Подделка электронной почты
Создание спама или фишинговых сообщений с поддельными данными отправителя или адресом

Подделка электронной почты — это создание сообщений электронной почты с поддельным адресом отправителя. [1] Этот термин применяется к электронной почте, которая якобы отправлена ​​с адреса, который на самом деле не принадлежит отправителю; почта, отправленная в ответ на этот адрес, может вернуться или быть доставлена ​​несвязанной стороне, личность которой была подделана. Одноразовый адрес электронной почты или «замаскированная» электронная почта — это другая тема, предоставляющая замаскированный адрес электронной почты, который не является обычным адресом пользователя, который не раскрывается (например, чтобы его нельзя было собрать ), но пересылает почту, отправленную на него, на реальный адрес пользователя. [2]

Первоначальные протоколы передачи, используемые для электронной почты, не имеют встроенных методов аутентификации: этот недостаток позволяет спам- и фишинговым письмам использовать подмену, чтобы ввести получателя в заблуждение. Более поздние контрмеры сделали такую ​​подмену из интернет-источников более сложной, но они не устранили ее полностью; немногие внутренние сети имеют защиту от поддельной электронной почты со взломанного компьютера коллеги в этой сети. Частные лица и компании, обманутые поддельными электронными письмами, могут понести значительные финансовые потери; в частности, поддельные электронные письма часто используются для заражения компьютеров программами-вымогателями .

Технические подробности

При отправке электронного письма по протоколу SMTP (Simple Mail Transfer Protocol) первоначальное соединение предоставляет две части адресной информации:

  • MAIL FROM: обычно представляется получателю как заголовок Return-path:, но обычно не виден конечному пользователю, и по умолчанию не выполняется никаких проверок того, имеет ли отправляющая система полномочия отправлять сообщения от имени этого адреса.
  • RCPT TO: указывает, на какой адрес электронной почты доставляется электронное письмо, обычно не виден конечному пользователю, но может присутствовать в заголовках как часть заголовка «Получено:».

Вместе они иногда называются адресацией «конверта» — по аналогии с традиционным бумажным конвертом . [3] Если принимающий почтовый сервер не сигнализирует о проблемах с любым из этих элементов, отправляющая система отправляет команду «ДАННЫЕ» и обычно отправляет несколько элементов заголовка, включая:

  • От: Joe Q Doe <joeqdoe@example.com> — адрес, видимый получателю, но опять же, по умолчанию не выполняется никаких проверок того, имеет ли отправляющая система право отправлять сообщения от имени этого адреса.
  • Ответить: Джейн Роу <Jane.Roe@example.mil> – аналогично не проверено
  • Отправитель: Jin Jo <jin.jo@example.jp> – также не проверено

В результате получатель электронной почты видит, что письмо пришло с адреса, указанного в заголовке From :. Иногда они могут найти адрес MAIL FROM , и если они ответят на письмо, оно будет отправлено либо на адрес, указанный в заголовке From:, либо на Reply-to:, но ни один из этих адресов обычно не является надежным, [4] поэтому автоматические сообщения о возврате могут генерировать backscatter .

Хотя подделка электронной почты эффективна для подделки адреса электронной почты, IP-адрес компьютера, отправляющего письмо, обычно можно определить по строкам «Получено:» в заголовке письма. [5] Однако в злонамеренных случаях это, скорее всего, будет компьютер невиновного третьего лица, зараженный вредоносным ПО , которое отправляет письмо без ведома владельца.

Злонамеренное использование спуфинга

Фишинг и мошенничество с целью взлома корпоративной электронной почты обычно включают в себя элемент подмены электронной почты.

