interesanti

Kā surogātpasta izplatītāji krāpa jūsu e-pasta adresi (un kā sevi pasargāt)

Lielākā daļa no mums surogātpastu zina, kad to redzam, taču ieraudzīt dīvainus drauga vai pat vēl ļaunāka e-pasta ziņojumus mūsu iesūtnē ir diezgan apbēdinoši. Ja esat redzējis e-pastu, kas izskatās kā no drauga, tas nenozīmē, ka viņi ir uzlauzti. Surogātpasta izplatītāji visu laiku krāpj šīs adreses, un to nav grūti izdarīt. Lūk, kā viņi to dara un kā jūs varat pasargāt sevi.

Surogātpasta izplatītāji jau ilgstoši krāpj e-pasta adreses. Pirms daudziem gadiem viņi mēdza iegūt kontaktpersonu sarakstus no datoriem, kas inficēti ar ļaunprātīgu programmatūru. Mūsdienu datu zagļi uzmanīgi izvēlas savus mērķus un pikšķerē viņus ar ziņojumiem, kas izskatās kā no draugiem, uzticamiem avotiem vai pat no viņu konta.

Izrādās, ka reālu e-pasta adrešu viltošana ir pārsteidzoši vienkārša, un tas ir iemesls tam, kāpēc pikšķerēšana ir šāda problēma. Sistēmas inženieris, kurš vēlas kļūt par CISSP, un Goldavelez.com lasītājs Metjū pastāstīja, kā tas darbojas, bet arī mūs pārsteidza, nosūtot dažus no mums uz vietni Goldavelez.com no citām Goldavelez.com rakstnieku e-pasta adresēm. Neskatoties uz to, ka mēs zinājām, ka tas ir iespējams - mēs visi esam jau iepriekš saņēmuši surogātpastu -, tas bija vairāk apbēdinoši, nekā patiesībā būt. Tātad, mēs runājām ar viņu par to, kā viņš to izdarīja un ko cilvēki var darīt, lai sevi aizsargātu.

Maza vēsture: kāpēc e-pasta adreses ir tik viegli aplamas

Mūsdienās lielākajai daļai e-pasta pakalpojumu sniedzēju ir atrisināta surogātpasta problēma - vismaz viņu pašu apmierinātībai. Gmail un Outlook ir spēcīgi, izsmalcināti surogātpastu uztveršanas algoritmi un jaudīgi filtrēšanas rīki. Tomēr jau 2000. gadu sākumā tas tā nebija. Surogātpasts joprojām bija milzīga problēma, ar kuru pasta serveriem vēl bija nopietni jācīnās, daudz mazāk jāizstrādā moderni pārvaldīšanas rīki.

2003. gadā Meng Weng Wong ierosināja veidu, kā pasta serveriem "pārbaudīt", vai IP adrese (unikālais numurs, kas identificē datoru internetā), kas sūta ziņojumu, ir pilnvarota sūtīt pastu konkrēta domēna vārdā. To sauc par Sūtītāja atļauto formu (2004. gadā pārdēvēta par “Sūtītāja politikas ietvaru”), un Metjū skaidro, kā tā darbojas:

Katru reizi, kad tika nosūtīts e-pasta ziņojums, saņemošais e-pasta serveris salīdzināja ziņojuma izcelsmes IP ar IP adresi, kas norādīta SPF ierakstā e-pasta adreses resursdatoram (daļa “@ piemers.com”).

Ja abas IP adreses sakrīt, e-pasts var tikt nosūtīts paredzētajam adresātam. Ja IP adreses nesakrīt, tad e-pasts tiek atzīmēts kā mēstule vai tiek pilnībā noraidīts. Iznākuma izlemšanas pienākums pilnībā bija saņēmēja servera ziņā.

Gadu gaitā SPF ieraksti ir attīstījušies (visjaunākais RFC tika publicēts 2014. gada aprīlī), un lielākajai daļai interneta domēnu ir SPF ieraksti (tos varat meklēt šeit).

