mielenkiintoista

Kuinka roskapostittajat huijaavat sähköpostiosoitteesi (ja kuinka suojata itseäsi)

Suurin osa meistä tuntee roskapostin, kun näemme sen, mutta ystävästä - tai mikä pahempaa - itseltämme - omituisen sähköpostin näkeminen postilaatikossamme on melko häiritsevää. Jos olet nähnyt sähköpostin, joka näyttää lähettävän ystävältä, se ei tarkoita, että heitä on hakkeroitu. Roskapostittajat huijaavat näitä osoitteita koko ajan, eikä se ole vaikeaa tehdä. Näin he tekevät sen ja kuinka voit suojautua.

Roskapostittajat ovat huijalleet sähköpostiosoitteita jo pitkään. Vuosia sitten he hankkivat yhteyshenkilöitä haittaohjelmista tartunnan saaneilta tietokoneilta. Nykypäivän datavarkaat valitsevat kohteet huolellisesti ja lähettävät heille viestejä, jotka näyttävät tulevan ystäviltä, ​​luotettavilta lähteiltä tai jopa omalta tililtä.

Osoittautuu, että todellisten sähköpostiosoitteiden väärentäminen on yllättävän helppoa, ja osa tietojen kalastelusta on tällainen ongelma. Järjestelmäinsinööri, joka pyrkii CISSP: hen, ja Goldavelez.com-lukija Matthew kertoivat meille, kuinka se toimii, mutta ymmärsi myös meitä yllätyksenä lähettämällä meille muutama meistä Goldavelez.com-sivustolle muiden Goldavelez.com-kirjoittajien sähköpostiosoitteista. Huolimatta tosiasiasta, että tiesimme sen olevan mahdollista - olemme kaikki saaneet roskapostia aiemmin -, oli enemmän hämmentävää olla siitä itse asiassa. Joten, puhuimme hänelle siitä, kuinka hän teki sen ja mitä ihmiset voivat tehdä suojellakseen itseään.

Pieni historia: Miksi sähköpostiosoitteet ovat niin helppo huijata

Nykyään useimmilla sähköpostipalveluntarjoajilla on roskapostin ongelma ratkaistu - ainakin heidän itsensä tyytyväisyyteen. Gmailissa ja Outlookissa on vahvoja, hienostuneita roskapostin sieppausalgoritmeja ja tehokkaita suodatustyökaluja. Takaisin 2000-luvun alkupuolella, mutta niin ei ollut. Roskapostit olivat edelleen valtava ongelma, johon postipalvelimien oli vielä puututtava vakavasti, ja kehitettävä edistyneempiä työkaluja hallintaan.

Meng Weng Wong ehdotti vuonna 2003 tapaa postipalvelimille "varmistaa", että viestin lähettävä IP-osoite (Internet-tietokoneen yksilöivä yksilöivä numero) valtuutettiin lähettämään sähköpostia tietyn verkkotunnuksen puolesta. Sitä kutsutaan lähettäjän sallittuksi lomakkeeksi (nimettiin uudelleen "lähettäjän toimintakehykseksi" vuonna 2004), ja Matthew selittää sen toiminnan:

Aina kun sähköpostiviesti lähetetään, vastaanottava sähköpostipalvelin vertaa viestin alkuperä IP: tä IP-osoitteeseen, joka on mainittu SPF-tietueessa sähköpostiosoitteen isäntä (“@ esimerkki.com” -osa).

Jos kaksi IP-osoitetta täsmäävät, sähköposti voi kulkea halutulle vastaanottajalle. Jos IP-osoitteet eivät täsmää, sähköposti merkitään roskapostiksi tai hylätään kokonaan. Taakka päätöksenteosta oli täysin vastaanottavan palvelimen käsissä.

SPF-tietueet ovat kehittyneet vuosien varrella (viimeisin RFC julkaistiin huhtikuussa 2014), ja useimmilla Internet-verkkotunnuksilla on SPF-tietueita (voit etsiä niitä täältä).

