E-mail spoofing - Email spoofing

E-mail spoofing je vytvoření e-mailem zprávy s a kovaný adresa odesílatele.

Základní e-mailové protokoly nemají žádný mechanismus ověřování, což je běžné pro spam a phishing e-maily, které takové spoofing použijí k uvedení uživatele v omyl nebo dokonce do žertu ohledně původu zprávy.

Technické údaje

Když Protokol jednoduchého přenosu pošty (SMTP) e-mail je odeslán, počáteční připojení poskytuje dvě informace o adrese:

  • POŠTA OD: - obecně se příjemci předkládá jako Zpáteční cesta: záhlaví, ale koncový uživatel jej obvykle nevidí, a ve výchozím nastavení žádné kontroly se provádí, že odesílací systém je oprávněn odesílat jménem této adresy.
  • RCPT TO: - určuje, na kterou e-mailovou adresu je e-mail doručen, není obvykle viditelný pro koncového uživatele, ale smět být přítomen v hlavičkách jako součást hlavičky „Přijato:“.

Společně se někdy označují jako „obálkové“ adresování - analogie k tradičnímu papírová obálka.[1] Pokud přijímající poštovní server nesignalizuje, že má problémy s některou z těchto položek, odesílající systém odešle příkaz „DATA“ a obvykle odešle několik položek záhlaví, včetně:

  • Z: Joe Q Doe - adresa viditelná pro příjemce; ale ve výchozím nastavení se neprovádí žádná kontrola, zda je odesílající systém oprávněn odesílat jménem této adresy.
  • Odpovědět: Jane Roe - podobně není zaškrtnuto

a někdy:

  • Odesílatel: Jin Jo - také není zaškrtnuto

Výsledkem je, že příjemce e-mailu vidí, že e-mail pochází z adresy v souboru Z: záhlaví. Někdy mohou být schopni najít POŠTA OD a pokud odpoví na e-mail, přejde buď na adresu uvedenou v souboru Z: nebo Odpovědět: záhlaví, ale žádná z těchto adres není obvykle spolehlivá,[2] tak automatizované odrazit zprávy může generovat zpětný rozptyl.

Přestože je spoofing e-mailů účinný při zfalšování e-mailové adresy, IP adresa počítače odesílajícího poštu lze obecně identifikovat podle řádků „Přijato:“ v záhlaví e-mailu.[3] Ve škodlivých případech však pravděpodobně jde o počítač nevinné třetí strany infikovaný virem malware který posílá e-mail bez vědomí vlastníka.

Škodlivé používání spoofingu

Phishing a kompromis obchodního e-mailu podvody obvykle zahrnují prvek spoofingu e-mailu.

E-mail spoofing byl zodpovědný za veřejné incidenty s vážnými obchodními a finančními důsledky. Tak tomu bylo v e-mailu z října 2013 zaslaného zpravodajské agentuře, která byla falešná, aby vypadala jako švédská společnost Karty otisků prstů. E-mail to uvedl Samsung nabídl ke koupi společnosti. Zprávy se rozšířily a kurz burzy vzrostl o 50%.[4]

Malware, jako je Klez a Střízlivý mezi mnoha modernějšími příklady často vyhledávají e-mailové adresy v počítači, který infikovali, a tyto adresy používají jednak jako cíle pro e-mail, ale také k vytváření důvěryhodných padělaných Z pole v e-mailech, které odesílají. Tím je zajištěno, že je pravděpodobnější otevření e-mailů. Například:

  1. Alice je zaslán infikovaný e-mail, který otevře a spustí kód červa.
  2. Kód červa prohledá Alicin e-mailový adresář a najde adresy Boba a Charlieho.
  3. Z Aliceho počítače červ pošle infikovaný e-mail Bobovi, ale je zfalšován, aby vypadal, jako by jej poslal Charlie.

V tomto případě, i když Bobův systém zjistí, že příchozí pošta obsahuje malware, vidí zdroj jako Charlie, přestože skutečně pocházel z Alicina počítače. Alice zatím nemusí vědět, že byl infikován její počítač.