Reģistrējot domēnu, jūs reģistrējat arī vairākus DNS ierakstus, kas ir kopā ar to. Šie ieraksti pasaulei pasaka, ar kuriem datoriem runāt, atkarībā no tā, ko viņi vēlas darīt (e-pasts, Web, FTP un tā tālāk). SPF ieraksts ir piemērs, un ideālā gadījumā tas pārliecinātos, ka visi interneta pasta serveri zina, ka cilvēki, kas sūta e-pastu no, piemēram, @ Goldavelez.com.com, ir faktiski pilnvaroti lietotāji.

Tomēr šī metode nav perfekta, kas ir daļa no iemesla, kāpēc tā netika pilnībā pieķerta. SPF ierakstiem nepieciešama administrēšana - kāds faktiski pievieno jaunas IP adreses un noņem vecās, un ikreiz, kad tiek veiktas izmaiņas, ierakstam vajadzētu izplatīties internetā. (: Iepriekš SPF pārbaudes saistījām ar lietotāju IP adresēm, kad tehnoloģiju, kuru pasta adreses faktiski izmanto, lai pārbaudītu, vai serveris, caur kuru tiek pārsūtīts ziņojums, ir pilnvarots sūtītājs attiecīgā domēna vārdā, nevis tas, ka izmantotais ir pilnvarots sūtīt, Atvainojiet par neskaidrībām un paldies komentētājiem, kuri uz to norādīja!) Lielākā daļa uzņēmumu jebkurā gadījumā izmanto mīksto SPF versiju. Tā vietā, lai riskētu viltus pozitīvus, bloķējot noderīgu pastu, viņi ievieš “grūti” un “mīksti” neizdodas. E-pasta mitinātāji arī atbrīvoja ierobežojumus attiecībā uz ziņojumiem, kuri neiztur šo pārbaudi. Tā rezultātā korporācijām ir vieglāk pārvaldīt e-pastu, bet pikšķerēšana ir vienkārša un rada lielas problēmas.

Pēc tam, 2012. gadā, tika ieviests jauns ierakstu tips, kas paredzēts darbam līdztekus SPF. To sauc par DMARC jeb uz domēnu balstītu ziņojumu autentifikācija, ziņošana un atbilstība. Pēc viena gada tas tiek paplašināts, lai aizsargātu lielu skaitu patērētāju pastkastīšu (lai arī 60% pašpasludinātie ir droši vien optimistiski.) Metjū skaidro sīkāk:

DMARC vārdi ir divi svarīgi karodziņi (lai gan kopā ir 10) - karodziņš "p", kas saņēmējiem serveriem uzdod rīkoties ar potenciāli neīstiem e-pastiem, tos noraidot, karantīnā vai nododot garām; un karodziņš "rua", kas norāda saņēmējiem serveriem, kur viņi var nosūtīt ziņojumu par neveiksmīgiem ziņojumiem (parasti e-pasta adrese domēna administratora drošības grupā). DMARC ieraksts atrisina lielāko daļu problēmu ar SPF ierakstiem, uzņemoties pienākumu izlemt, kā atbildēt prom no saņēmēja.

Problēma ir tā, ka vēl ne visi izmanto DMARC.

Šis parocīgais rīks ļauj jums veikt meklēšanu jebkura domēna DMARC ierakstā - izmēģiniet to dažos no saviem iecienītākajiem objektiem (gawker.com, whitehouse.gov, redcross.org, reddit.com). Vai pamanāt kaut ko? Neviens no viņiem nav publicējis DMARC ierakstus. Tas nozīmē, ka jebkuram e-pasta resursdatoram, kurš mēģina ievērot DMARC noteikumus, nebūtu instrukcijas par to, kā rīkoties ar SPF neizdevīgiem e-pastiem, un, iespējams, viņi tos izlaiž. Tas ir tas, ko Google dara ar Gmail (un Google Apps), un tieši tāpēc viltus e-pastus var nokļūt jūsu iesūtnē.