Подделка электронных писем стала причиной публичных инцидентов с серьезными деловыми и финансовыми последствиями. Так было в случае с электронным письмом в октябре 2013 года, отправленным новостному агентству, которое было подделано так, чтобы оно выглядело как письмо от шведской компании Fingerprint Cards . В письме говорилось, что Samsung предлагает купить компанию. Новость распространилась, и цена акций компании выросла на 50%. [6]

Вредоносные программы, такие как Klez и Sober, среди многих более современных примеров, часто ищут адреса электронной почты на зараженном ими компьютере и используют эти адреса как в качестве целей для электронной почты, так и для создания достоверных поддельных полей From в отправляемых ими электронных письмах. [ необходима цитата ] Это делается для того, чтобы повысить вероятность открытия электронных писем. Например:

  1. Алисе отправляется зараженное электронное письмо, которое она открывает и запускает код червя.
  2. Код червя просматривает адресную книгу электронной почты Алисы и находит адреса Боба и Чарли.
  3. С компьютера Алисы червь отправляет зараженное электронное письмо Бобу, но подделывает его так, будто его отправил Чарли.

В этом случае, даже если система Боба определяет, что входящее письмо содержит вредоносное ПО, он видит, что источником является Чарли, хотя на самом деле оно пришло с компьютера Алисы. Между тем, Алиса может не знать, что ее компьютер заражен, а Чарли вообще ничего об этом не знает, если только не получит сообщение об ошибке от Боба.

Влияние на почтовые серверы

Традиционно почтовые серверы могли принять почтовый элемент, а затем отправить отчет о неполучении или сообщение «возврат», если его не удалось доставить или оно было помещено в карантин по какой-либо причине. Они отправлялись на адрес «MAIL FROM:», также известный как «Return Path». С массовым ростом числа поддельных адресов наилучшей практикой теперь является не создание NDR для обнаруженного спама, вирусов и т. д. [7], а отклонение электронного письма во время транзакции SMTP. Когда администраторы почты не используют этот подход, их системы виновны в отправке писем « backscatter » невиновным лицам — что само по себе является формой спама — или используются для проведения атак « Joe job ».

Контрмеры

Система SSL/TLS, используемая для шифрования трафика электронной почты между серверами, также может использоваться для обеспечения аутентификации, но на практике она используется редко [8] , а ряд других потенциальных решений также не получил распространения.

Широкое распространение получил ряд оборонительных систем, в том числе:

Чтобы эффективно остановить доставку поддельных писем, отправляющие домены, их почтовые серверы и принимающая система должны быть правильно настроены для этих более высоких стандартов аутентификации. Хотя их использование растет, оценки сильно различаются относительно того, какой процент писем не имеет формы аутентификации домена: от 8,6% [10] до «почти половины». [11] [12] [13] По этой причине принимающие почтовые системы обычно имеют ряд настроек для настройки того, как они обрабатывают плохо настроенные домены или электронную почту. [14] [15]

Хотя проводились исследования по улучшению безопасности электронной почты, мало внимания уделялось информированию пользователей, чьи адреса электронной почты использовались для подделки. В настоящее время только получатель электронной почты может определить поддельное письмо, а пользователи, чьи адреса были подделаны, остаются в неведении, если получатель вручную не проверит сообщение. [ необходима цитата ]

Деловая электронная почта

Атаки с целью компрометации деловой электронной почты — это класс киберпреступлений , которые используют мошенничество с электронной почтой для атак на организации. Примерами служат мошенничество со счетами и фишинговые атаки, которые предназначены для сбора данных для других преступных действий. Компания, обманутая поддельным электронным письмом, может понести дополнительный финансовый, репутационный ущерб и ущерб непрерывности бизнеса . Поддельные электронные письма также могут использоваться для распространения вредоносного ПО .

Обычно атака направлена ​​на определенные должности сотрудников в организации путем отправки поддельных писем, которые обманным путем выдают себя за старшего коллегу, доверенного клиента или поставщика. [16] (Этот тип атаки известен как целевой фишинг ). В письме будут выдаваться инструкции, такие как одобрение платежей или раскрытие данных клиента. В письмах часто используется социальная инженерия , чтобы обманом заставить жертву сделать денежные переводы на банковский счет мошенника. [17]

Федеральное бюро расследований США зафиксировало  убытки в размере 26 миллиардов долларов США и международного сообщества, связанные с атаками BEC в период с июня 2016 года по июль 2019 года. [18] Более поздние данные оценивают убытки в размере более 50  миллиардов долларов США с 2013 по 2022 год. [19]