Kun rekisteröit verkkotunnuksen, rekisteröit myös useita DNS-tietueita, jotka kulkevat sen mukana. Nämä tietueet kertovat maailmalle, mille tietokoneille puhua riippuen siitä, mitä he haluavat tehdä (sähköposti, verkko, FTP ja niin edelleen). SPF-tietue on esimerkki, ja ihannetapauksessa se varmistaisi, että kaikki Internet-postipalvelimet tietävät, että @ Goldavelez.com.com -sivulta sähköpostia lähettävät ihmiset ovat tosiasiassa valtuutettuja tietokoneita.

Tämä menetelmä ei kuitenkaan ole täydellinen, mikä on osa miksi se ei kiinni täysin. SPF-tietueet vaativat hallintaa - joku lisää todella uusia IP-osoitteita ja poistaa vanhoja, ja aika tietueen leviämiselle Internetissä joka kerta, kun muutokset tehdään. (: Sidimme SPF-tarkastukset aiemmin käyttäjän IP-osoitteisiin, kun postihostilit tosiasiallisesti käyttävät tekniikkaa varmistaakseen, että palvelin, jonka kautta viesti kulkee, on valtuutettu lähettäjä tietyn verkkotunnuksen puolesta, eikä se, että käytetyllä on lupa lähettää Anteeksi sekaannuksesta ja kiitos kommentoijille, jotka huomauttivat tämän!) Useimmat yritykset käyttävät joka tapauksessa pehmeää versiota SPF: stä. Sen sijaan, että väärien positiivisten riskien estämällä hyödyllisiä postia, ne toteuttavat "kova" ja "pehmeä" epäonnistuu. Sähköpostipalvelimet löysivät myös rajoituksiaan siitä, mitä tapahtuu viesteille, jotka epäonnistuvat. Seurauksena on, että sähköposti on yrityksille helpompi hallita, mutta tietojenkalastelu on helppoa ja suuri ongelma.

Sitten, vuonna 2012, otettiin käyttöön uusi levytyyppi, joka on suunniteltu toimimaan yhdessä SPF: n kanssa. Sitä kutsutaan DMARC, tai Domain-pohjainen viestin todennus, raportointi ja vaatimustenmukaisuus. Yhden vuoden kuluttua sitä laajennettiin suojelemaan suurta määrää kuluttajien postilaatikoita (vaikka itse ilmoittanut 60% on todennäköisesti optimistinen.) Matthew selittää yksityiskohdat:

DMARC kiehuu kahteen tärkeään lippuun (vaikka niitä on yhteensä 10) - "p" -lippu, joka ohjeistaa vastaanottavia palvelimia käsittelemään mahdollisesti vääriä sähköposteja joko hylkäämällä, karanteenimalla tai siirtämällä; ja rua-lippu, joka kertoo vastaanottaville palvelimille, joille ne voivat lähettää raportin epäonnistuneista viesteistä (yleensä sähköpostiosoite verkkotunnuksen järjestelmänvalvojan suojausryhmässä). DMARC-tietue ratkaisee suurimman osan SPF-tietueiden ongelmista ottamalla vastuu päättää, kuinka vastata vastaanottajalta.

Ongelmana on, että kaikki eivät vielä käytä DMARC: tä.

Tämä kätevä työkalu antaa sinun kysyä minkä tahansa verkkotunnuksen DMARC-tietuetta - kokeile sitä muutamilla suosikeistasi (gawker.com, whitehouse.gov, redcross.org, reddit.com). Huomaatko mitään? Kukaan heistä ei ole julkaissut DMARC-tietueita. Tämä tarkoittaa, että jokaisella sähköpostipalvelimella, joka yrittää noudattaa DMARC: n sääntöjä, ei olisi ohjeita SPF: n epäonnistuneiden sähköpostiviestien käsittelemiseen, ja luultavasti päästäisi ne läpi. Sitä Google tekee Gmailin (ja Google Appsin) kanssa, ja siksi vääriä sähköposteja voi päästä postilaatikkoosi.

