zajímavý

Jak spammeři lži vaši e-mailovou adresu (a jak se chránit)

Většina z nás zná spam, když ho vidíme, ale vidět podivný e-mail od přítele - nebo ještě horší z nás - v naší doručené poště je docela znepokojující. Pokud jste viděli e-mail, který vypadá, že pochází od přítele, neznamená to, že byl hacknut. Spameri tyto adresy neustále falešně pokládají a není těžké to dělat. Takto to dělají a jak se můžete chránit.

Spammeři spoofing e-mailové adresy na dlouhou dobu. Před lety získávali seznamy kontaktů z počítačů infikovaných malwarem. Dnešní zloději dat si pečlivě vybírají své cíle a phishingují je zprávami, které vypadají, jako by pocházely od přátel, důvěryhodných zdrojů nebo dokonce z vlastního účtu.

Ukázalo se, že spoofing skutečných e-mailových adres je překvapivě snadný a součástí toho je, že phishing je takový problém. Systémový inženýr, ctižádostivý CISSP a čtenář Goldavelez.com Matthew nás naklonili tomu, jak to funguje, ale také nás překvapilo tím, že nám několik z nás zaslali e-mailem na Goldavelez.com z e-mailových adres jiných autorů Goldavelez.com. Navzdory skutečnosti, že jsme věděli, že to bylo možné - všichni jsme dostali spam dříve - bylo to znepokojivější být tím vlastně. Takže jsme s ním mluvili o tom, jak to udělal a co lidé mohou udělat, aby se chránili.

Malá historie: Proč jsou e-mailové adresy tak snadno podvodné

Dnes má většina poskytovatelů e-mailu problém s nevyžádanou poštou vyřešen - alespoň k vlastní spokojenosti. Gmail a Outlook mají silné, sofistikované algoritmy pro zachycení spamu a výkonné nástroje pro filtrování. Zpět na začátku roku 2000 však tomu tak nebylo. Spam byl stále velkým problémem, který e-mailové servery ještě musely vážně řešit, mnohem méně vyvíjet pokročilé nástroje pro správu.

V roce 2003 Meng Weng Wong navrhl způsob, jak poštovní servery „ověřit“, že IP adresa (jedinečné číslo, které identifikuje počítač na internetu) odesílající zprávu, byla oprávněna odesílat poštu jménem konkrétní domény. Říká se tomu formulář pro povolení odesílatele (v roce 2004 přejmenovaný na „Sender Policy Framework“) a Matthew vysvětluje, jak to funguje:

Při každém odeslání e-mailové zprávy by přijímající e-mailový server porovnal IP původu zprávy s IP adresou uvedenou v záznamu SPF pro hostitele e-mailové adresy (část „@ example.com“).

Pokud se obě adresy IP shodují, mohl by e-mail projít zamýšlenému příjemci. Pokud se adresy IP neshodují, bude e-mail označen jako spam nebo bude odmítnut úplně. Břemeno rozhodování o výsledku bylo zcela v rukou přijímajícího serveru.

V průběhu let se záznamy SPF vyvíjely (poslední RFC byl zveřejněn v dubnu 2014) a většina domén na internetu má záznamy SPF (můžete je vyhledat zde).

Když zaregistrujete doménu, zaregistrujete také několik záznamů DNS, které spolu s ní souvisejí. Tyto záznamy říkají světu, s nimiž mají počítače mluvit, v závislosti na tom, co chtějí dělat (e-mail, web, FTP atd.). Záznam SPF je příkladem a v ideálním případě by zajistil, aby všechny poštovní servery na internetu věděly, že lidé, kteří odesílali e-maily z, řekněme, @ Goldavelez.com.com, byli skutečně autorizovanými uživatelskými počítači.