Инциденты

  • В 2017 году Дублинский зоопарк потерял 130 000 евро в результате такого мошенничества — в общей сложности было украдено 500 000 евро, хотя большую часть удалось вернуть. [20]
  • Австрийская аэрокосмическая фирма FACC AG была украдена на 42  миллиона евро (47  миллионов долларов США) в результате атаки в феврале 2016 года, а затем были уволены как финансовый директор, так и генеральный директор. [21]
  • У Те Вананга о Аотеароа в Новой Зеландии украли 120 000 долларов США (NZD). [22]
  • В 2015 году пожарная служба Новой Зеландии была обманута на 52 000 долларов. [23]
  • Ubiquiti Networks потеряла 46,7  млн ​​долларов из-за такой аферы в 2015 году. [24]
  •  В 2017 году благотворительная организация Save the Children USA стала жертвой кибермошенничества на сумму 1 миллион долларов. [25]
  • Австралийские организации, сообщившие об атаках на корпоративную электронную почту Австралийской комиссии по конкуренции и защите прав потребителей [26], понесли финансовые потери в размере около 2 800 000 австралийских долларов за 2018 год. [27]
  • В 2013 году Эвалдас Римасаускас и его сотрудники отправили тысячи мошеннических писем, чтобы получить доступ к системам электронной почты компаний. [28] Ему было предъявлено обвинение в мошенничестве с Google на сумму около 23 миллионов долларов и с Facebook на сумму около 98 миллионов долларов в период с 2013 по 2015 год. Он сделал это, выдавая себя за тайваньского производителя оборудования Quanta Computer, компанию, с которой обе компании вели бизнес, создав в Латвии компанию с тем же названием. [29]

