Η πλαστογραφία μέσω ηλεκτρονικού ταχυδρομείου δεν αποτελεί παρελθόν

Το Kraken, όπως κάθε δημοφιλής υπηρεσία, έχει πελάτες που στοχοποιούνται από απατεώνες που προσπαθώ για αποστολή ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου @kraken.com. Δεν πρέπει ποτέ να βλέπετε αυτήν τη μορφή πλαστογραφημένου ηλεκτρονικού ταχυδρομείου επειδή πρέπει να απορριφθεί από παρόχους αλληλογραφίας όπως το Gmail, επειδή οι διακομιστές τους θα παρατηρήσουν ότι η αλληλογραφία του απατεώνα δεν προέρχεται από το Kraken. Πίσω από τα παρασκήνια, ο διακομιστής αλληλογραφίας που δέχεται υποτίθεται ότι αναζητά κοινές εγγραφές DNS για να επαληθεύσει ότι το μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από το σωστό μέρος (π.χ. εγγραφές SPF, DKIM, DMARC). 

Η Kraken Security Labs πιστεύει στην «εμπιστοσύνη, αλλά επαλήθευση» και ελέγχει τακτικά την αποτελεσματικότητα των ελέγχων ασφαλείας του email του Kraken. Κατά τη διάρκεια μιας από αυτές τις δοκιμές ανακαλύψαμε ότι πολλοί πάροχοι αλληλογραφίας δεν εκτελούν απλούς ελέγχους και θέτουν έτσι τους χρήστες τους (και ενδεχομένως τους πελάτες μας) σε κίνδυνο phishing: Συγκεκριμένα, οι χρήστες του yahoo.com και του aol.com κινδύνευαν να αποσταλούν email στα εισερχόμενά τους από ανύπαρκτους υποτομείς δημοφιλών τόπων, όπως π.χ. admin@verylegitemails.verizon.com.

Η Kraken Security Labs ανέφερε αυτό το ζήτημα στη Verizon Media (η οποία κατείχε το aol.com και το yahoo.com) στις 8 Οκτωβρίου 2020. Δυστυχώς χαρακτηρίστηκε ως χαμηλής σοβαρότητας και η υποβολή μας έκλεισε λόγω χαμηλών επιπτώσεων. Ωστόσο, έκτοτε, φαίνεται ότι έχουν εφαρμοστεί βελτιώσεις και στα δύο συστήματα ηλεκτρονικού ταχυδρομείου, διορθώνοντας ορισμένα από τα ζητήματα που περιγράφονται παρακάτω.

Μπορείτε να προστατεύεστε πάντα σε επιφυλακή για απάτες ηλεκτρονικού ψαρέματος. Θα πρέπει επίσης να σκεφτείτε να αλλάξετε την υπηρεσία ηλεκτρονικού ταχυδρομείου σας σε gmail.com ή protonmail.com εάν χρησιμοποιείτε αυτήν τη στιγμή aol.com ή yahoo.com. Εάν εκτελείτε τον δικό σας τομέα, βεβαιωθείτε ότι οι εγγραφές σας DMARC, SPF και DKIM είναι ενημερωμένες για να περιορίσετε τη δυνατότητα των απατεώνων να χρησιμοποιούν τον τομέα σας.

At Εργαστήρια ασφαλείας Kraken, η αποστολή μας είναι να εκπαιδεύσει και εξουσιοδοτώ κάτοχοι κρυπτονομισμάτων με τη γνώση που χρειάζονται για να προστατεύσουν τα περιουσιακά τους στοιχεία και να χρησιμοποιήσουν με ασφάλεια τα κεφάλαιά τους όπως κρίνουν σκόπιμο. Σε αυτό το άρθρο, θα μάθετε περισσότερες τεχνικές λεπτομέρειες σχετικά με αυτήν την τεχνική πλαστογραφίας ηλεκτρονικού ταχυδρομείου, πώς προστατεύουμε τους τομείς μας και ποια βήματα μπορείτε να λάβετε για να διασφαλίσετε την ασφάλειά σας.