Tato metoda však není dokonalá, což je součástí toho, proč ji úplně nezachytila. Záznamy SPF vyžadují správu - někdo skutečně přidává nové adresy IP a odstraňuje staré a čas, kdy se záznam má šířit přes internet pokaždé, když dojde ke změně. (: Dříve jsme svázali kontroly SPF s uživatelskými IP adresami, když je technologie ve skutečnosti používána mailhosty k ověření, že server, přes který zpráva prochází, je autorizovaným odesílatelem jménem dané domény, nikoli že použitý je oprávněn odesílat na jménem dané adresy. Omlouváme se za zmatek a díky komentátorům, kteří na to poukázali!) Většina společností přesto používá měkkou verzi SPF. Namísto rizika falešných pozitiv blokováním užitečné pošty implementují „tvrdé“ a „měkké“ selhání. E-mailoví hostitelé také uvolnili svá omezení ohledně toho, co se stane se zprávami, které tuto kontrolu neuspějí. Výsledkem je, že e-mail je snadnější pro korporace, ale phishing je snadný a velký problém.

Poté, v roce 2012, byl představen nový typ záznamu navržený tak, aby spolupracoval s SPF. Říká se tomu DMARC, nebo ověřování zpráv na základě domény, hlášení a shoda. Po jednom roce je rozšířen o ochranu velkého počtu poštovních schránek pro spotřebitele (ačkoli 60% samozvaných je pravděpodobně optimistický.) Matthew vysvětluje podrobnosti:

DMARC se scvrkává na dvě důležité příznaky (i když jich je celkem 10) - příznak „p“, který dává pokyn přijímajícím serverům, jak se vypořádat s potenciálně falešnými e-maily, buď odmítnutím, karanténou nebo předáním; a příznak „rua“, který říká přijímajícím serverům, kde mohou zaslat zprávu o selhání zpráv (obvykle e-mailovou adresu ve skupině zabezpečení správce domény). Záznam DMARC řeší většinu problémů se záznamy SPF tím, že nese břemeno rozhodování o tom, jak reagovat od příjemce.

Problém je v tom, že ne každý používá DMARC.

Tento šikovný nástroj umožňuje vyhledávat DMARC záznamy v jakékoli doméně - vyzkoušejte je na několika svých oblíbených (gawker.com, whitehouse.gov, redcross.org, reddit.com). Všimněte si něco? Žádný z nich nezveřejnil záznamy DMARC. To znamená, že jakýkoli e-mailový hostitel, který se snaží dodržovat pravidla DMARC, nebude mít žádné pokyny, jak zacházet s e-maily, které selhaly v SPF, a pravděpodobně by je nechal projít. To je to, co Google dělá s Gmailem (a Google Apps), a proto se mohou do vaší doručené pošty dostat falešné e-maily.

Chcete-li prokázat, že Google věnuje pozornost záznamům DMARC, podívejte se na záznam DMARC pro facebook.com - příznak „p“ označuje, že příjemci by měli e-maily odmítnout, a o této zprávě pošlete zprávu postmasterovi na Facebooku. Nyní zkuste napodobit e-mail z facebook.com a odeslat jej na adresu Gmail - neprochází to. Nyní se podívejte na záznam DMARC pro fb.com - to naznačuje, že žádný e-mail by neměl být odmítnut, ale přesto by měla být vytvořena zpráva. A pokud si to vyzkoušíte, projdou e-maily od @ fb.com.

Matthew také poznamenal, že „postmasterova zpráva“ není vtip. Když se pokusil spoofing doménu pomocí záznamu DMARC, jeho server SMTP byl zablokován za méně než 24 hodin. Při našem testování jsme si toho všimli. Pokud je doména správně nastavena, rychle ukončí tyto spoofed zprávy - nebo alespoň do doby, než spoofer použije jinou IP adresu. Doména bez záznamů DMARC je však férová hra. Můžete je spoofovat měsíce a nikdo na odesílajícím konci si toho nevšimne - je na poskytovateli poštovních služeb, aby chránil své uživatele (buď označením zprávy jako spamu na základě obsahu, nebo na základě neúspěšné kontroly SPF zprávy). )

Jak nevyžádané e-maily nevyžádané pošty

Nástroje potřebné pro spoof e-mailové adresy jsou překvapivě snadno dostupné. Vše, co potřebujete, je funkční SMTP server (aka, server, který umí posílat e-maily) a správný poštovní software.

