Подделка электронной почты
Создание спама или фишинговых сообщений с поддельными данными отправителя или адресом

Подмена электронной почты — это создание сообщений электронной почты с поддельным адресом отправителя. [1] Этот термин применяется к электронной почте, которая якобы отправлена ​​с адреса, который на самом деле не является адресом отправителя; почта, отправленная в ответ на этот адрес, может вернуться или быть доставлена ​​несвязанной стороне, личность которой была подделана. Одноразовый адрес электронной почты или «замаскированная» электронная почта — это другая тема, предоставляющая замаскированный адрес электронной почты, который не является обычным адресом пользователя, который не раскрывается (например, чтобы его нельзя было собрать ) , но пересылает почту, отправленную на него, на реальный адрес пользователя. [2]

Первоначальные протоколы передачи, используемые для электронной почты, не имеют встроенных методов аутентификации: этот недостаток позволяет спам- и фишинговым письмам использовать подмену, чтобы ввести получателя в заблуждение. Более поздние контрмеры сделали такую ​​подмену из интернет-источников более сложной, но они не устранили ее полностью; немногие внутренние сети имеют защиту от поддельной электронной почты со взломанного компьютера коллеги в этой сети. Частные лица и компании, обманутые поддельными электронными письмами, могут понести значительные финансовые потери; в частности, поддельные электронные письма часто используются для заражения компьютеров программами-вымогателями .

Технические подробности

При отправке электронного письма по протоколу SMTP (Simple Mail Transfer Protocol) первоначальное соединение предоставляет две части адресной информации:

  • MAIL FROM: обычно представляется получателю как заголовок Return-path:, но обычно не виден конечному пользователю, и по умолчанию не выполняется никаких проверок того, имеет ли отправляющая система полномочия отправлять сообщения от имени этого адреса.
  • RCPT TO: указывает, на какой адрес электронной почты доставляется электронное письмо, обычно не виден конечному пользователю, но может присутствовать в заголовках как часть заголовка «Получено:».

Вместе они иногда называются адресацией «конверта» — по аналогии с традиционным бумажным конвертом . [3] Если принимающий почтовый сервер не сигнализирует о проблемах с любым из этих элементов, отправляющая система отправляет команду «ДАННЫЕ» и обычно отправляет несколько элементов заголовка, включая:

  • От: Joe Q Doe <joeqdoe@example.com> — адрес, видимый получателю, но опять же, по умолчанию не выполняется никаких проверок того, имеет ли отправляющая система право отправлять сообщения от имени этого адреса.
  • Ответить: Джейн Роу <Jane.Roe@example.mil> – аналогично не проверено
  • Отправитель: Jin Jo <jin.jo@example.jp> – также не проверено

В результате получатель электронной почты видит, что письмо пришло с адреса, указанного в заголовке From :. Иногда они могут найти адрес MAIL FROM , и если они ответят на письмо, оно будет отправлено либо на адрес, указанный в заголовке From:, либо на Reply-to:, но ни один из этих адресов обычно не является надежным, [4] поэтому автоматические сообщения о возврате могут генерировать backscatter .

Хотя подделка электронной почты эффективна для подделки адреса электронной почты, IP-адрес компьютера, отправляющего письмо, обычно можно определить по строкам «Получено:» в заголовке письма. [5] Однако в злонамеренных случаях это, скорее всего, будет компьютер невиновного третьего лица, зараженный вредоносным ПО , которое отправляет письмо без ведома владельца.

Злонамеренное использование спуфинга

Фишинг и мошенничество с целью взлома корпоративной электронной почты обычно включают в себя элемент подмены электронной почты.