Lai pierādītu, ka Google pievērš uzmanību DMARC ierakstiem, aplūkojiet facebook.com DMARC ierakstu - karodziņš “p” norāda, ka adresātiem ir jānoraida e-pasti, un jānosūta ziņojums par to Facebook pasta darbiniekam. Tagad mēģiniet viltot e-pastu no facebook.com un nosūtīt to uz Gmail adresi - tas netiks cauri. Tagad apskatiet fb.com DMARC ierakstu - tas norāda, ka neviens e-pasts nav jānoraida, bet ziņojums ir jāsniedz jebkurā gadījumā. Un, ja jūs to pārbaudīsit, tiks nosūtīti e-pasti no @ fb.com.

Metjū arī atzīmēja, ka "postmaster report" nav joks. Kad viņš mēģināja izkrāpt domēnu ar DMARC ierakstu, viņa SMTP serveris tika bloķēts mazāk nekā 24 stundu laikā. Pārbaudot, mēs pamanījām to pašu. Ja domēns ir iestatīts pareizi, tie ātri pārtrauc šos viltus ziņojumus vai vismaz līdz brīdim, kad krāpnieks izmanto citu IP adresi. Tomēr domēns, kurā nav DMARC ierakstu, ir godīga spēle. Jūs tos varējāt krāpt vairākus mēnešus, un neviens no sūtīšanas beigām to nepamana - saņēmēja pasta pakalpojumu sniedzējs var aizsargāt savus lietotājus (vai nu atzīmējot ziņojumu kā surogātpastu, pamatojoties uz saturu, vai arī pamatojoties uz ziņojuma neveiksmīgo SPF pārbaudi). )

Kā surogātpasta izplatītāji izsaimnieko e-pasta adreses

Pārsteidzoši vienkārši ir pieejami rīki, kas nepieciešami, lai izkrāptu e-pasta adreses. Viss, kas jums nepieciešams, ir strādājošs SMTP serveris (aka, serveris, kas var nosūtīt e-pastu) un pareizā pasta programmatūra.

Jebkura laba tīmekļa mitinātāja nodrošinās jūs ar SMTP serveri. (Jūs varētu arī instalēt SMTP savā īpašumā esošajā sistēmā, 25. ports - izejošajam e-pastam izmantoto portu parasti bloķē ISP. Tas ir īpaši paredzēts, lai izvairītos no tāda veida masveida e-pasta sūtīšanas ļaunprātīgas programmatūras, kādu mēs redzējām 2000. gadu sākumā.) palaidnība mums, Metjū izmantoja PHP Mailer. Tas ir viegli saprotams, viegli instalējams, un tam ir pat tīmekļa saskarne. Atveriet PHP Mailer, sastādiet ziņojumu, ierakstiet adreses “no” un “līdz” un noklikšķiniet uz sūtīt. Pēc adresāta saņemšanas viņi iesūtnē saņems e-pastu, kas izskatās pēc adreses, kuru ievadījāt. Metjū skaidro:

E-pasta ziņojumam vajadzēja darboties bez izdošanas, un šķiet, ka tas ir sūtīts no visiem, kurus jūs teicāt, ka tie ir no. Ļoti maz ir norāžu, ka tas nerodas viņu iesūtnē, kamēr neesat apskatījis e-pasta avota kodu (Gmail opcija “Skatīt oriģinālu”). [ed piezīme: skatīt attēlu augstāk]

Jūs pamanīsit, ka e-pasta ziņojums “mīkstais” neizturēja SPF pārbaudi, tomēr tik un tā tas nonāca iesūtnē. Ir arī svarīgi ņemt vērā, ka avota kodā ir ietverta e-pasta sākotnējā IP adrese, tāpēc ir iespējams, ka e-pastu var izsekot, ja saņēmējs to vēlas.

Šajā brīdī ir svarīgi atzīmēt, ka joprojām nav standarta, kā e-pasta resursdatori izturēsies pret SPF kļūmēm. Gmail, resursdators, ar kuru testēju lielāko daļu gadījumu, ļāva ienākt e-pasta ziņojumiem. Tomēr Outlook.com nenodrošināja nevienu viltotu e-pastu, neatkarīgi no tā, vai tas ir mīksts vai ciets. Mans korporatīvais Exchange serveris viņus atļāva izdot, un mans mājas serveris (OS X) tos pieņēma, bet atzīmēja kā surogātpastu.

