Jump to content

Подмена электронной почты

Подмена электронной почты — это создание сообщений электронной почты с поддельным адресом отправителя. [1] Этот термин применяется к электронной почте, якобы отправленной с адреса, который на самом деле не принадлежит отправителю; почта, отправленная в ответ на этот адрес, может быть возвращена или доставлена ​​несвязанной стороне, личность которой была подделана. Одноразовый адрес электронной почты или «замаскированная» электронная почта — это отдельная тема, предоставляющая замаскированный адрес электронной почты, который не является обычным адресом пользователя, который не раскрывается (например, чтобы его нельзя было собрать ), но пересылает отправленную на него почту на реальный адрес пользователя. [2]

Исходные протоколы передачи электронной почты не имеют встроенных методов аутентификации: этот недостаток позволяет спамовым и фишинговым письмам использовать подделку с целью ввести получателя в заблуждение. Более поздние контрмеры затруднили такую ​​подделку из интернет-источников, но не устранили ее полностью; коллеги немногие внутренние сети имеют защиту от поддельного электронного письма от взломанного компьютера в этой сети. Частные лица и предприятия, обманутые поддельными электронными письмами, могут понести значительные финансовые потери; в частности, поддельные электронные письма часто используются для заражения компьютеров программами-вымогателями .

Технические подробности [ править ]

Когда по протоколу SMTP отправляется электронное письмо , первоначальное соединение предоставляет две части адресной информации:

  • MAIL FROM: обычно представляется получателю как заголовок Return-path:, но обычно не виден конечному пользователю, и по умолчанию не выполняется никаких проверок того, что отправляющая система имеет право отправлять сообщения от имени этого адреса.
  • RCPT TO: указывает, на какой адрес электронной почты доставляется электронное письмо. Обычно он не виден конечному пользователю, но может присутствовать в заголовках как часть заголовка «Received:».

Вместе их иногда называют адресацией «конверта» — по аналогии с традиционным бумажным конвертом . [3] Если принимающий почтовый сервер не сигнализирует о наличии проблем с каким-либо из этих элементов, отправляющая система отправляет команду «ДАННЫЕ» и обычно отправляет несколько элементов заголовка, в том числе:

  • От: Joe Q Doe < [электронная почта защищена] > – адрес, видимый получателю; но опять же, по умолчанию не выполняется никаких проверок того, что отправляющая система имеет право отправлять сообщения от имени этого адреса.
  • Ответ: Джейн Роу < [email protected] > – аналогично не проверено
  • Отправитель: Джин Джо < [email protected] > – также не проверено

В результате получатель электронной почты видит, что письмо пришло с адреса, указанного в заголовке From :. Иногда они могут найти адрес MAIL FROM , и если они ответят на электронное письмо, оно будет отправлено либо на адрес, указанный в заголовке From:, либо Reply-to:, но ни один из этих адресов обычно не является надежным. [4] поэтому автоматические возвратные сообщения могут генерировать обратное рассеяние .

Хотя подмена электронной почты эффективна при подделке адреса электронной почты, IP-адрес компьютера, отправляющего почту, обычно можно определить по строкам «Получено:» в заголовке электронного письма. [5] Однако в злонамеренных случаях это может быть компьютер невиновной третьей стороны, зараженный вредоносным ПО , которое отправляет электронное письмо без ведома владельца.

Злонамеренное использование спуфинга [ править ]

Фишинг с компрометацией деловой электронной почты и мошенничество обычно включают элемент подделки электронной почты.

Подмена электронной почты стала причиной публичных инцидентов с серьезными деловыми и финансовыми последствиями. Так было в электронном письме информационному агентству в октябре 2013 года, которое было подделано так, будто оно было отправлено шведской компанией Fingerprint Cards . В электронном письме говорилось, что Samsung предложила купить компанию. Новость распространилась, и курс фондовой биржи вырос на 50%. [6]

Вредоносные программы, такие как Klez и Sober, среди многих более современных примеров, часто ищут адреса электронной почты на зараженном ими компьютере и используют эти адреса как в качестве целей для электронной почты, так и для создания достоверных поддельных полей «От» в отправляемых электронных письмах. [ нужна ссылка ] Это делается для того, чтобы электронные письма с большей вероятностью были открыты. Например:

  1. Алисе отправляется зараженное электронное письмо, которое она открывает, запуская код червя.
  2. Код червя просматривает адресную книгу электронной почты Алисы и находит адреса Боба и Чарли.
  3. С компьютера Алисы червь отправляет Бобу зараженное электронное письмо, но оно выглядит так, как будто оно было отправлено Чарли.