Každý dobrý webový hostitel vám poskytne server SMTP. (Můžete také nainstalovat SMTP do systému, který vlastníte, port 25 - port používaný pro odchozí e-maily, je obvykle blokován poskytovateli internetových služeb. To je konkrétně proto, aby se zabránilo druhům hromadného zasílání e-mailů, které jsme viděli na začátku roku 2000.) vtip na nás, Matthew použil PHP Mailer. Je to snadno pochopitelné, snadno se instaluje a má dokonce webové rozhraní. Otevřete PHP Mailer, vytvořte zprávu, vložte adresy „od“ a „do“ a klikněte na Odeslat. Na konci příjemce obdrží do své doručené pošty e-mail, který vypadá, jako by přišel z adresy, kterou jste zadali. Matthew vysvětluje:

E-mail by měl fungovat bez problému a zdá se, že pochází od toho, od koho jsi řekl. Je zde jen velmi málo informací o tom, že to nepocházelo z jejich doručené pošty, dokud neuvidíte zdrojový kód e-mailu (v Gmailu možnost „Zobrazit původní“). [ed note: viz obrázek výše]

Zjistíte, že e-mail „měkký“ selhal při kontrole SPF, přesto přesto přešel do doručené pošty. Je také důležité si uvědomit, že zdrojový kód obsahuje původní IP adresu e-mailu, takže je možné, že by e-mail mohl být sledován, pokud by to příjemce chtěl.

V této chvíli je důležité poznamenat, že stále neexistuje standard, jak budou e-mailoví hostitelé řešit selhání SPF. Gmail, hostitel, se kterým jsem většinu testování prováděl, povolil přístup e-mailů. Outlook.com však nepřinesl jediný padělaný e-mail, ať už měkký nebo tvrdý selhal. Můj firemní server Exchange je nechal bez problémů vstoupit a můj domovský server (OS X) je přijal, ale označil je jako spam.

To je všechno. Přeskočili jsme na několik detailů, ale málo. Největší výzva zde je, pokud kliknete na odpověď na spoofed zprávu, cokoli poslané zpět jde majiteli adresy - ne spooferovi. Na zlodějích to však nevadí, protože spammery a phishery doufají, že kliknete na odkazy nebo otevřené přílohy.

Kompromis je jasný: Vzhledem k tomu, že SPF se nikdy nechytilo tak, jak bylo zamýšleno, nemusíte přidávat IP adresu svého zařízení do seznamu a čekat 24 hodin pokaždé, když cestujete, nebo nechcete posílat e-maily z nového smartphonu. . Znamená to však také, že phishing zůstává hlavním problémem. Nejhorší ze všeho je, že to může udělat kdokoli.

Co můžete udělat, abyste se chránili

To vše se může zdát tajemné, nebo se může zdát jako spousta rozrušení nad několika nesmírně nevyžádanými e-maily. Nakonec většina z nás zná spam, když ho uvidíme - pokud ho někdy uvidíme. Pravda je, že pro každý účet, kde jsou tyto zprávy označeny, existuje další, kde nejsou, a phishingové e-maily plují do doručené pošty.

Matthew nám vysvětlil, že používal spoof adresy s přáteli jen proto, aby dělal kamarádům a trochu se vyděsil - jako by na ně byl šéf naštvaný nebo e-mail recepční, který řekl, že jejich auto bylo odtaženo -, ale uvědomil si, že to fungovalo příliš dobře, dokonce i mimo síť společnosti. Falešné zprávy prošly firemním e-mailovým serverem, doplněné profilovými obrázky, stavem podnikových IM, automaticky vyplněnými kontaktními informacemi a dalšími, které byly přidány poštovním serverem, a díky nimž vypadají falešné e-maily jako legitimní. Když jsem tento proces testoval, nebylo to moc práce, než jsem viděl svou vlastní tvář, jak se na mě dívá ve své doručené poště nebo Whitsonově, nebo dokonce Adam Dachis, který už nemá e-mailovou adresu Goldavelez.com.

Ještě horší je, že jediný způsob, jak zjistit, že e-mail není od osoby, která vypadá, je kopat do záhlaví a vědět, co hledáte (jako jsme popsali výše.) To je docela vysoká objednávka i pro tech -savvy mezi námi - kdo na to má čas uprostřed náročného pracovního dne? Dokonce i rychlá odpověď na podvodný e-mail by způsobila zmatek. Je to perfektní způsob, jak způsobit malý chaos nebo cílit na jednotlivce, aby je přiměli ke kompromitaci svých vlastních počítačů nebo k vzdání se přihlašovacích údajů. Ale pokud vidíte něco, co je dokonce trochu podezřelé, máte ve svém arzenálu alespoň jeden nástroj.