Oprávněné použití

Na počátku internetu byl „legitimně zfalšovaný“ e-mail běžný. Například hostující uživatel může použít místní organizaci SMTP server odesílat e-maily z cizí adresy uživatele. Protože většina serverů byla konfigurována jako „otevřená relé ", to byla běžná praxe. Protože spamový e-mail se stal nepříjemným problémem, tento druh„ legitimního "použití upadl v nemilost. Příkladem legitimního spoofingu by byl scénář, kdy Management vztahu se zákazníky systém přijme e-mail z webu a za účelem přihlášení příchozího e-mailu a vytvoření profilu pro e-mail, který je spojen s novým kontaktem, bude systém nakonfigurován tak, aby k vytvoření profilu uživatele použil e-mail odesílatele. potenciální zákazník se jménem a e-mailovou adresou odesílatele. Dispečerský web by byl nakonfigurován tak, aby spoofoval odchozí e-mail z webu, a odesílal e-mail způsobem, díky kterému se zdá, že dorazí od odesílatele s informacemi odesílatele jako jménem odesílatele a e-mailovou adresou. Systém by jej poté protokoloval jako nakonfigurovaný.

Pokud mezi sebou více softwarových systémů komunikuje prostřednictvím e-mailu, může být pro usnadnění takové komunikace vyžadován spoofing. V každém scénáři, kde je e-mailová adresa nastavena na automatické přeposílání příchozích e-mailů do systému, který přijímá pouze e-maily od předávajícího e-mailu, je pro usnadnění tohoto chování vyžadováno spoofing. To je běžné mezi systémy jízdenek, které komunikují s jinými systémy jízdenek.

Účinek na poštovní servery

Poštovní servery tradičně mohly přijímat poštovní zásilky a později posílat a Zpráva o nedoručení nebo zpráva o nedoručení pokud to nemohlo být dodáno nebo bylo z jakéhokoli důvodu umístěno do karantény. Ty by byly zaslány na adresu „MAIL FROM:“ aka „Return Path“. S masivním nárůstem zfalšovaných adres je nyní nejlepší postup ne generovat zprávy NDR pro detekovaný spam, viry atd.[5] ale odmítnout e-mail během transakce SMTP. Když správci pošty tento přístup nepřijmou, jejich systémy se provinily odesláním “zpětný rozptyl „e-maily nevinným stranám - samy o sobě formou spamu - nebo používané k provádění“Joe práci „útoky.

Protiopatření

The SSL / TLS systém používaný k šifrování e-mailového provozu mezi servery lze také použít k vynucení ověření, ale v praxi se používá jen zřídka,[6] a řada další potenciální řešení se také nepodařilo získat trakci.

Řada účinných systémů je však nyní široce používána, včetně:

Aby bylo možné účinně zastavit doručování padělaných e-mailů, je nutné správně nakonfigurovat odesílající domény, jejich poštovní servery a přijímací systém pro tyto vyšší standardy ověřování. I když se jejich využití zvyšuje, odhady se velmi liší, jaké procento e-mailů nemá žádnou formu ověřování domény: od 8,6%[7] na „téměř polovinu“.[8][9][10] Z tohoto důvodu mají přijímací poštovní systémy obvykle řadu nastavení, která umožňují konfigurovat zacházení se špatně nakonfigurovanými doménami nebo e-maily.[11][12]

Viz také

Reference

  1. ^ Siebenmann, Chris. „Rychlý přehled SMTP“. University of Toronto. Citováno 2019-04-08.
  2. ^ Barnes, Bill (12.03.2002). „Napodobitelé e-mailů“. Citováno 2019-04-08.
  3. ^ „e-mailoví napodobitelé: identifikace„ spoofed “e-mailu. Archivovány od originál dne 2017-06-21. Citováno 2019-04-08.
  4. ^ „Otisky prstů podvodníků na falešné dohodě společnosti Samsung“. Citováno 2019-04-08.
  5. ^ Viz RFC3834
  6. ^ „Zabezpečení transportní vrstvy pro příchozí poštu“. Služby Google Postini. Archivovány od originál dne 11.11.2016. Citováno 2019-04-08.
  7. ^ Bursztein, Elie; Eranti, Vijay (06.12.2013). „Cílové úsilí v boji proti phishingu e-mailů funguje“. Blog zabezpečení Google. Citováno 2019-04-08.
  8. ^ Eggert, Larsi. „Trendy nasazení SPF“. Archivovány od originál dne 2016-04-02. Citováno 2019-04-08.
  9. ^ Eggert, Larsi. „Trendy nasazení DKIM“. Archivovány od originál dne 22. 8. 2018. Citováno 2019-04-08.
  10. ^ „V prvním roce DMARC chrání 60 procent globálních poštovních schránek pro spotřebitele“. dmarc.org. 2013-02-06. Citováno 2019-04-08.
  11. ^ „Zabránit zfalšovaným zprávám detekcí zfalšovaných odesílatelů“. Citováno 2019-04-08.
  12. ^ „Ochrana proti spoofingu v Office 365“. Citováno 2019-04-08.

externí odkazy