В этом случае, даже если система Боба обнаружит входящую почту как содержащую вредоносное ПО, он увидит, что источником является Чарли, даже если оно действительно пришло с компьютера Алисы. При этом Алиса может оставаться в неведении о том, что ее компьютер заражен, а Чарли вообще ничего об этом не знает, если только не получит сообщение об ошибке от Боба.

Влияние на почтовые серверы [ править ]

Традиционно почтовые серверы могли принимать почтовое отправление, а затем отправлять отчет о недоставке или сообщение о возврате, если оно не могло быть доставлено или было помещено в карантин по какой-либо причине. Они будут отправлены на адрес «MAIL FROM:», также известный как «Путь возврата». В связи с массовым ростом количества поддельных адресов рекомендуется не создавать отчеты о недоставке для обнаруженного спама, вирусов и т. д. [7] но отклонить электронное письмо во время транзакции SMTP. Когда почтовые администраторы не используют этот подход, их системы виновны в рассылке электронных писем невиновным сторонам (что само по себе является формой спама) или в использовании для выполнения « Джо Джо атак ».

Контрмеры [ править ]

Система SSL/TLS, используемая для шифрования трафика электронной почты между серверами, также может использоваться для принудительной аутентификации, но на практике она используется редко. [8] и ряд других потенциальных решений также не получили поддержки.

Широкое распространение получил ряд защитных систем, в том числе:

Чтобы эффективно остановить доставку поддельной электронной почты, домены-отправители, их почтовые серверы и принимающая система должны быть правильно настроены для этих более высоких стандартов аутентификации. Хотя их использование растет, оценки того, какой процент электронных писем не имеет формы аутентификации домена, сильно различаются: от 8,6% [10] до «почти половины». [11] [12] [13] По этой причине системы получения почты обычно имеют ряд настроек, позволяющих настроить обработку плохо настроенных доменов или электронной почты. [14] [15]

Несмотря на то, что проводились исследования по улучшению безопасности электронной почты, мало внимания уделялось информированию пользователей, чьи адреса электронной почты использовались для подделки. В настоящее время только получатель электронной почты может идентифицировать поддельное письмо, и пользователи, чьи адреса подделаны, остаются в неведении, если получатель вручную не проверяет сообщение. [ нужна ссылка ]

Деловая электронная почта [ править ]

Атаки компрометации деловой электронной почты — это класс киберпреступлений используется , в которых мошенничество с электронной почтой для атак на организации. Примеры включают мошенничество со счетами и целевые фишинговые атаки, которые предназначены для сбора данных для другой преступной деятельности. Компания, обманутая подделкой по электронной почте, может понести дополнительный финансовый ущерб, ущерб непрерывности бизнеса и репутации. Поддельные электронные письма также могут использоваться для распространения вредоносного ПО .

Как правило, атака нацелена на определенные роли сотрудников в организации путем рассылки поддельных электронных писем, в которых обманным путем представлен старший коллега, доверенный клиент или поставщик. [16] (Этот тип атаки известен как целевой фишинг ). В электронном письме будут отправлены инструкции, такие как одобрение платежей или раскрытие данных клиента. В электронных письмах часто используется социальная инженерия , чтобы обманом заставить жертву перевести деньги на банковский счет мошенника. [17]

США Федеральное бюро расследований зафиксировало 26   миллиардов долларов США и международных убытков, связанных с атаками BEC в период с июня 2016 года по июль 2019 года. [18] По последним данным, потери в   период с 2013 по 2022 год составят более 50 миллиардов долларов. [19]

Инциденты [ править ]

