การปลอมแปลงอีเมลไม่ใช่เรื่องของอดีต

Kraken เช่นเดียวกับบริการยอดนิยมอื่น ๆ มีลูกค้าที่เป็นเป้าหมายโดยนักต้มตุ๋นที่ ลอง เพื่อส่งอีเมลฟิชชิ่งจากที่อยู่อีเมล @kraken.com คุณไม่ควรเห็นอีเมลหลอกลวงรูปแบบนี้ เนื่องจากควรปฏิเสธโดยผู้ให้บริการอีเมลเช่น Gmail เนื่องจากเซิร์ฟเวอร์จะสังเกตเห็นว่าอีเมลของผู้หลอกลวงไม่ได้มาจาก Kraken เบื้องหลัง เซิร์ฟเวอร์อีเมลที่ยอมรับควรค้นหาระเบียน DNS ทั่วไปเพื่อยืนยันว่าอีเมลนั้นมาจากตำแหน่งที่ถูกต้อง (เช่น ระเบียน SPF, DKIM, DMARC) 

Kraken Security Labs เชื่อมั่นใน “ไว้วางใจ แต่ยืนยัน” และทดสอบประสิทธิภาพของการควบคุมความปลอดภัยของอีเมลของ Kraken เป็นประจำ ระหว่างการทดสอบครั้งนี้ เราพบว่าผู้ให้บริการอีเมลหลายรายไม่ได้ทำการตรวจสอบง่ายๆ และทำให้ผู้ใช้ของตน (และอาจเป็นลูกค้าของเรา) เสี่ยงต่อการฟิชชิง กล่าวโดยเฉพาะอย่างยิ่ง ผู้ใช้ yahoo.com และ aol.com มีความเสี่ยงที่จะส่งอีเมล ไปยังกล่องจดหมายจากโดเมนย่อยที่ไม่มีอยู่จริงของสถานที่ยอดนิยม เช่น admin@verylegitemails.verizon.com.

Kraken Security Labs ได้รายงานปัญหานี้ไปยัง Verizon Media (ซึ่งเป็นเจ้าของ aol.com และ yahoo.com) เมื่อวันที่ 8 ตุลาคม 2020 น่าเสียดายที่ระบบดังกล่าวจัดอยู่ในประเภทความรุนแรงต่ำ และการส่งของเราถูกปิดเนื่องจากผลกระทบต่ำ อย่างไรก็ตาม ตั้งแต่นั้นมา ดูเหมือนว่าจะมีการปรับปรุงระบบอีเมลทั้งสองระบบ โดยแก้ไขปัญหาบางอย่างที่อธิบายไว้ด้านล่าง

ป้องกันตัวเองได้เสมอ เฝ้าระวังการหลอกลวงทางฟิชชิ่ง. คุณควรพิจารณาเปลี่ยนบริการอีเมลของคุณเป็น gmail.com หรือ protonmail.com หากคุณกำลังใช้ aol.com หรือ yahoo.com หากคุณใช้โดเมนของคุณเอง ตรวจสอบให้แน่ใจว่าระเบียน DMARC, SPF และ DKIM เป็นข้อมูลล่าสุดเพื่อจำกัดความสามารถของนักต้มตุ๋นในการใช้โดเมนของคุณ

At คราเคน ซิเคียวริตี้ แล็บ, ภารกิจของเราคือ สอน และ ให้อำนาจ ผู้ถือสกุลเงินดิจิทัลที่มีความรู้ที่จำเป็นในการปกป้องทรัพย์สินและใช้เงินของตนอย่างปลอดภัยตามที่เห็นสมควร ในบทความนี้ คุณจะได้เรียนรู้รายละเอียดทางเทคนิคเพิ่มเติมเกี่ยวกับเทคนิคการปลอมแปลงอีเมล วิธีที่เราปกป้องโดเมนของเรา และขั้นตอนที่คุณสามารถดำเนินการเพื่อความปลอดภัยของคุณ

