جعل ایمیل متعلق به گذشته نیست

Kraken، مانند هر سرویس محبوب، مشتریانی دارد که توسط کلاهبرداران هدف قرار می گیرند امتحان برای ارسال ایمیل های فیشینگ از آدرس های ایمیل @kraken.com. شما هرگز نباید این شکل از ایمیل های جعلی را ببینید زیرا باید توسط ارائه دهندگان ایمیل مانند Gmail رد شود زیرا سرورهای آنها متوجه می شوند که نامه های کلاهبردار از Kraken دریافت نمی شود. در پشت صحنه، سرور ایمیل پذیرنده قرار است سوابق DNS رایج را جستجو کند تا تأیید کند که ایمیل از محل درستی (به عنوان مثال، SPF، DKIM، سوابق DMARC) آمده است. 

Kraken Security Labs به "اعتماد، اما تایید" اعتقاد دارد و به طور منظم اثربخشی کنترل‌های امنیتی ایمیل Kraken را آزمایش می‌کند. در طی یکی از این آزمایش‌ها، متوجه شدیم که چندین ارائه‌دهنده ایمیل بررسی‌های ساده انجام نمی‌دهند و در نتیجه کاربران خود (و احتمالاً مشتریان ما) را در معرض خطر فیشینگ قرار می‌دهند: به طور خاص، کاربران yahoo.com و aol.com در معرض خطر تحویل ایمیل بودند. به صندوق ورودی خود از زیر دامنه‌های موجود مکان‌های محبوب، مانند admin@verylegitemails.verizon.com.

Kraken Security Labs این مشکل را در 8 اکتبر 2020 به Verizon Media (که مالک aol.com و yahoo.com بود) گزارش کرد. متأسفانه این مشکل به‌عنوان شدت کم طبقه‌بندی شد و ارسال ما به دلیل تأثیر کم بسته شد. با این حال، از آن زمان، به نظر می رسد که بهبودهایی در هر دو سیستم ایمیل اعمال شده است، و برخی از مشکلات توضیح داده شده در زیر را برطرف می کند.

شما می توانید همیشه از خود محافظت کنید مراقب کلاهبرداری های فیشینگ باشید. همچنین اگر در حال حاضر از aol.com یا yahoo.com استفاده می کنید، باید سرویس ایمیل خود را به gmail.com یا protonmail.com تغییر دهید. اگر دامنه خود را اجرا می کنید، اطمینان حاصل کنید که سوابق DMARC، SPF و DKIM شما به روز هستند تا امکان استفاده کلاهبرداران از دامنه شما محدود شود.

At آزمایشگاه های امنیتی Kraken، ماموریت ما این است که تعلیم دادن و قدرت دادن دارندگان ارزهای دیجیتال با دانشی که برای محافظت از دارایی‌های خود و استفاده ایمن از سرمایه‌های خود به دلخواه خود نیاز دارند. در این مقاله، جزئیات فنی بیشتری در مورد این تکنیک جعل ایمیل، نحوه محافظت از دامنه های خود و اقداماتی که می توانید برای اطمینان از امنیت خود انجام دهید، خواهید آموخت.

جزییات فنی

فقط ده سال پیش، جعل یک نوع حمله شایع بود. سرورهای ایمیل هیچ راه موثری برای تأیید فرستنده نداشتند. ایمیل با فرستنده جعلی از میزان موفقیت بالاتری برخوردار است، زیرا بسیاری از کاربران متوجه نمی‌شوند که این فیلد جعلی است. یک پیام از یک دامنه قابل تشخیص (مانند mail@kraken.com) می تواند توهم اقتدار و امنیت ایجاد کند، به خصوص زمانی که با یک آدرس ناآشنا مانند مقایسه شود. mail@example-strange-domain.xyz. خوشبختانه، امروزه اکثر ارائه دهندگان پست کنترل قابل توجهی در برابر جعل دارند. استانداردهایی مانند DMARC تکنیک هایی را رسمی کرده اند تا جعل را بسیار دشوارتر کنند.

ایمن سازی نامه

امنیت ایمیل پیچیده‌تر از آنچه در اینجا به آن خواهیم پرداخت، اما بهترین روش‌های فعلی برای جلوگیری از جعل در سوابق SPF، DMARC و DKIM متمرکز است. هنگامی که یک سرور ایمیل نامه دریافت می کند، چند جستجوی DNS در دامنه نامه انجام می دهد تا این سوابق را بررسی کند.

هر سرور ایمیل به طور متفاوتی این بررسی ها را انجام می دهد. برای مثال، جی‌میل تمام ایمیل‌هایی را که در بررسی‌های SPF ناموفق هستند با یک بنر هشدار دهنده ترسناک برچسب‌گذاری می‌کند که کاربران را تشویق می‌کند مراقب باشند (حتی اگر این پیام‌ها از نظر فنی هرگز نباید توسط سرور ایمیل پذیرفته می‌شد)، و همه ایمیل‌هایی که بررسی نمی‌شوند DMARC که دارای یک سیاست "رد" به هیچ وجه پذیرفته نخواهد شد.