Смотрите также

Ссылки

  1. ^ Варшни, Гаурав; Мисра, Манодж; Атрей, Прадип К. (2016-10-26). «Обзор и классификация схем обнаружения веб-фишинга: фишинг — это мошеннический акт, который используется для обмана пользователей». Security and Communication Networks . 9 (18): 6266– 6284. doi :10.1002/sec.1674.
  2. ^ Йи, Алайна (6 июня 2022 г.). «Что такое замаскированная электронная почта? Этот новый взгляд на старую практику усиливает вашу безопасность». PCWorld .
  3. ^ Зибенманн, Крис. "Краткий обзор SMTP". Университет Торонто. Архивировано из оригинала 2019-04-03 . Получено 2019-04-08 .
  4. ^ Барнс, Билл (2002-03-12). "E-Mail Impersonators". Slate . Архивировано из оригинала 2019-04-13 . Получено 2019-04-08 .
  5. ^ "e-mail имитаторы: идентификация "поддельных" e-mail". Архивировано из оригинала 2017-06-21 . Получено 2019-04-08 .
  6. ^ Манди, Саймон (11 октября 2013 г.). «Отпечатки пальцев мошенников на поддельной сделке Samsung» . Financial Times . Архивировано из оригинала 2019-02-10 . Получено 2019-04-08 .
  7. ^ См. RFC3834
  8. ^ "Transport Layer Security for Inbound Mail". Google Postini Services . Архивировано из оригинала 2016-11-11 . Получено 2019-04-08 .
  9. ^ Карранса, Пабло (16 июля 2013 г.). «Как использовать запись SPF для предотвращения подмены и повышения надежности электронной почты». DigitalOcean . Архивировано из оригинала 20 апреля 2015 г. Получено 23 сентября 2019 г. Тщательно настроенная запись SPF снизит вероятность мошеннической подмены вашего доменного имени и не позволит вашим сообщениям быть помеченными как спам до того, как они достигнут ваших получателей. Подмена электронной почты — это создание сообщений электронной почты с поддельным адресом отправителя; это просто, поскольку многие почтовые серверы не выполняют аутентификацию. Спам и фишинговые письма обычно используют такую ​​подмену, чтобы ввести получателя в заблуждение относительно источника сообщения.
  10. ^ Bursztein, Elie; Eranti, Vijay (2013-12-06). «Усилия по борьбе с фишингом в Интернете работают». Блог безопасности Google. Архивировано из оригинала 2019-04-04 . Получено 2019-04-08 .
  11. ^ Эггерт, Ларс. "Тенденции развертывания SPF". Архивировано из оригинала 2016-04-02 . Получено 2019-04-08 .
  12. ^ Эггерт, Ларс. "Тенденции развертывания DKIM". Архивировано из оригинала 2018-08-22 . Получено 2019-04-08 .
  13. ^ «За первый год DMARC защищает 60 процентов почтовых ящиков потребителей по всему миру». dmarc.org . 2013-02-06. Архивировано из оригинала 2018-09-20 . Получено 08.04.2019 .
  14. ^ "Предотвращение поддельных сообщений с помощью обнаружения поддельных отправителей". Архивировано из оригинала 2019-03-23 ​​. Получено 2019-04-08 .
  15. ^ "Защита от подмены в Office 365". Архивировано из оригинала 2019-04-09 . Получено 2019-04-08 .
  16. ^ Джоан Гудчайлд (20 июня 2018 г.). «Как распознать атаку на компрометацию деловой электронной почты». Security Intelligence . Архивировано из оригинала 23 марта 2019 г. Получено 11 марта 2019 г.
  17. ^ "Советы по предотвращению фишинговых атак и социальной инженерии". www.bankinfosecurity.com . Архивировано из оригинала 2020-12-02 . Получено 2020-11-17 .
  18. ^ «Компрометация деловой электронной почты обходится чрезвычайно дорого и все более предотвратима». Forbes Media . 15 апреля 2020 г. Архивировано из оригинала 23 октября 2021 г. Получено 2 декабря 2020 г.
  19. ^ «Компрометация деловой электронной почты: афера на 50 миллиардов долларов».
  20. ^ "Дублинский зоопарк потерял €500 тыс., став жертвой кибермошенничества". 22 декабря 2017 г. Архивировано из оригинала 8 августа 2019 г. Получено 23 октября 2021 г.
  21. ^ "Austria's FACC, пострадавшая от кибермошенничества, увольняет генерального директора". Reuters . 26 мая 2016 г. Архивировано из оригинала 21 марта 2021 г. Получено 20 декабря 2018 г.
  22. ^ "Te Wananga o Aotearoa попалась на финансовой афере на $120 тыс.". NZ Herald. 20 декабря 2015 г. Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  23. ^ "Пожарная служба обманута на 52 000 долларов". RNZ News . 23 декабря 2015 г. Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  24. ^ Хакетт, Роберт (10 августа 2015 г.). «Мошенники обманом заставили эту компанию передать более 40 миллионов долларов». Журнал Fortune . Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  25. ^ Уоллак, Тодд (13 декабря 2018 г.). «Хакеры обманули Save the Children, заставив их отправить 1 миллион долларов на фальшивый счет». The Boston Globe . Архивировано из оригинала 20 декабря 2018 г. Получено 20 декабря 2018 г.
  26. ^ "Главная | Scamwatch". www.scamwatch.gov.au . 2 февраля 2025 г.
  27. ^ Powell, Dominic (27 ноября 2018 г.). «Бизнес теряет $300 000 из-за мошенничества с „поддельными“ электронными письмами: как защитить себя от подделки». Smart Company . Архивировано из оригинала 27 ноября 2018 г. Получено 14 декабря 2018 г.
  28. ^ "Приговор по схеме BEC". Федеральное бюро расследований . Архивировано из оригинала 2020-01-31 . Получено 2020-02-01 .
  29. ^ https://www.npr.org/2019/03/25/706715377/man-pleads-guilty-to-phishing-scheme-that-fleeced-facebook-google-of-100-million
  • "Технический совет 2002 года: поддельное/поддельное электронное письмо". Цифровая библиотека SEI . Университет Карнеги-Меллона. 2002-01-01 . Получено 2019-12-19 .
Взято с "https://en.wikipedia.org/w/index.php?title=Email_spoofing&oldid=1273534871#Business_email"