รายละเอียดทางเทคนิค

การปลอมแปลงเป็นการโจมตีรูปแบบหนึ่งเมื่อสิบปีที่แล้ว เซิร์ฟเวอร์อีเมลไม่มีวิธีตรวจสอบผู้ส่งที่มีประสิทธิภาพ อีเมลที่มีผู้ส่งที่ปลอมแปลงมีอัตราความสำเร็จสูงกว่า เนื่องจากผู้ใช้จำนวนมากไม่ทราบว่าฟิลด์นี้สามารถปลอมแปลงได้ ข้อความจากโดเมนที่รู้จัก (เช่น mail@kraken.com) สามารถสร้างภาพลวงตาของอำนาจและความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อเปรียบเทียบกับที่อยู่ที่ไม่คุ้นเคยเช่น mail@example-แปลก-domain.xyz. โชคดีที่ปัจจุบันผู้ให้บริการอีเมลส่วนใหญ่มีการควบคุมที่สำคัญต่อการปลอมแปลง มาตรฐานเช่น DMARC มีเทคนิคที่เป็นทางการเพื่อทำให้การปลอมแปลงยากขึ้นมาก

การรักษาความปลอดภัยจดหมาย

ความปลอดภัยของอีเมลมีความซับซ้อนมากกว่าที่เราจะกล่าวถึงในที่นี้ แต่แนวทางปฏิบัติที่ดีที่สุดในปัจจุบันเพื่อป้องกันศูนย์ปลอมแปลงระเบียน SPF, DMARC และ DKIM เมื่อเซิร์ฟเวอร์อีเมลได้รับอีเมล เซิร์ฟเวอร์จะทำการค้นหา DNS สองสามรายการไปยังโดเมนของอีเมลเพื่อตรวจสอบระเบียนเหล่านี้

เซิร์ฟเวอร์อีเมลแต่ละเซิร์ฟเวอร์จัดการการตรวจสอบเหล่านี้ต่างกัน ตัวอย่างเช่น Gmail ติดแท็กอีเมลทั้งหมดที่ไม่ผ่านการตรวจสอบ SPF ด้วยแบนเนอร์เตือนที่ดูน่ากลัวซึ่งกระตุ้นให้ผู้ใช้ระมัดระวัง (แม้ว่าในทางเทคนิคแล้วข้อความเหล่านี้ไม่ควรได้รับการยอมรับจากเซิร์ฟเวอร์อีเมล) และอีเมลทั้งหมดที่ไม่ผ่านการตรวจสอบ DMARC ที่มี นโยบาย "ปฏิเสธ" จะไม่ได้รับการยอมรับเลย

ผู้ให้บริการอีเมลรายอื่นๆ สามารถมีขั้นตอนที่แตกต่างกันอย่างมาก โดยแต่ละรายมีอัลกอริธึมที่เป็นกรรมสิทธิ์ของตนเอง ตัวอย่างเช่น ผู้ให้บริการบางรายเลือกที่จะบล็อกอีเมลทั้งหมด ผู้ให้บริการรายอื่นส่งไปยังกล่องจดหมาย "ขยะ" และอีเมลอื่นๆ ในกล่องจดหมายพร้อมคำเตือน

ทดลองกับผู้ให้บริการอีเมลฟรี

การบังคับใช้ที่ไม่สอดคล้องกันระหว่างผู้ให้บริการต่างๆ เป็นปัญหาสำหรับเรา ดังนั้นเราจึงทำการทดสอบเพิ่มเติม เราพยายามส่งอีเมลปลอมสำหรับโดเมนที่ถูกล็อกไปยังผู้ให้บริการอีเมลฟรีชั้นนำและติดตามพฤติกรรมของพวกเขา

การทดลองที่ 1 – การปลอมแปลงของ admin@kraken.com (โดเมนฐานที่ปลอดภัย)

เราส่งอีเมลปลอมจากโดเมนที่มีระเบียน Hardfail SPF ที่ถูกต้อง ระเบียน DMARC ที่ถูกต้อง และกำหนดค่าตัวเลือก DKIM

ความคาดหวัง: เมลถูกปฏิเสธเนื่องจากไม่ได้มาจากที่อยู่ IP ที่อนุญาตและไม่มีลายเซ็น DKIM

ไม่มีอะไรน่าประหลาดใจมากนัก แม้ว่าการส่งข้อความไปยังอีเมลขยะหรือสแปมหมายความว่าผู้ใช้ในทางทฤษฎียังคงถูกหลอกได้หากพวกเขาคิดว่ามันเป็นความผิดพลาด