Todistaaksesi, että Google kiinnittää huomiota DMARC-tietueisiin, katso facebook.com-sivuston DMARC-tietuetta - "p" -merkki merkitsee, että vastaanottajien tulee hylätä sähköpostiviestit ja lähettää siitä raportti Facebookin postvastaavalle. Yritä nyt väärentää sähköposti facebook.comista ja lähettää se Gmail-osoitteeseen - se ei tule läpi. Katso nyt fb.com-sivuston DMARC-tietuetta - se osoittaa, että sähköposteja ei pitäisi hylätä, mutta raportti tulisi kuitenkin tehdä. Ja jos testaat sen, @ fb.com-sähköpostit käyvät läpi.

Matthew totesi myös, että "postmaster report" ei ole vitsi. Kun hän yritti huijata verkkotunnusta DMARC-tietueella, hänen SMTP-palvelimensa estettiin alle 24 tunnissa. Testissämme huomasimme saman. Jos verkkotunnus on asetettu oikein, ne lopettaa nämä väärennetyt viestit nopeasti - tai ainakin siihen saakka, kunnes hakija käyttää toista IP-osoitetta. Verkkotunnus, jolla ei ole DMARC-tietueita, on kuitenkin reilu peli. Voit huijata heitä kuukausia, eikä kukaan lähettävässä loppupäätelmässä huomaa - vastaanottavan postin tarjoajan on suojeltava käyttäjiään (joko merkitsemällä viesti roskapostiksi sisällön perusteella tai viestin epäonnistuneen SPF-tarkistuksen perusteella. )

Kuinka roskapostittajat huijaavat sähköpostiosoitteet

Sähköpostiosoitteiden väärentämiseen tarvittavat työkalut ovat yllättävän helppoja. Tarvitset vain toimivan SMTP-palvelimen (eli palvelimen, joka voi lähettää sähköpostia) ja oikean postitusohjelmiston.

Mikä tahansa hyvä isäntä tarjoaa sinulle SMTP-palvelimen. (Voit myös asentaa SMTP: n omistamaasi järjestelmään, portti 25 - lähtevien sähköpostien portti on yleensä Internet-palveluntarjoajien tukkema. Tämä on erityisesti tarkoitus välttää sellaista haittaohjelmaa, jota näimme massan sähköpostitse 2000-luvun alkupuolella.) kepponen meille, Matthew käytti PHP Maileria. Se on helppo ymmärtää, helppo asentaa ja siinä on jopa web-käyttöliittymä. Avaa PHP Mailer, kirjoita viestisi, kirjoita "mistä" ja "kohteeseen" osoitteet ja napsauta lähetä. Vastaanottajan lopussa he saavat postilaatikkoonsa sähköpostiviestin, joka näyttää siltä, ​​että se tuli kirjoittamassasi osoitteessa. Matthew selittää:

Sähköpostin olisi pitänyt toimia ilman ongelmia, ja se näyttää olevan keneltä tahansa, jonka sanoit lähettävänsä. On hyvin vähän osoittaa, että tämä ei tullut heidän postilaatikostaan, ennen kuin tarkastelet sähköpostin lähdekoodia (Näytä alkuperäinen -vaihtoehto Gmailissa). [ed huomautus: katso kuva yllä]

Huomaat, että sähköposti ”pehmeä” epäonnistui SPF-tarkistuksessa, mutta silti se tuli postilaatikkoon. On myös tärkeää huomata, että lähdekoodi sisältää sähköpostin alkuperäisen IP-osoitteen, joten on mahdollista, että sähköposti voidaan jäljittää, jos vastaanottaja haluaa.