Pokud tedy chcete chránit své doručené pošty před takovými zprávami, můžete udělat několik věcí:

  • Zvyšte své filtry spamu a použijte nástroje, jako je Prioritní pošta . Nastavení filtrů spamu o něco silnější může - v závislosti na poskytovateli pošty - změnit rozdíl mezi zprávou, která selže při kontrole SPF v spamu, ve vaší doručené poště. Podobně, pokud můžete používat služby, jako je Gmail s prioritní poštou nebo Apple VIP, v podstatě necháte poštovní server, aby pro vás určil důležité lidi. Pokud je důležitý člověk podvržený, přesto to stále získáte.
  • Naučte se číst záhlaví zpráv a sledovat IP adresy . Vysvětlili jsme, jak to provést v tomto příspěvku o sledování zdroje spamu, a je to dobrá dovednost. Až přijde podezřelý e-mail, budete moci otevřít záhlaví, podívat se na IP adresu odesílatele a zjistit, zda odpovídá předchozím e-mailům od stejné osoby. Můžete dokonce provést zpětné vyhledávání na IP odesílatele a zjistit, kde to je - což může nebo nemusí být informativní, ale pokud dostanete e-mail od svého přítele napříč městem pocházejícím z Ruska (a oni necestují), můžete něco vědět.
  • Nikdy neklikejte na neznámé odkazy ani stahujte neznámé přílohy . Může se to zdát jako neosvobozující, ale stačí jeden zaměstnanec ve společnosti, který uvidí zprávu od svého šéfa nebo někoho jiného ve společnosti, aby otevřel přílohu, nebo kliknutím na vtipný odkaz na Dokumenty Google odhalil celou firemní síť. Mnozí z nás si myslí, že jsme nad tím, že jsme takto oklamáni, ale stává se to pořád. Věnujte pozornost zprávám, které dostáváte, neklikejte na odkazy v e-mailu (přímo přejděte na svou banku, kabelovou společnost nebo jiný web a přihlaste se, abyste našli, co od nich chcete vidět), a nestahujte e-mailové přílohy, které ' to výslovně neočekáváme. Udržujte antimalware počítače aktuální.
  • Pokud spravujete svůj vlastní e-mail, proveďte audit, abyste zjistili, jak reaguje na záznamy SPF a DMARC . Možná se na to můžete zeptat svého webového hostitele, ale není těžké si to ověřit sami pomocí stejné metody spoofingu, jakou jsme popsali výše. Můžete také zkontrolovat složku s nevyžádanou poštou - můžete tam vidět zprávy od sebe nebo od lidí, které znáte. Zeptejte se svého webového hostitele, zda může změnit způsob konfigurace vašeho SMTP serveru, nebo zvažte přepnutí poštovních služeb na něco jako Google Apps pro vaši doménu.
  • Pokud vlastníte svou vlastní doménu, zaevidujte pro ni záznamy DMARC . Matthew vysvětluje, že máte kontrolu nad tím, jak agresivní chcete být, ale přečtěte si, jak ukládat záznamy DMARC a aktualizovat své u svého registrátora domény. Pokud si nejste jisti, jak by měli, měli by být schopni pomoci. Pokud dostáváte spoofed zprávy na firemním účtu, informujte své firemní IT. Mohou mít důvod, proč nezaznamenávají záznamy DMARC (Matthew vysvětlil svůj názor, že to nemohli, protože mají externí služby, které je třeba odesílat pomocí firemní domény - něco snadno opravit, ale tento druh myšlení je součástí problému), ale alespoň jim dáte vědět.

Jako vždy je nejslabším článkem v zabezpečení koncový uživatel. To znamená, že budete muset udržet BS senzory otočené až na doraz pokaždé, když dostanete e-mail, který jste neočekávali. Vzdělávejte se. Udržujte svůj antivirový software aktuální. Nakonec sledujte podobné problémy, protože se budou i nadále vyvíjet, jak budeme pokračovat v boji proti spamu a phishingu.