การทดลองที่ 2 – การปลอมแปลงของ admin@fakedomain.kraken.com (โดเมนย่อยที่ไม่มีอยู่)

เราส่งอีเมลปลอมจากโดเมนย่อยที่ไม่มีอยู่จริง ไม่มีบันทึกใด ๆ สำหรับชื่อโฮสต์นี้

ความคาดหวัง: อีเมลถูกปฏิเสธเนื่องจากไม่มีชื่อโฮสต์หรือมีบันทึกใดๆ (ไม่มีระเบียน A ไม่มีระเบียน SPF หรือ DKIM) นอกจากนี้ นโยบาย DMARC ถูกกำหนดเป็น “ปฏิเสธ” ดังนั้นอีเมลใดๆ ที่ไม่สามารถตรวจสอบสิทธิ์โดย SPF/DKIM ควรถูกปฏิเสธ

น่าแปลกที่เซิร์ฟเวอร์เมลของ Yahoo.com และ AOL.com ยอมรับข้อความที่ปลอมแปลงอย่างเห็นได้ชัดและใส่ลงในกล่องจดหมายของเหยื่อ นี่เป็นเรื่องที่น่ากังวลเป็นพิเศษ เนื่องจากหมายความว่าผู้โจมตีเพียงต้องการรวมโดเมนย่อยเพื่อให้รับเมลของตนและดูถูกต้องสำหรับผู้ใช้แพลตฟอร์มเหล่านี้ (เช่น admin@emails.chase.com).

AOL.com และ Yahoo.com อยู่ในช่วงเวลาที่ Verizon Media เป็นเจ้าของ ดังนั้นเราจึงรายงานปัญหานี้แก่พวกเขาในวันที่ 8 ตุลาคม 2020 Verizon Media ได้ปิดประเด็นดังกล่าวว่าอยู่นอกขอบเขตและไม่เป็นทางการ Kraken Security Labs ย้ำถึงความสำคัญของการปกป้องผู้ใช้ AOL & Yahoo จากฟิชชิ่ง แต่ไม่มีการสื่อสารเพิ่มเติมเกี่ยวกับการแก้ไขปัญหาเหล่านี้

ตั้งแต่นั้นมา ดูเหมือนว่ามีการปรับปรุง: ขณะนี้อีเมลถูกปฏิเสธตามนโยบาย DMARC และดูเหมือนว่าจะมีการบังคับใช้การจำกัดอัตราที่ดีขึ้น

เรายังคงโต้แย้งว่าผู้ใช้อีเมล Yahoo & Verizon มีความเสี่ยงสูง เนื่องจากผู้ขายรายอื่นมีคำเตือนที่ดีขึ้นอย่างมากต่อผู้ใช้ของตนเมื่อไม่สามารถตรวจสอบความถูกต้องของอีเมลได้ (เช่นเดียวกับกรณีที่ไม่ได้ใช้ DMARC/DKIM/SPF เลย)

Takeaways

แม้ว่าเจ้าของโดเมนจะพยายามอย่างเต็มที่แล้ว แต่ผู้ให้บริการอีเมลก็ไม่ได้กรองอีเมลตามที่คาดไว้เสมอไป ผู้ใช้ที่มีที่อยู่อีเมล @yahoo.com และ @aol.com มีความเสี่ยงสูงที่จะได้รับข้อความปลอม แม้ว่าข้อความเหล่านี้จะถูกตรวจพบและกรองโดยผู้ให้บริการเหล่านี้ได้อย่างง่ายดาย แม้ว่าพฤติกรรมจะดีขึ้น เรายังแนะนำให้เปลี่ยนอีเมลที่มีความไวสูงไปเป็นผู้ให้บริการที่กรองได้ดีกว่า เช่น Gmail หรือ Protonmail

หากคุณกำลังใช้งานเซิร์ฟเวอร์อีเมล ตรวจสอบให้แน่ใจว่าบันทึก DNS ของอีเมลสำหรับ DMARC, DKIM & SPF เป็นข้อมูลล่าสุดเสมอ และตรวจสอบว่าการควบคุมอีเมลของคุณทำงานอยู่หรือไม่

ที่มา: https://blog.kraken.com/post/10480/email-spoofing-is-not-a-thing-of-the-past/