Подделка электронной почты, официальное название Email Spoofing, является распространенной онлайн-уловкой. В прошлой статье мы рассмотрели актуальное применение данного инструмента мошенниками. Рассмотрим, что нам нужно знать об этом, и как защитить себя и свои данные.
Что такое Email Spoofing?
Это способ подделки электронных писем, при котором искусственно изменяется содержимое электронного сообщения. Обычно имя или электронный адрес отправителя и тело сообщения меняются на имитацию законного источника, такого как банк, газета или компания. Злоумышленники также могут имитировать сообщения от друзей и родственников. Притворяясь кем-то, кому жертва доверяет, мошенник направляет жертву на фальшивый веб-сайт, который собирает их личную информацию (процесс, известный как "фишинг").
Как работает подделка электронной почты?
Мошенники изменяют различные поля электронного сообщения, чтобы замаскировать истинного отправителя, включая следующие свойства:
- FROM: Имя и E-mail адрес отправителя
- REPLY-TO: Имя и E-mail адрес для ответов
- RETURN-PATH: Email address
- SOURCE IP: IP address
Любой e-mail в своей основе обладает одинаковым строением. Формат почтового сообщения В Сети определен в документе RFC-822 (Standard for ARPA Internet Text Message, опубликован в 1982 г.). Почтовое сообщение состоит из трех частей: конверта (envelope), заголовков (headers) и тела сообщения (body). Пользователю доступны только заголовоки (headers) и тело (body) сообщения. Конверт используется программами доставки (для передачи сообщения от сервера к серверу). RFC-822 регламентирует содержание заголовка сообщения. Заголовок всегда находится перед телом сообщения, отделен от него пустой строкой и состоит из полей (имя и содержание). Имя поля отделено от содержания символом ":".
Минимально необходимыми являются следующие поля "Date:«, »From:«, »Cc:" и/или "To:"
Первые три свойства можно легко изменить с помощью настроек в Microsoft Outlook, Gmail или другом почтовом программном обеспечении. IP-адрес также можно изменить с помощью внешних средств.
Поддельные сообщения электронной почты, в которых собирается личная информация, часто содержат ссылку на веб-сайт. Сообщение может выглядеть легитимным и иметь логотип компании, с которой жертва ведет дела, поэтому жертва может принять сообщение и выполнить требуемые злоумышленнику действия. Жертву могут попросить ввести имя пользователя и пароль на Fake-вом сайте, после чего показать сообщение о том, что веб-сайт временно не работает. Между тем, мошенник уже собрал информацию для входа получателя на реальный сайт и занят снятием денег с банковского счета жертвы.
Другой сценарий включает в себя мошенников, которые ведут незаконный бизнес. Их электронные сообщения помечаются как спам, прежде чем кто-либо сможет их прочитать, поэтому они подделывают адрес электронной почты, чтобы он выглядел так, будто сообщения от законного субъекта. Электронная почта может выглядеть как от обычного человека, настоящей компании или правительственного учреждения. Цель этого мошенничества заключается в том, чтобы заставить получателей открывать сообщения и читать внутри них рекламу спама.
Как технически реализовать подмену отправителя?
В интернете без труда можно найти сайты, которые позволяют отправлять Fake'овые письма. Их десятки, вот лишь пара примеров: spoofbox.com и anonymailer.net. Многие из них бесплатны, некоторые стоят денег, позиционируются эти сервисы как законные, а основной целью использования предполагается розыгрыш друзей.
Алгоритм использования прост. Требуется лишь ввести адрес электронной почты получателя в поле «Кому:», поместить любой желаемый адрес электронной почты в поле «От:» и после создания сообщения подтвердить отправку. По условия пользовательского соглашения ответственность за ущерб полностью лежит на клиентах сервиса.
Следующий способ — это отправка с помощью командной строки UNIX. Если у тебя есть компьютер с настроенной почтовой службой, достаточно ввести эту команду:
mail -a From:evil@site.gov
В итоге получается сообщение, в котором в поле «От» будет содержаться «evil@site.gov». Введя строку темы и остальную часть сообщения, после нажатия Ctrl+D сообщение отправится получателю. Работоспособность этой идеи зависит от того, как настроена твоя система. Тем не менее, она работает во многих случаях.
Используя PHP, ты можешь создать электронное письмо с помощью нескольких строчек очень простого кода:
<?php
$to = 'nobody@example.com';
$subject = 'the subject';
$message = 'hello';
$headers = 'From: evil@site.gov' . "\r\n" .
'Reply-To: evil@site.gov' . "\r\n" .
'X-Mailer: PHP/' . phpversion();
mail($to, $subject, $message, $headers);
?>
Фактически, это строки кода, используемые в качестве простого примера в онлайн-руководстве для функции отправки почты mail() с дополнительными шапками/header.
