сделано для того, чтобы письма с большей вероятностью открывались. Например:

  1. Алисе отправляется зараженное письмо, которое она открывает с кодом червя.
  2. Код червя ищет в адресной книге электронной почты Алисы и находит адреса Боба и Чарли.
  3. С компьютера Алисы червь отправляет Бобу зараженное письмо, но создается так, чтобы оно выглядело так, как будто оно было отправлено Чарли.

В этом случае, даже если система Боба определяет входящую почту как содержащую вредоносное ПО, он считает, что источником является Чарли, даже если оно действительно пришло с компьютера Алисы. Между тем Алиса может не знать, что ее компьютер заражен.

Законное использование

На раннем этапе развития Интернета «законно поддельная» электронная почта была обычным явлением. Например, посетивший пользователь может использовать локальную организацию SMTP сервер для отправки электронной почты с внешнего адреса пользователя. Поскольку большинство серверов были настроены как "открытые реле ", это было обычной практикой. Поскольку спам в электронной почте стал раздражающей проблемой, такие виды" законного "использования перестали быть популярными. Примером законного спуфинга может быть сценарий, когда Управление взаимоотношениями с клиентами система получает электронное письмо с веб-сайта, и для того, чтобы регистрировать входящее электронное письмо и создавать профиль для электронной почты, который связан с новым контактом, система будет настроена на использование «отправителя» электронного письма для создания профиля потенциального клиента с именем и адресом электронной почты отправителя. Отправляющий веб-сайт будет настроен на подделку исходящей электронной почты с веб-сайта и отправку электронной почты таким образом, чтобы казалось, что оно приходит от отправителя с информацией об отправителе в качестве имени отправителя и адреса электронной почты. Затем система зарегистрирует его в соответствии с настройками.

Когда несколько программных систем связываются друг с другом по электронной почте, может потребоваться спуфинг, чтобы облегчить такое общение. В любом сценарии, когда адрес электронной почты настроен для автоматической пересылки входящих сообщений электронной почты в систему, которая принимает электронные письма только от сервера пересылки электронной почты, для облегчения такого поведения требуется спуфинг. Это характерно для систем продажи билетов, которые взаимодействуют с другими системами продажи билетов.

Влияние на почтовые серверы

Традиционно почтовые серверы могли принимать почтовые отправления, а затем отправлять Отчет о недоставке или сообщение о недоставке если он не мог быть доставлен или был помещен на карантин по какой-либо причине. Они будут отправлены на адрес «ПОЧТА ОТ:», также известный как «обратный путь». В связи с резким ростом числа поддельных адресов передовой практикой является нет создавать отчеты о недоставке для обнаруженного спама, вирусов и т. д.[5] но отклонить электронную почту во время транзакции SMTP. Когда почтовые администраторы не используют этот подход, их системы виновны в отправке "обратное рассеяние "электронные письма невиновным лицам - сами по себе являются формой спама - или используются для выполнения"Джо работа "атаки.

Контрмеры

В SSL / TLS Система, используемая для шифрования межсерверного почтового трафика, также может использоваться для принудительной аутентификации, но на практике она используется редко,[6] и ряд другие возможные решения также не смогли набрать обороты.

Однако в настоящее время широко используется ряд эффективных систем, в том числе:

Чтобы эффективно остановить доставку поддельной электронной почты, отправляющие домены, их почтовые серверы и принимающая система должны быть правильно настроены для этих более высоких стандартов аутентификации. Хотя их использование растет, оценки сильно разнятся в отношении того, какой процент электронных писем не имеет формы аутентификации домена: от 8,6%[7] до «почти половины».[8][9][10] По этой причине принимающие почтовые системы обычно имеют ряд настроек для настройки того, как они обрабатывают плохо настроенные домены или электронную почту.[11][12]

Смотрите также

  • Email аутентификация - Методы, направленные на предоставление проверяемой информации о происхождении сообщений электронной почты
  • Структура политики отправителя - Простая система проверки электронной почты, предназначенная для обнаружения спуфинга электронной почты (SPF)
  • Компьютерный вирус - Компьютерная программа, которая изменяет другие программы для самовоспроизведения и распространения
  • Компьютерный червь - Вредоносное ПО
  • Фальсификация - Преднамеренно сфабрикованная ложь, маскирующаяся под правду
  • Письмо счастья - Письмо, написанное по очереди группой людей
  • Джо работа - Метод спама, при котором рассылаются нежелательные электронные письма с использованием поддельных данных отправителя.
  • Подмена сайта - Создание веб-сайта в качестве обмана с целью ввести читателей в заблуждение.
  • Розыгрыш

Рекомендации

  1. ^ Зибенманн, Крис. «Краткий обзор SMTP». Университет Торонто. Получено 2019-04-08.
  2. ^ Барнс, Билл (2002-03-12). "Имитаторы электронной почты". Получено 2019-04-08.
  3. ^ "имитаторы электронной почты: определение" поддельной "электронной почты". Архивировано из оригинал на 2017-06-21. Получено 2019-04-08.
  4. ^ «Отпечатки пальцев мошенников на фальшивой сделке с Samsung». Получено 2019-04-08.
  5. ^ См. RFC3834
  6. ^ «Безопасность транспортного уровня для входящей почты». Службы Google Postini. Архивировано из оригинал на 2016-11-11. Получено 2019-04-08.
  7. ^ Бурштейн, Эли; Эранти, Виджай (2013-12-06). «Усилия по борьбе с фишингом электронной почты во всем Интернете работают». Блог по безопасности Google. Получено 2019-04-08.
  8. ^ Эггерт, Ларс. «Тенденции развертывания SPF». Архивировано из оригинал на 2016-04-02. Получено 2019-04-08.
  9. ^ Эггерт, Ларс. «Тенденции развертывания DKIM». Архивировано из оригинал на 2018-08-22. Получено 2019-04-08.
  10. ^ «За первый год DMARC защищает 60 процентов глобальных почтовых ящиков потребителей». dmarc.org. 2013-02-06. Получено 2019-04-08.
  11. ^ «Предотвращение поддельных сообщений с обнаружением поддельных отправителей». Получено 2019-04-08.
  12. ^ «Защита от спуфинга в Office 365». Получено 2019-04-08.

внешняя ссылка