Подделка электронных писем стала причиной публичных инцидентов с серьезными деловыми и финансовыми последствиями. Так было в случае с электронным письмом в октябре 2013 года, отправленным новостному агентству, которое было подделано так, чтобы оно выглядело как письмо от шведской компании Fingerprint Cards . В письме говорилось, что Samsung предлагает купить компанию. Новость распространилась, и цена акций компании выросла на 50%. [6]

Вредоносные программы, такие как Klez и Sober, среди многих более современных примеров, часто ищут адреса электронной почты на зараженном ими компьютере и используют эти адреса как в качестве целей для электронной почты, так и для создания достоверных поддельных полей From в отправляемых ими электронных письмах. [ необходима цитата ] Это делается для того, чтобы повысить вероятность открытия электронных писем. Например:

  1. Алисе отправляется зараженное электронное письмо, которое она открывает и запускает код червя.
  2. Код червя просматривает адресную книгу электронной почты Алисы и находит адреса Боба и Чарли.
  3. С компьютера Алисы червь отправляет зараженное электронное письмо Бобу, но подделывает его так, будто его отправил Чарли.

В этом случае, даже если система Боба определяет, что входящее письмо содержит вредоносное ПО, он видит, что источником является Чарли, хотя на самом деле оно пришло с компьютера Алисы. Между тем, Алиса может не знать, что ее компьютер заражен, а Чарли вообще ничего об этом не знает, если только не получит сообщение об ошибке от Боба.

Влияние на почтовые серверы

Традиционно почтовые серверы могли принять почтовый элемент, а затем отправить отчет о неполучении или сообщение «возврат», если его не удалось доставить или оно было помещено в карантин по какой-либо причине. Они отправлялись на адрес «MAIL FROM:», также известный как «Return Path». С массовым ростом числа поддельных адресов наилучшей практикой теперь является не создание NDR для обнаруженного спама, вирусов и т. д. [7], а отклонение электронного письма во время транзакции SMTP. Когда администраторы почты не используют этот подход, их системы виновны в отправке писем « backscatter » невиновным лицам — что само по себе является формой спама — или используются для проведения атак « Joe job ».

Контрмеры

Система SSL/TLS, используемая для шифрования трафика электронной почты между серверами, также может использоваться для обеспечения аутентификации, но на практике она используется редко [8] , а ряд других потенциальных решений также не получил распространения.

Широкое распространение получил ряд оборонительных систем, в том числе:

Чтобы эффективно остановить доставку поддельных писем, отправляющие домены, их почтовые серверы и принимающая система должны быть правильно настроены для этих более высоких стандартов аутентификации. Хотя их использование растет, оценки сильно различаются относительно того, какой процент писем не имеет формы аутентификации домена: от 8,6% [10] до «почти половины». [11] [12] [13] По этой причине принимающие почтовые системы обычно имеют ряд настроек для настройки того, как они обрабатывают плохо настроенные домены или электронную почту. [14] [15]

Хотя проводились исследования по улучшению безопасности электронной почты, мало внимания уделялось информированию пользователей, чьи адреса электронной почты использовались для подделки. В настоящее время только получатель электронной почты может определить поддельное письмо, а пользователи, чьи адреса были подделаны, остаются в неведении, если получатель вручную не проверит сообщение. [ необходима цитата ]

Деловая электронная почта

Атаки с целью компрометации деловой электронной почты — это класс киберпреступлений , которые используют мошенничество с электронной почтой для атак на организации. Примерами служат мошенничество со счетами и фишинговые атаки, которые предназначены для сбора данных для других преступных действий. Компания, обманутая поддельным электронным письмом, может понести дополнительный финансовый, репутационный ущерб и ущерб непрерывности бизнеса . Поддельные электронные письма также могут использоваться для распространения вредоносного ПО .