On tärkeää huomata, että tässä vaiheessa ei vielä ole standardia, kuinka sähköpostipalvelimet käsittelevät SPF-virheitä. Gmail, isäntä, jolla tein suurimman osan testista, salli sähköpostien saapumisen. Outlook.com ei kuitenkaan toimittanut yhtä vääriä sähköpostiviestejä, olivatpa ne pehmeitä tai kovia. Yrityksen Exchange-palvelin päästi heidät sisään ilman erillistä lähettämistä, ja kotipalvelin (OS X) hyväksyi ne, mutta merkitsi ne roskapostiksi.

Siinä kaikki siinä on. Olemme rasvanneet joitain yksityiskohtia, mutta emme monta. Suurin varoitus tässä on, jos napsautat vastausta väärennetyssä viestissä, kaikki takaisin lähetetty menee osoitteen omistajalle - ei huijaajalle. Varoilla ei kuitenkaan ole väliä, koska roskapostittajat ja phishers vain toivovat napsauttavan linkkejä tai avaavan liitteitä.

Kompromissi on selkeä: Koska SPF ei ole koskaan tarttunut tarkoitukseen, sinun ei tarvitse lisätä laitteen IP-osoitetta luetteloon ja odottaa 24 tuntia joka kerta kun matkustat tai haluat lähettää sähköpostia uudesta älypuhelimesta. . Se tarkoittaa kuitenkin myös, että tietojenkalastelu on edelleen suuri ongelma. Pahinta, että vain kuka tahansa voi tehdä sen.

Mitä voit tehdä suojellaksesi itseäsi

Tämä kaikki voi vaikuttaa arkaluontoiselta tai tuntua paljon huolestumiselta muutaman mahtavan roskapostin yhteydessä. Loppujen lopuksi suurin osa meistä tuntee roskapostin nähdessään sen - jos näemme sen koskaan. Mutta totuus on, että jokaisella tilillä, johon nämä viestit on merkitty, on toinen, jossa ne eivät ole, ja tietojenkalastelusähköpostit lähetetään käyttäjän postilaatikoihin.

Matthew selitti meille, että hän oli tapannut huijata osoitteita ystävien kanssa vain keppäämällä ystäviä ja antaakseen heille vähän peloissaan - kuten pomo vihasi heitä tai vastaanottovirkailija lähetti sähköpostitse sanoa, että heidän autonsa vedettiin - mutta tajusi, että se toimi hiukan liian hyvin, jopa yritysverkon ulkopuolelta. Väärennetyt viestit tulivat yrityksen postipalvelimen kautta, ja niissä oli profiilikuvia, yrityksen pikaviestinnän tilaa, automaattisesti täytettyjä yhteystietoja ja paljon muuta, jotka kaikki palvelin on lisännyt hyödyllisesti ja jotka kaikki tekevät väärennetystä sähköpostiviestistä näyttävän lailliselta. Kun testasin prosessia, se ei ollut paljon työtä, ennen kuin huomasin omat kasvoni taaksepäin katselevan minua postilaatikossani tai Whitsonin tai jopa Adam Dachisin ', jolla ei enää ole edes Goldavelez.com-sähköpostiosoitetta.

Vielä pahempaa, ainoa tapa kertoa, että sähköposti ei ole sen henkilön näköinen, on kaivaa otsikot ja tietää mitä etsit (kuten edellä kuvailimme.) Se on melko pitkä tilaus edes teknilliselle henkilölle. -savvy keskuudessamme - kenellä on aikaa siihen keskellä kiireistä työpäivää? Jopa nopea vastaus väärennettyyn sähköpostiosoitteeseen aiheuttaisi vain sekaannusta. Se on täydellinen tapa aiheuttaa pieni kaaos tai kohdistaa yksilöitä saamaan heidät vaarantamaan omat tietokoneensa tai luopumaan kirjautumistiedoista. Mutta jos näet jotain, joka on jopa hieman epäilyttävää, sinulla on ainakin yksi lisätyökalu arsenaalissasi.