Эти инструменты Spoofing'а сильно упрощены. Чтобы сделать сообщения более реалистичными, потребуется немного больше работы и, конечно, навыки социальной инженерии. Но основная техническая составляющая очень проста. Единственное, что действительно предотвращает спуфинг — аутентификация электронной почты с помощью совместного использования SPF-записи, DKIM-подписи и DMARC. Далее я расскажу, как работают и чем отличаются эти технологии. Они не являются чем-то новым, однако, к счастью для мошенников, большинство доменов в Интернете еще не защищены. Например, только около 4% доменов .gov используют аутентификацию. Что касательно других 96%? Злоумышленники могут отправлять электронные письма под видом исходящих с почтовых ящиков этих доменов в любой момент.
Согласно источнику, одно из четырех писем с доменов .gov является мошенническим. Домены justice.gov, House.gov, Senate.gov, Whitehouse.gov, а также democrats.org, dnc.org, gop.com, rnc.org. и DonaldJTrump.com — все они могут быть легко использованы для спуфинга почтовыми мошенниками.
Как мошенники, подделывающие электронную почту, находят жертв?
Многие мошенники используют вредоносные программы для поиска адресов электронной почты, на которые они могут нацелиться. Вредоносная программа находит адресную книгу жертвы и собирает эти адреса. Затем, с компьютера жертвы, вирус посылает зараженное электронное письмо этим контактам, распространяя сообщения злоумышленника на все больше и больше потенциальных жертв. Мошенники также могут использовать эти адреса электронной почты в своих личных целях.
Как избежать последствий мошеннических схем?
Чтобы избежать последствий, ты в первую очередь должен быть проинформирован уже сейчас и придерживаться следующих рекомендаций:
- Включи спам-фильтры своей почтовой программы и используй такие функции, как "Приоритетные входящие".
- Никогда не переходи по незнакомым ссылкам и не загружай незнакомые вложения.
- Проверяй электронную почту на наличие ошибок. Сообщения, маскирующиеся под официальную переписку банков и других учреждений, обычно выдают себя с плохими орфографией и грамматикой или с адресом электронной почты, который слегка неаккуратный.
Так же стандарты аутентефикации электронной почты позволяют почтовому серверу проверять, что электронное письмо с твоим доменом в поле «От:» было разрешено отправлять от твоего имени. До попадания сообщения в папку «Входящие» получателя, почтовый сервер может проверить:
- Используя SPF-запись, имеет ли отправляющий сервер право использовать доменное имя (или имена), указанное в заголовках сообщения?
- Если к сообщению прикреплена криптографическая DKIM-подпись, с помощью открытой версии ключа в записи DNS домена можно расшифровать заголовки входящих сообщений и узнать, действительно ли сообщение исходит от заявленного отправителя.
- Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию и проверять совпадают ли заголовки друг с другом (например, поля From: и Reply-to:). Правила включают инструкции о том, что должен сделать принимающий сервер с сообщениями, не прошедшими проверку подлинности, например, не пропускать их, помещать в папку со спамом или помечать их как потенциально опасные. Проверка подлинности по электронной почте дает владельцу домена глобальный контроль над тем, что происходит с сообщениями, отправленными от их имени кем угодно и кому угодно. Например, если ты представляешь домен-отправитель почты и публикуешь DMARC-запись с запросом информации, то ты будешь получать от всех доменов-получателей, которые тоже поддерживают DMARC, статистику обо всех почтовых письмах, которые приходят с обратным адресом от твоего домена. Статистика приходит в XML и содержит IP-адрес каждого отправителя, который подписывается твоим доменом, количество сообщений с каждого IP-адреса, результат обработки этих сообщений в соответствии с правилами DMARC, результаты SPF и результаты DKIM
Я уже жертва. Что мне делать?
Если ты считаешь, что уже попал под действия электронного письма злоумышленника, есть ряд шагов, которые ты можешь предпринять для защиты своих учетных записей и твоей личной информации, или снижения рисков их возникновения и последствий:
- Если ты загружал прикрепленные к письму файлы, то запусти антивирусные программы, чтобы найти и удалить вредоносные файлы и их последствия .
- Если ты попал на фишинговый сайт, измени пароли на тех ресурсах, на которых эти данные совпадают, если же попал под действие вредоносной программы — смени учетные данные на всех ключевых сервисах.
- Если же это связано с твоими финансовыми реквизитами, то свяжись со своим банком или компанией, выпускающей кредитные карты, и объясни ситуацию. Скорее всего, они выдадут тебе новые карты.
- Регулярно проверяй свои счета на предмет каких-либо странных расходов.
- Сообщай об этом своим друзьям и родственникам, чтобы они тоже были начеку.
Вывод
Как и в любой игре с мошенничеством, твоя лучшая защита - это скептицизм. Если ты не веришь, что электронное письмо является правдивым или отправитель является законным, удали его немедленно. Не переходи по ссылкам и не вводи свои регистрационные данные. Если есть вложение в файл, не открывай его. Если предложение, отправленное по электронной почте, кажется слишком хорошим, чтобы быть правдивым, скорее всего, так и есть. Обновляй свое антивирусное программное обеспечение.
И наконец, подпишись на мой канал, впереди много
очень интересных вещей о которых ты вряд ли догадывался, и которые мы будем изучать с тобой на практике, и обязательно посмотри как мошенники используют коронавирус с этой технологией !