Обычно атака направлена ​​на определенные должности сотрудников в организации путем отправки поддельных писем, которые обманным путем выдают себя за старшего коллегу, доверенного клиента или поставщика. [16] (Этот тип атаки известен как целевой фишинг ). В письме будут выдаваться инструкции, такие как одобрение платежей или раскрытие данных клиента. В письмах часто используется социальная инженерия , чтобы обманом заставить жертву сделать денежные переводы на банковский счет мошенника. [17]

Федеральное бюро расследований США зафиксировало  убытки в размере 26 миллиардов долларов США и международного сообщества, связанные с атаками BEC в период с июня 2016 года по июль 2019 года. [18] Более поздние данные оценивают убытки в размере более 50  миллиардов долларов США с 2013 по 2022 год. [19]

Инциденты

  • В 2017 году Дублинский зоопарк потерял 130 000 евро в результате такого мошенничества — в общей сложности было украдено 500 000 евро, хотя большую часть удалось вернуть. [20]
  • Австрийская аэрокосмическая фирма FACC AG была украдена на 42  миллиона евро (47  миллионов долларов США) в результате атаки в феврале 2016 года, а затем были уволены как финансовый директор, так и генеральный директор. [21]
  • У Те Вананга о Аотеароа в Новой Зеландии украли 120 000 долларов США (NZD). [22]
  • В 2015 году пожарная служба Новой Зеландии была обманута на 52 000 долларов. [23]
  • Ubiquiti Networks потеряла 46,7  млн ​​долларов из-за такой аферы в 2015 году. [24]
  •  В 2017 году благотворительная организация Save the Children USA стала жертвой кибермошенничества на сумму 1 миллион долларов. [25]
  • Австралийские организации, сообщившие об атаках на корпоративную электронную почту Австралийской комиссии по конкуренции и защите прав потребителей [26], понесли финансовые потери в размере около 2 800 000 австралийских долларов за 2018 год. [27]
  • В 2013 году Эвалдас Римасаускас и его сотрудники отправили тысячи мошеннических писем, чтобы получить доступ к системам электронной почты компаний. [28]