Τεχνικές λεπτομέρειες

Η απάτη ήταν κάποτε μια ανεξέλεγκτη μορφή επίθεσης μόλις πριν από δέκα χρόνια. Οι διακομιστές ηλεκτρονικού ταχυδρομείου δεν είχαν αποτελεσματικό τρόπο επαλήθευσης των αποστολέων. Η αλληλογραφία με έναν παραπλανητικό αποστολέα έχει υψηλότερο ποσοστό επιτυχίας, καθώς πολλοί χρήστες δεν συνειδητοποιούν ότι αυτό το πεδίο μπορεί να παραποιηθεί. Ένα μήνυμα από έναν αναγνωρίσιμο τομέα (όπως mail@kraken.com) μπορεί να δημιουργήσει μια ψευδαίσθηση εξουσίας και ασφάλειας, ειδικά όταν συγκρίνεται με μια άγνωστη διεύθυνση, όπως mail@example-strange-domain.xyz. Ευτυχώς, στις μέρες μας οι περισσότεροι πάροχοι αλληλογραφίας έχουν σημαντικούς ελέγχους κατά της πλαστογραφίας. Πρότυπα όπως το DMARC έχουν επισημοποιήσει τεχνικές για να κάνουν την πλαστογράφηση πολύ πιο δύσκολη.

Ασφάλεια αλληλογραφίας

Η ασφάλεια του ηλεκτρονικού ταχυδρομείου είναι πιο πολύπλοκη από ό, τι θα καλύψουμε εδώ, αλλά οι τρέχουσες βέλτιστες πρακτικές για την αποφυγή πλαστογραφίας επικεντρώνονται σε εγγραφές SPF, DMARC και DKIM. Όταν ένας διακομιστής αλληλογραφίας λαμβάνει αλληλογραφία, πραγματοποιεί μερικές αναζητήσεις DNS στον τομέα της αλληλογραφίας για να ελέγξει αυτές τις εγγραφές.

Κάθε διακομιστής email διαχειρίζεται διαφορετικά αυτούς τους ελέγχους. Για παράδειγμα, το Gmail επισημαίνει όλα τα μηνύματα που αποτυγχάνουν σε ελέγχους SPF με ένα τρομακτικό banner προειδοποίησης που ενθαρρύνει τους χρήστες να είναι προσεκτικοί (παρόλο που αυτά τα μηνύματα τεχνικά δεν πρέπει ποτέ να έχουν γίνει αποδεκτά από τον διακομιστή αλληλογραφίας) και όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποτυγχάνουν σε ελέγχους DMARC που έχουν Η πολιτική "απόρριψης" δεν θα γίνει αποδεκτή καθόλου.

Άλλοι πάροχοι αλληλογραφίας μπορεί να έχουν δραματικά διαφορετικές διαδικασίες, καθένα με τον δικό του ιδιόκτητο αλγόριθμο. Για παράδειγμα, ορισμένοι πάροχοι επιλέγουν να αποκλείσουν πλήρως τα μηνύματα ηλεκτρονικού ταχυδρομείου, άλλοι στέλνουν σε εισερχόμενα "ανεπιθύμητα", άλλοι άλλοι εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου με προειδοποιήσεις.

Πειραματιστείτε με δωρεάν παρόχους αλληλογραφίας

Η ασυνεπής επιβολή μεταξύ διαφορετικών παρόχων είναι ανησυχητική για εμάς, οπότε κάναμε κάποιες περαιτέρω δοκιμές. Προσπαθήσαμε να στείλουμε πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου για έναν κλειδωμένο τομέα στους κορυφαίους δωρεάν παρόχους email και παρακολουθήσαμε τη συμπεριφορά τους.

Δίκη 1 - Παραποίηση του admin@kraken.com (ένας ασφαλής τομέας βάσης)

Στείλαμε ένα πλαστογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου από έναν τομέα που είχε έγκυρη εγγραφή SPF σκληρού σφάλματος, έγκυρη εγγραφή DMARC και διαμορφωμένο επιλογέα DKIM.

Προσδοκία: Η αλληλογραφία απορρίπτεται επειδή δεν προέρχεται από επιτρεπόμενη διεύθυνση IP και δεν έχει υπογραφή DKIM.

Δεν υπάρχουν μεγάλες εκπλήξεις εδώ, αν και η αποστολή ενός μηνύματος σε ανεπιθύμητα ή ανεπιθύμητα σημαίνει ότι οι χρήστες θεωρητικά θα μπορούσαν ακόμη να ξεγελαστούν εάν υποθέσουν ότι ήταν λάθος.