  • В 2017 году Дублинский зоопарк потерял в результате такой аферы 130 000 евро – всего было украдено 500 000 евро, но большая часть была возвращена. [20]
  • Австрийская аэрокосмическая фирма FACC AG была украдена на 42   миллиона евро (47   миллионов долларов США) в результате атаки в феврале 2016 года и впоследствии уволила финансового директора и генерального директора. [21]
  • У Те Вананга о Аотеароа в Новой Зеландии украли 120 000 долларов США (NZD). [22]
  • В 2015 году у пожарной службы Новой Зеландии украли 52 000 долларов. [23]
  • В 2015 году Ubiquiti Networks $46,7 млн.   потеряла в результате такой аферы [24]
  • В 2017 году организация Save the Children USA стала жертвой   кибермошенничества на сумму 1 миллион долларов. [25]
  • Австралийские организации, сообщившие об атаках на компрометацию деловой электронной почты в Австралийскую комиссию по конкуренции и защите прав потребителей. [26] за 2018 год понесла финансовые убытки на сумму около 2 800 000 австралийских долларов. [27]
  • В 2013 году Эвалдас Римасаускас и его сотрудники разослали тысячи мошеннических электронных писем, чтобы получить доступ к почтовым системам компаний. [28]

См. также [ править ]

Ссылки [ править ]