Смотрите также

Ссылки

  1. ^ Варшни, Гаурав; Мисра, Манодж; Атрей, Прадип К. (2016-10-26). «Обзор и классификация схем обнаружения веб-фишинга: фишинг — это мошеннический акт, который используется для обмана пользователей». Security and Communication Networks . 9 (18): 6266–6284. doi :10.1002/sec.1674.
  2. ^ Йи, Алайна (6 июня 2022 г.). «Что такое замаскированная электронная почта? Этот новый взгляд на старую практику усиливает вашу безопасность». PCWorld .
  3. ^ Зибенманн, Крис. "Краткий обзор SMTP". Университет Торонто. Архивировано из оригинала 2019-04-03 . Получено 2019-04-08 .
  4. ^ Барнс, Билл (2002-03-12). "E-Mail Impersonators". Slate . Архивировано из оригинала 2019-04-13 . Получено 2019-04-08 .
  5. ^ "e-mail имитаторы: идентификация "поддельных" e-mail". Архивировано из оригинала 2017-06-21 . Получено 2019-04-08 .
  6. ^ Манди, Саймон (11 октября 2013 г.). «Отпечатки пальцев мошенников на поддельной сделке Samsung» . Financial Times . Архивировано из оригинала 2019-02-10 . Получено 2019-04-08 .
  7. ^ См. RFC3834
  8. ^ "Transport Layer Security for Inbound Mail". Google Postini Services . Архивировано из оригинала 2016-11-11 . Получено 2019-04-08 .
  9. ^ Карранса, Пабло (16 июля 2013 г.). «Как использовать запись SPF для предотвращения подмены и повышения надежности электронной почты». DigitalOcean . Архивировано из оригинала 20 апреля 2015 г. Получено 23 сентября 2019 г. Тщательно настроенная запись SPF снизит вероятность мошеннической подмены вашего доменного имени и не позволит вашим сообщениям быть помеченными как спам до того, как они достигнут ваших получателей. Подмена электронной почты — это создание сообщений электронной почты с поддельным адресом отправителя; это просто, поскольку многие почтовые серверы не выполняют аутентификацию. Спам и фишинговые письма обычно используют такую ​​подмену, чтобы ввести получателя в заблуждение относительно источника сообщения.
  10. ^ Bursztein, Elie; Eranti, Vijay (2013-12-06). «Усилия по борьбе с фишингом в Интернете работают». Блог безопасности Google. Архивировано из оригинала 2019-04-04 . Получено 2019-04-08 .
  11. ^ Эггерт, Ларс. "Тенденции развертывания SPF". Архивировано из оригинала 2016-04-02 . Получено 2019-04-08 .
  12. ^ Эггерт, Ларс. "Тенденции развертывания DKIM". Архивировано из оригинала 2018-08-22 . Получено 2019-04-08 .
  13. ^ «За первый год DMARC защищает 60 процентов почтовых ящиков потребителей по всему миру». dmarc.org . 2013-02-06. Архивировано из оригинала 2018-09-20 . Получено 08.04.2019 .
  14. ^ "Предотвращение поддельных сообщений с помощью обнаружения поддельных отправителей". Архивировано из оригинала 2019-03-23 ​​. Получено 2019-04-08 .
  15. ^ "Защита от подмены в Office 365". Архивировано из оригинала 2019-04-09 . Получено 2019-04-08 .
  16. ^ Джоан Гудчайлд (20 июня 2018 г.). «Как распознать атаку на компрометацию деловой электронной почты». Security Intelligence . Архивировано из оригинала 23 марта 2019 г. Получено 11 марта 2019 г.
  17. ^ "Советы по предотвращению фишинговых атак и социальной инженерии". www.bankinfosecurity.com . Архивировано из оригинала 2020-12-02 . Получено 2020-11-17 .
  18. ^ «Компрометация деловой электронной почты обходится чрезвычайно дорого и все более предотвратима». Forbes Media . 15 апреля 2020 г. Архивировано из оригинала 23 октября 2021 г. Получено 2 декабря 2020 г.
  19. ^ «Компрометация деловой электронной почты: афера на 50 миллиардов долларов».
  20. ^ "Дублинский зоопарк потерял €500 тыс., став жертвой кибермошенничества". 22 декабря 2017 г. Архивировано из оригинала 8 августа 2019 г. Получено 23 октября 2021 г.
  21. ^ "Austria's FACC, пострадавшая от кибермошенничества, увольняет генерального директора". Reuters . 26 мая 2016 г. Архивировано из оригинала 21 марта 2021 г. Получено 20 декабря 2018 г.
  22. ^ "Te Wananga o Aotearoa попалась на финансовой афере на $120 тыс.". NZ Herald. 20 декабря 2015 г. Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  23. ^ "Пожарная служба обманута на 52 000 долларов". RNZ News . 23 декабря 2015 г. Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  24. ^ Хакетт, Роберт (10 августа 2015 г.). «Мошенники обманом заставили эту компанию передать более 40 миллионов долларов». Журнал Fortune . Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  25. ^ Уоллак, Тодд (13 декабря 2018 г.). «Хакеры обманули Save the Children, заставив их отправить 1 миллион долларов на фальшивый счет». The Boston Globe . Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  26. ^ Австралийская комиссия по конкуренции и защите прав потребителей
  27. ^ Powell, Dominic (27 ноября 2018 г.). «Бизнес теряет $300 000 из-за мошенничества с „поддельными“ электронными письмами: как защитить себя от подделки». Smart Company . Архивировано из оригинала 27 ноября 2018 г. Получено 14 декабря 2018 г.
  28. ^ "Приговор по схеме BEC". Федеральное бюро расследований . Архивировано из оригинала 2020-01-31 . Получено 2020-02-01 .
  • "Технический совет 2002 года: поддельное/поддельное электронное письмо". Цифровая библиотека SEI . Университет Карнеги-Меллона. 2002-01-01 . Получено 2019-12-19 .
Взято с "https://en.wikipedia.org/w/index.php?title=Email_spoofing&oldid=1254890480#Business_email"