سایر ارائه دهندگان ایمیل می توانند رویه های بسیار متفاوتی داشته باشند که هر کدام الگوریتم اختصاصی خود را دارند. به عنوان مثال، برخی از ارائه دهندگان تصمیم می گیرند ایمیل ها را به طور کامل مسدود کنند، برخی دیگر به صندوق ورودی "ناخواسته" ارسال می کنند، و برخی دیگر ایمیل های صندوق ورودی را با هشدار ارسال می کنند.

آزمایش با ارائه دهندگان ایمیل رایگان

اجرای متناقض بین ارائه دهندگان مختلف برای ما نگران کننده است، بنابراین ما آزمایش های بیشتری را انجام دادیم. ما سعی کردیم ایمیل های جعلی را برای یک دامنه قفل شده به ارائه دهندگان ایمیل رایگان ارسال کنیم و رفتار آنها را ردیابی کردیم.

آزمایش 1 - جعل admin@kraken.com (یک دامنه پایه امن)

ما یک ایمیل جعلی از دامنه‌ای ارسال کردیم که دارای یک رکورد SPF معتبر hardfail، یک رکورد DMARC معتبر و یک انتخابگر DKIM پیکربندی شده بود.

انتظار: ایمیل رد می شود زیرا از یک آدرس IP مجاز نیست و امضای DKIM ندارد.

در اینجا هیچ شگفتی بزرگی وجود ندارد، اگرچه ارسال پیام به هرزنامه یا هرزنامه به این معنی است که کاربران از نظر تئوری همچنان می توانند اگر تصور کنند اشتباه بوده است فریب داده می شوند.

آزمایش 2 - جعل admin@fakedomain.kraken.com (یک زیر دامنه وجود ندارد)

ما یک ایمیل جعلی از یک دامنه فرعی که وجود ندارد ارسال کردیم. هیچ گونه سابقه ای برای این نام میزبان وجود ندارد.

انتظار: ایمیل رد می شود زیرا نام میزبان وجود ندارد یا هیچ سابقه ای ندارد (بدون رکورد A، بدون سابقه SPF یا DKIM). علاوه بر این، خط‌مشی DMARC روی «رد» تنظیم شده است، بنابراین هر ایمیلی که نمی‌تواند توسط SPF/DKIM احراز هویت شود، باید رد شود.

با کمال تعجب، سرورهای ایمیل Yahoo.com و AOL.com این پیام آشکارا جعلی را پذیرفتند و آن را در صندوق ورودی قربانی قرار دادند. این امر به ویژه نگران کننده است، زیرا به این معنی است که یک مهاجم به سادگی باید یک زیر دامنه برای پذیرفته شدن نامه های خود و برای کاربران این پلتفرم ها مشروع نشان دهد (به عنوان مثال، admin@emails.chase.com).

AOL.com و Yahoo.com در آن زمان متعلق به Verizon Media بودند، بنابراین ما این مشکل را در 8 اکتبر 2020 به آنها گزارش کردیم. Verizon Media این موضوع را به عنوان خارج از محدوده و غیررسمی بسته است. Kraken Security Labs اهمیت محافظت از کاربران AOL و Yahoo را در برابر فیشینگ تکرار کرد، اما هیچ ارتباط بیشتری برای رفع این مشکلات ارائه نشد.

از آن زمان به نظر می رسد که بهبودهایی اعمال شده است: اکنون ایمیل ها مطابق با خط مشی DMARC رد می شوند و به نظر می رسد محدودیت نرخ بهتری اعمال می شود.

ما همچنان استدلال می کنیم که کاربران ایمیل یاهو و ورایزون در معرض خطر بیشتری هستند، زیرا سایر فروشندگان هشدارهای قابل توجهی بهتری نسبت به کاربران خود در صورت عدم احراز هویت ایمیل دارند (همانطور که زمانی که اصلاً از DMARC/DKIM/SPF استفاده نمی شود).

Takeaways

علیرغم بهترین تلاش های صاحب دامنه، ارائه دهندگان ایمیل همیشه ایمیل ها را آنطور که انتظار می رود فیلتر نمی کنند. کاربران با آدرس‌های ایمیل @yahoo.com و @aol.com در معرض خطر بیشتری برای دریافت پیام‌های جعلی بودند، حتی اگر این پیام‌ها به راحتی توسط این ارائه‌دهندگان شناسایی و فیلتر شوند. در حالی که رفتارها بهبود یافته است، همچنان توصیه می‌کنیم ایمیل با حساسیت بالاتر خود را به ارائه‌دهنده‌ای که فیلترینگ بهتری انجام می‌دهد، مانند Gmail یا Protonmail تغییر دهید.

اگر از یک سرور ایمیل استفاده می کنید، مطمئن شوید که سوابق DNS ایمیل شما برای DMARC، DKIM و SPF همیشه به روز هستند و مرتباً بررسی کنید که آیا کنترل های ایمیل شما کار می کنند یا خیر.

منبع: https://blog.kraken.com/post/10480/email-spoofing-is-not-a-thing-of-the-past/