Krakenには、他の人気のあるサービスと同様に、詐欺師の標的となるクライアントがいます。 試します @ kraken.comのメールアドレスからフィッシングメールを送信します。 この形式のなりすましメールは、Gmailなどのメールプロバイダーによって拒否される必要があるため、決して表示されないはずです。サーバーは、詐欺師のメールがKrakenから送信されていないことに気付くからです。 舞台裏では、受け入れメールサーバーは一般的なDNSレコードを検索して、電子メールが適切な場所から送信されていることを確認することになっています(つまり、SPF、DKIM、DMARCレコード)。
Kraken Security Labsは「信頼するが検証する」ことを信じており、Krakenの電子メールセキュリティ制御の有効性を定期的にテストしています。 これらのテストのXNUMXつで、複数のメールプロバイダーが単純なチェックを実行していないため、ユーザー(および場合によってはクライアント)がフィッシングのリスクにさらされていることがわかりました。具体的には、yahoo.comおよびaol.comユーザーがメールを配信するリスクがありました。のような人気のある場所の存在しないサブドメインから受信トレイに admin@verylegitemails.verizon.com.
Kraken Security Labsは、8年2020月XNUMX日にこの問題をVerizon Media(aol.comとyahoo.comを所有)に報告しました。残念ながら、重大度は低いと分類され、影響が少ないため提出は締め切られました。 ただし、それ以降、両方の電子メールシステムが改善され、以下に説明する問題のいくつかが修正されたようです。
あなたはいつも自分自身を守ることができます フィッシング詐欺に目を光らせている。 現在aol.comまたはyahoo.comを使用している場合は、メールサービスをgmail.comまたはprotonmail.comに切り替えることも検討する必要があります。 独自のドメインを実行している場合は、DMARC、SPF、およびDKIMレコードが最新であることを確認して、詐欺師がドメインを使用する機能を制限します。
At クラーケンセキュリティラボ、私たちの使命は 教育します & エンパワー 資産を保護し、適切と思われる資金を安全に利用するために必要な知識を持つ暗号通貨保有者。 この記事では、この電子メールスプーフィング手法の技術的な詳細、ドメインを保護する方法、およびセキュリティを確保するために実行できる手順について説明します。
技術的な詳細
なりすましは、わずかXNUMX年前にかつて横行した攻撃形態でした。 電子メールサーバーには、送信者を確認する効果的な方法がありませんでした。 多くのユーザーはこのフィールドが偽造できることに気付いていないため、なりすましの送信者がいるメールの成功率は高くなります。 認識可能なドメイン(mail@kraken.comなど)からのメッセージは、特に次のような見慣れないアドレスと比較した場合に、権限とセキュリティの幻想を生み出す可能性があります。 mail@example-strange-domain.xyz。 ありがたいことに、今日ではほとんどのメールプロバイダーがなりすましに対して重要な制御を行っています。 DMARCなどの標準では、なりすましをはるかに困難にする手法が形式化されています。
メールの保護
電子メールのセキュリティは、ここで説明するものよりも複雑ですが、なりすましを防ぐための現在のベストプラクティスは、SPF、DMARC、およびDKIMレコードを中心にしています。 メールサーバーはメールを受信すると、メールのドメインに対していくつかのDNSルックアップを実行して、これらのレコードをチェックします。
各電子メールサーバーは、これらのチェックを異なる方法で処理します。 たとえば、Gmailは、SPFチェックに失敗したすべてのメールに、ユーザーに注意を促す恐ろしい警告バナーをタグ付けします(ただし、これらのメッセージは技術的にメールサーバーによって受け入れられるべきではありませんでしたが)、DMARCチェックに失敗したすべてのメールには「拒否」ポリシーはまったく受け入れられません。
他のメールプロバイダーは、それぞれ独自のアルゴリズムを使用して、劇的に異なる手順を持つことができます。 たとえば、一部のプロバイダーは電子メールを完全にブロックすることを選択し、他のプロバイダーは「ジャンク」受信ボックスに送信し、さらに他のプロバイダーは警告付きの受信ボックス電子メールを送信します。
無料のメールプロバイダーを試す
異なるプロバイダー間での一貫性のない施行が懸念されているため、さらにいくつかのテストを行いました。 ロックダウンされたドメインのなりすましメールを上位の無料メールプロバイダーに送信しようとし、その動作を追跡しました。
トライアル1–なりすまし admin@kraken.com (保護されたベースドメイン)
有効なハードフェイルSPFレコード、有効なDMARCレコード、およびDKIMセレクターが構成されているドメインからスプーフィングされた電子メールを送信しました。
期待: 許可されたIPアドレスからのものではなく、DKIM署名がないため、メールは拒否されます。
ここでは大きな驚きはありませんが、迷惑メールやスパムにメッセージを送信するということは、それが間違いだと思った場合でも、理論的にはユーザーがだまされる可能性があることを意味します。
トライアル2–なりすまし admin@fakedomain.kraken.com (存在しないサブドメイン)
存在しないサブドメインドメインからなりすましメールを送信しました。 このホスト名のレコードはありません。
期待: ホスト名が存在しないか、レコードがない(Aレコード、SPFまたはDKIMレコードがない)ため、メールは拒否されます。 さらに、DMARCポリシーが「拒否」に設定されているため、SPF / DKIMで認証できない電子メールはすべて拒否する必要があります。
驚いたことに、Yahoo.comとAOL.comのメールサーバーは、この明らかになりすましのメッセージを受け入れ、被害者の受信トレイに入れました。 これは特に懸念されます。これは、攻撃者がメールを受け入れるためにサブドメインを含めるだけで、これらのプラットフォームのユーザーにとって正当であるように見える必要があることを意味します(例: admin@emails.chase.com).
AOL.comとYahoo.comは当時VerizonMediaが所有していたため、8年2020月XNUMX日にこの問題を報告しました。VerizonMediaは、この問題を範囲外で非公式であるとしてクローズしました。 Kraken Security Labsは、AOLとYahooのユーザーをフィッシングから保護することの重要性を繰り返し述べましたが、これらの問題の修正に関するこれ以上の連絡はありませんでした。
それ以来、改善が実施されたようです。DMARCポリシーに従って電子メールが拒否され、より適切なレート制限が実装されているようです。
他のベンダーは、電子メールを認証できない場合(DMARC / DKIM / SPFがまったく使用されていない場合のように)、ユーザーに対してはるかに優れた警告を発するため、YahooとVerizonの電子メールユーザーはより高いリスクにさらされていると私たちは主張します。
まとめ
ドメイン所有者の最善の努力にもかかわらず、電子メールプロバイダーは常に期待どおりに電子メールをフィルタリングしているわけではありません。 @ yahoo.comおよび@ aol.comの電子メールアドレスを持つユーザーは、これらのプロバイダーによってこれらのメッセージを簡単に検出およびフィルタリングできたとしても、なりすましメッセージを受信するリスクが高くなりました。 動作は改善されましたが、感度の高いメールを、GmailやProtonmailなどのより適切なフィルタリングを行うプロバイダーに切り替えることをお勧めします。
メールサーバーを実行している場合は、DMARC、DKIM、SPFのメールDNSレコードが常に最新であることを確認し、メールコントロールが機能しているかどうかを定期的に確認してください。
出典:https://blog.kraken.com/post/10480/email-spoofing-is-not-a-thing-of-the-past/