Δίκη 2 - Παραποίηση του admin@fakedomain.kraken.com (ένας ανύπαρκτος υποτομέας)

Στείλαμε ένα πλαστό μήνυμα ηλεκτρονικού ταχυδρομείου από έναν τομέα υποτομέα που δεν υπάρχει. Δεν υπάρχουν εγγραφές κανενός είδους για αυτό το όνομα κεντρικού υπολογιστή.

Προσδοκία: Η αλληλογραφία απορρίπτεται επειδή το όνομα κεντρικού υπολογιστή δεν υπάρχει ή δεν έχει εγγραφές (χωρίς εγγραφή Α, χωρίς εγγραφή SPF ή DKIM). Επιπλέον, η πολιτική DMARC ορίστηκε ως "απόρριψη" και έτσι κάθε μήνυμα ηλεκτρονικού ταχυδρομείου που δεν μπορεί να πιστοποιηθεί από SPF/DKIM πρέπει να απορριφθεί.

Παραδόξως, οι διακομιστές αλληλογραφίας Yahoo.com και AOL.com δέχθηκαν αυτό το προφανώς πλαστό μήνυμα και το έβαλαν στα εισερχόμενα του θύματος. Αυτό είναι ιδιαίτερα ανησυχητικό, επειδή σημαίνει ότι ένας εισβολέας πρέπει απλώς να συμπεριλάβει έναν υποτομέα για να γίνει αποδεκτή η αλληλογραφία του και να φαίνεται νόμιμος για τους χρήστες αυτών των πλατφορμών (π. admin@emails.chase.com).

Τα AOL.com και Yahoo.com ανήκαν τότε στη Verizon Media, οπότε τους αναφέραμε αυτό το ζήτημα στις 8 Οκτωβρίου 2020. Η Verizon Media έκλεισε το ζήτημα ως εκτός πεδίου εφαρμογής και ανεπίσημο. Η Kraken Security Labs επανέλαβε τη σημασία της προστασίας των χρηστών της AOL & Yahoo από το ηλεκτρονικό ψάρεμα, αλλά δεν δόθηκε περαιτέρω επικοινωνία για τη διόρθωση αυτών των ζητημάτων.

Από τότε φαίνεται ότι έχουν εφαρμοστεί βελτιώσεις: Τα μηνύματα ηλεκτρονικού ταχυδρομείου απορρίπτονται πλέον σύμφωνα με την πολιτική DMARC και φαίνεται να εφαρμόζεται καλύτερος περιορισμός ποσοστών.

Εξακολουθούμε να υποστηρίζουμε ότι οι χρήστες email Yahoo & Verizon διατρέχουν μεγαλύτερο κίνδυνο, καθώς άλλοι προμηθευτές έχουν σημαντικά καλύτερες προειδοποιήσεις προς τους χρήστες τους όταν τα μηνύματα ηλεκτρονικού ταχυδρομείου δεν μπορούν να πιστοποιηθούν (όπως συμβαίνει όταν δεν χρησιμοποιείται καθόλου DMARC/DKIM/SPF).

Takeaways

Παρά τις προσπάθειες ενός κατόχου τομέα, οι πάροχοι μηνυμάτων ηλεκτρονικού ταχυδρομείου δεν φιλτράρουν πάντα το email όπως αναμενόταν. Οι χρήστες με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου @yahoo.com και @aol.com διέτρεχαν μεγαλύτερο κίνδυνο να λάβουν πλαστά μηνύματα, παρόλο που αυτά τα μηνύματα θα μπορούσαν εύκολα να εντοπιστούν και να φιλτραριστούν από αυτούς τους παρόχους. Παρόλο που οι συμπεριφορές έχουν βελτιωθεί, εξακολουθούμε να συνιστούμε να αλλάξετε το email σας υψηλότερης ευαισθησίας σε έναν πάροχο που κάνει καλύτερο φιλτράρισμα, όπως το Gmail ή το Protonmail.

Εάν εκτελείτε διακομιστή email, βεβαιωθείτε ότι οι εγγραφές DNS email σας για DMARC, DKIM & SPF είναι πάντα ενημερωμένες και επαληθεύετε τακτικά αν λειτουργούν τα στοιχεία ελέγχου email σας.

Πηγή: https://blog.kraken.com/post/10480/email-spoofing-is-not-a-thing-of-the-past/