  1. ^ Варшней, Гаурав; Мишра, Манодж; Атри, Прадип К. (26 октября 2016 г.). «Обзор и классификация схем обнаружения веб-фишинга: Фишинг — это мошенническое действие, используемое для обмана пользователей» . Сети безопасности и связи . 9 (18): 6266–6284. дои : 10.1002/сек.1674 .
  2. ^ Да, Алайна (6 июня 2022 г.). «Что такое замаскированная электронная почта? Этот новый вариант старой практики повышает вашу безопасность» . ПКМир .
  3. ^ Зибенманн, Крис. «Краткий обзор SMTP» . Университет Торонто. Архивировано из оригинала 3 апреля 2019 г. Проверено 08 апреля 2019 г.
  4. ^ Барнс, Билл (12 марта 2002 г.). «Имитаторы электронной почты» . Сланец . Архивировано из оригинала 13 апреля 2019 г. Проверено 08 апреля 2019 г.
  5. ^ «Имитаторы электронной почты: выявление «поддельных» электронных писем» . Архивировано из оригинала 21 июня 2017 г. Проверено 08 апреля 2019 г.
  6. ^ Манди, Саймон (11 октября 2013 г.). «Отпечатки пальцев мошенников на фейковой сделке с Samsung» . Файнэншл Таймс . Архивировано из оригинала 10 февраля 2019 г. Проверено 08 апреля 2019 г.
  7. ^ См. RFC3834.
  8. ^ «Безопасность транспортного уровня для входящей почты» . Службы Google Постини . Архивировано из оригинала 11 ноября 2016 г. Проверено 08 апреля 2019 г.
  9. ^ Карранса, Пабло (16 июля 2013 г.). «Как использовать запись SPF для предотвращения подделки и повышения надежности электронной почты» . Цифровой Океан . Архивировано из оригинала 20 апреля 2015 года . Проверено 23 сентября 2019 г. Тщательно настроенная запись SPF снизит вероятность мошеннической подделки вашего доменного имени и предотвратит пометку ваших сообщений как спама до того, как они достигнут получателей. Подмена электронной почты — это создание сообщений электронной почты с поддельным адресом отправителя; это просто сделать, потому что многие почтовые серверы не выполняют аутентификацию. В спам- и фишинговых письмах такая подмена обычно используется, чтобы ввести получателя в заблуждение относительно происхождения сообщения.
  10. ^ Бурштейн, Эли; Эранти, Виджай (6 декабря 2013 г.). «Усилия всего Интернета по борьбе с фишингом в электронной почте работают» . Блог Google по безопасности. Архивировано из оригинала 4 апреля 2019 г. Проверено 08 апреля 2019 г.
  11. ^ Эггерт, Ларс. «Тенденции развертывания SPF» . Архивировано из оригинала 02 апреля 2016 г. Проверено 08 апреля 2019 г.
  12. ^ Эггерт, Ларс. «Тенденции развертывания DKIM» . Архивировано из оригинала 22 августа 2018 г. Проверено 08 апреля 2019 г.
  13. ^ «В первый год DMARC защищает 60 процентов почтовых ящиков потребителей по всему миру» . dmarc.org . 06 февраля 2013 г. Архивировано из оригинала 20 сентября 2018 г. Проверено 08 апреля 2019 г.
  14. ^ «Предотвратите поддельные сообщения с помощью обнаружения поддельных отправителей» . Архивировано из оригинала 23 марта 2019 г. Проверено 08 апреля 2019 г.
  15. ^ «Защита от спуфинга в Office 365» . Архивировано из оригинала 9 апреля 2019 г. Проверено 08 апреля 2019 г.
  16. ^ Джоан Гудчайлд (20 июня 2018 г.). «Как распознать атаку компрометации деловой электронной почты» . Разведка безопасности . Архивировано из оригинала 23 марта 2019 года . Проверено 11 марта 2019 г.
  17. ^ «Советы по предотвращению фишинговых атак и социальной инженерии» . www.bankinfosecurity.com . Архивировано из оригинала 2 декабря 2020 г. Проверено 17 ноября 2020 г.
  18. ^ «Компрометация деловой электронной почты обходится чрезвычайно дорого, и ее все чаще можно предотвратить» . Форбс Медиа . 15 апреля 2020 года. Архивировано из оригинала 23 октября 2021 года . Проверено 2 декабря 2020 г.
  19. ^ «Компрометация деловой электронной почты:   мошенничество на 50 миллиардов долларов» .
  20. ^ «Дублинский зоопарк потерял 500 тысяч евро, став жертвой кибермошенничества» . 22 декабря 2017 года. Архивировано из оригинала 8 августа 2019 года . Проверено 23 октября 2021 г.
  21. ^ «Австрийская FACC, пострадавшая от кибермошенничества, увольняет генерального директора» . Рейтер . 26 мая 2016 г. Архивировано из оригинала 21 марта 2021 г. . Проверено 20 декабря 2018 г.
  22. ^ «Те Вананга о Аотеароа оказался вовлеченным в финансовую аферу на сумму 120 тысяч долларов» . Вестник Новой Зеландии. Архивировано из оригинала 20 декабря 2018 года . Проверено 20 декабря 2018 г.
  23. ^ «Пожарная служба украла 52 000 долларов» . Новости РНЗ . 23 декабря 2015 г. Архивировано из оригинала 20 декабря 2018 г. Проверено 20 декабря 2018 г.
  24. ^ Хакетт, Роберт (10 августа 2015 г.). «Мошенники обманом заставили эту компанию передать более 40   миллионов долларов» . Журнал Фортуна . Архивировано из оригинала 20 декабря 2018 года . Проверено 20 декабря 2018 г.
  25. ^ Уоллак, Тодд (13 декабря 2018 г.). «Хакеры обманом заставили Save the Children перевести 1   миллион долларов на фальшивый счет» . Бостон Глобус . Архивировано из оригинала 20 декабря 2018 года . Проверено 20 декабря 2018 г.
  26. ^ Австралийская комиссия по конкуренции и потребителям
  27. ^ Пауэлл, Доминик (27 ноября 2018 г.). «Бизнес теряет 300 000 долларов из-за «поддельного» мошенничества с электронной почтой: как защитить себя от выдачи себя за другое лицо» . Смарт Компания . Архивировано из оригинала 27 ноября 2018 года . Проверено 14 декабря 2018 г.
  28. ^ «Предложение в схеме BEC» . Федеральное бюро расследований . Архивировано из оригинала 31 января 2020 г. Проверено 01 февраля 2020 г.

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Email_spoofing&oldid=1229936762"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 320ce3155c0fff10f5b73a9d3251306b__1718798940
URL1:https://arc.ask3.ru/arc/aa/32/6b/320ce3155c0fff10f5b73a9d3251306b.html
Заголовок, (Title) документа по адресу, URL1:
Email spoofing - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)