Ar to viss ir kārtībā. Mēs esam pārmeklējuši dažas detaļas, bet ne daudz. Lielākais brīdinājums šeit ir, ja jūs noklikšķināt uz atbildes uz viltus ziņojumu, viss, kas tiek nosūtīts atpakaļ, nonāk adreses īpašniekam, nevis krāpniekam. Tomēr zagļiem tas nav svarīgi, jo surogātpasta izplatītāji un pikšķerētāji tikai cer noklikšķināt uz saitēm vai atvērt pielikumus.

Kompromiss ir skaidrs: tā kā SPF nekad nav tikusi pie tā, kā bija paredzēts, jums nav jāpievieno ierīces IP adrese sarakstam un jāgaida 24 stundas katru reizi, kad dodaties, vai arī nevēlaties sūtīt e-pastu no jaunā viedtālruņa. . Tomēr tas arī nozīmē, ka pikšķerēšana joprojām ir galvenā problēma. Sliktākajā gadījumā tikai to, ka to var izdarīt ikviens.

Ko jūs varat darīt, lai aizsargātu sevi

Tas viss var šķist nelokāms vai likties kā satraukums par dažiem mēreniem surogātpastu e-pastiem. Galu galā, mēs visi zinām surogātpastu, kad to redzam - ja mēs to kādreiz redzam. Bet patiesība ir tāda, ka katram kontam, kurā šie ziņojumi ir atzīmēti, ir vēl viens, kur tie nav, un pikšķerēšanas e-pasta ziņojumi tiek iesūtīti lietotāju iesūtnēs.

Metjū mums paskaidroja, ka viņš mēdzis blēdīties ar adresēm ar draugiem, tikai lai paglābtu draugus un nedaudz izbiedētu viņus - piemēram, priekšnieks dusmojās uz viņiem vai reģistratūras darbinieks pa e-pastu teica, ka viņu automašīna tiek vilkta -, taču saprata, ka tā darbojas pārāk labi, pat no uzņēmuma tīkla. Viltus ziņojumi tika piegādāti caur uzņēmuma pasta serveri, pievienojot profila attēlus, korporatīvās tērzēšanas statusu, automātiski aizpildītu kontaktinformāciju un daudz ko citu, ko visiem noderīgi pievienoja pasta serveris, un tas viss ļauj viltotajam e-pastam izskatīties likumīgam. Kad es pārbaudīju procesu, tas nebija daudz darba, pirms es redzēju savu seju, kas ieskatās manī ieskatos, vai Vitsona, vai pat Ādama Dachisa ", kuram vairs nav pat Goldavelez.com e-pasta adreses.

Vēl sliktāk, vienīgais veids, kā pateikt, ka e-pasts nav no tā, kā izskatās, ir iedziļināties galvenēs un zināt, ko meklējat (kā mēs aprakstījām iepriekš.) Tas ir diezgan garš pasūtījums pat tehnikai -savvy starp mums - kam tam ir laiks aizņemtas darba dienas vidū? Pat ātra atbilde uz viltus e-pastu radītu neskaidrības. Tas ir ideāls veids, kā radīt nelielu haosu vai mērķēt uz indivīdiem, lai liktu viņiem kompromitēt personālo datoru vai atteikties no pieteikšanās informācijas. Bet, ja redzat kaut ko pat mazliet aizdomīgu, arsenālā jums vismaz ir vēl viens rīks.

Tātad, ja vēlaties pasargāt iesūtnes no šādiem ziņojumiem, varat veikt dažas darbības:

  • Uzlabojiet surogātpasta filtrus un izmantojiet tādus rīkus kā Prioritārā iesūtne . Iestatot surogātpasta filtrus nedaudz stiprāk, atkarībā no jūsu pasta pakalpojumu sniedzēja, atšķirība starp ziņojumu, kas neiztur SPF pārbaudes, tiek nosūtīta surogātpastā, salīdzinot ar iesūtni. Tāpat, ja jūs varat izmantot tādus pakalpojumus kā Gmail prioritārā iesūtne vai Apple VIP, jūs būtībā ļaujat pasta serverim izdomāt jums svarīgās personas. Ja kāda nozīmīga persona tiek šmaukta, jūs tomēr to iegūsit.
  • Uzziniet, kā lasīt ziņojumu galvenes un izsekot IP adreses . Mēs izskaidrojām, kā to izdarīt šajā rakstā par surogātpasta avota izsekošanu, un tā ir laba prasme. Kad ienāks aizdomīgs e-pasts, varēsit atvērt galvenes, apskatīt sūtītāja IP adresi un pārliecināties, vai tā sakrīt ar iepriekšējiem e-pastiem no vienas personas. Jūs pat varat veikt apgrieztu meklēšanu sūtītāja IP, lai redzētu, kur tas atrodas - kas var būt vai nebūt informatīvs, bet, ja saņemat e-pastu no sava drauga visā pilsētā, kura izcelsme ir Krievijā (un viņi nebrauc), jūs zini, ka kaut kas ir beidzies
  • Nekad neklikšķiniet uz nepazīstamām saitēm un ne lejupielādējiet nepazīstamus pielikumus . Tas var šķist neprātīgs, taču viss, kas nepieciešams, ir viens uzņēmuma darbinieks, kurš redz ziņojumu no sava priekšnieka vai kāda cita uzņēmuma, lai atvērtu pielikumu vai noklikšķinātu uz smieklīgās Google dokumentu saites, lai parādītu visu korporatīvo tīklu. Daudzi no mums domā, ka mēs esam tikuši tikuši viltoti, bet tas notiek visu laiku. Pievērsiet uzmanību saņemtajiem ziņojumiem, neklikšķiniet uz saitēm e-pastā (tieši dodieties uz savas bankas, kabeļtelevīzijas uzņēmuma vai citu vietni un piesakieties, lai atrastu to, ko viņi vēlas, lai jūs redzētu), un neveiciet e-pasta pielikumu lejupielādi. re tieši negaida. Atjauniniet datora pretvīrusu programmatūru.
  • Ja pārvaldāt pats savu e-pastu, revidējiet to, lai redzētu, kā tas reaģē uz SPF un DMARC ierakstiem . Iespējams, ka par to varat jautāt savam tīmekļa mitinātājam, taču pats to nav grūti pārbaudīt, izmantojot to pašu mānīšanās metodi, kuru mēs aprakstījām iepriekš. Alternatīvi, pārbaudiet nevēlamā pasta mapi - tur jūs varat redzēt ziņojumus no sevis vai no pazīstamiem cilvēkiem. Pajautājiet savam tīmekļa mitinātājam, vai viņi var mainīt jūsu SMTP servera konfigurēšanas veidu, vai arī apsveriet iespēju pārsūtīt pasta pakalpojumus uz kaut ko līdzīgu Google domēnam.
  • Ja jums pieder jūsu domēns, iesniedziet DMARC ierakstus par to . Metjū paskaidro, ka jūs kontrolējat, cik agresīvs vēlaties būt, taču izlasiet, kā iesniegt DMARC ierakstus un atjaunināt savus pie sava domēna reģistratūras. Ja neesat pārliecināts, kā, viņiem vajadzētu būt spējīgiem palīdzēt. Ja uzņēmuma kontā saņemat nepatiesus ziņojumus, dariet to zināmu savam korporatīvajam IT. Viņiem var būt iemesls neiesniegt DMARC ierakstus (Metjū paskaidroja, ka viņi to nevar, jo viņiem ir ārēji pakalpojumi, kas jānosūta, izmantojot uzņēmuma domēnu - kaut kas viegli fiksējams, taču šāda veida domāšana ir daļa no problēmas), bet vismaz tu viņiem paziņosi.

Kā vienmēr, vājākais drošības posms ir tiešais lietotājs. Tas nozīmē, ka jums katru reizi jāsaņem BS sensori, kad saņemat e-pastu, kuru jūs negaidījāt. Izglītot sevi. Atjauniniet programmatūru pret ļaunprātīgu programmatūru. Visbeidzot, sekojiet līdzi tādiem jautājumiem kā šie, jo tie turpinās attīstīties, turpinot cīņu pret surogātpastu un pikšķerēšanu.