Joten jos haluat suojata postilaatikoitasi tällaisilta viesteiltä, ​​voit tehdä muutamia asioita:

  • Suorita roskapostisuodattimet ja käytä työkaluja, kuten Tärkeät postit . Roskapostisuodattimien asettaminen hiukan voimakkaammaksi saattaa - palveluntarjoajastasi riippuen - erottaa viestin, joka epäonnistuu SPF-tarkistuksen laskeutumisessa roskapostiksi, postilaatikkoosi nähden. Samoin, jos voit käyttää palveluita, kuten Gmailin Tärkeät postit tai Applen VIP, annat pohjimmiltaan postipalvelimen selvittää sinulle tärkeät ihmiset. Jos tärkeä henkilö on huijaus, saat silti sen.
  • Opi lukemaan viestiotsikot ja jäljittämään IP-osoitteet . Selitimme miten tämä tehdään tässä viestissä roskapostin lähteen jäljittämisestä, ja se on hyvä taito. Kun epäilyttävä sähköposti tulee, voit avata otsikot, tarkastella lähettäjän IP-osoitetta ja tarkistaa, vastaako se saman henkilön aiempia sähköpostiviestejä. Voit jopa tehdä käänteisen haun lähettäjän IP: ltä nähdäksesi missä se on - mikä saattaa olla informatiivinen, mutta jos saat ystävältäsi sähköpostin Venäjältä lähtöisin olevalta kaupungilta (ja hän ei matkusta), sinä tietää, että jokin on menossa.
  • Älä koskaan napsauta tuntemattomia linkkejä tai lataa tuntemattomia liitteitä . Tämä voi tuntua ei-ketterältä, mutta tarvitaan vain yksi yrityksen työntekijä, joka näkee viestin pomolta tai joku muu yritys avatakseen liitteen tai napsauttamalla hassua Google Docs -linkkiä paljastaaksesi koko yritysverkon. Monet meistä ajattelevat, että olemme edellä huijatuista tällä tavalla, mutta niin tapahtuu koko ajan. Kiinnitä huomiota saamiin viesteihin, älä napsauta sähköpostiviestien linkkejä (siirry suoraan pankkisi, kaapeliyhtiön tai muun verkkosivuston sivulle ja kirjaudu sisään löytääksesi mitä he haluavat sinun näkevän), äläkä lataa sähköpostin liitteitä. uudelleen ole nimenomaisesti odottanut. Pidä tietokoneesi anti-ohjelmisto ajan tasalla.
  • Jos hallitset omaa sähköpostiosoitettasi, tarkista se, kuinka se reagoi SPF- ja DMARC-tietueisiin . Voit ehkä kysyä Web-isäntältäsi tästä, mutta se ei ole vaikeaa tarkistaa itse käyttämällä samaa huijausmenetelmää, jonka edellä kuvailimme. Vaihtoehtoisesti voit tarkistaa roskapostikansiosi - saatat nähdä siellä viestejä itseäsi tai tuntemasi ihmisiä. Kysy verkkoisäntältäsi, voiko hän muuttaa SMTP-palvelimesi määritystapoja, tai harkitse sähköpostipalveluiden vaihtamista Google-verkkotunnuksellesi.
  • Jos omistat oman verkkotunnuksesi, arkistoi siitä DMARC-tietueet . Matthew selittää, että voit hallita sitä, kuinka aggressiivinen haluat olla, mutta lue ohjeet siitä, miten DMARC-tietueet arkistoidaan ja päivitetään sinun verkkotunnuksesi rekisteröijällä. Jos et ole varma kuinka, heidän pitäisi voida auttaa. Jos saat vääriä viestejä yrityksen tilille, kerro yrityksesi IT: lle. Heillä voi olla syy olla jättämättä DMARC-tietueita (Matthew selitti sanoneensa, että he eivät voineet, koska heillä on ulkoisia palveluita, jotka on lähetettävä yrityksen verkkotunnuksen avulla - jotain helposti korjattua, mutta tällainen ajattelu on osa ongelmaa), mutta Ainakin kerroit heille.

Kuten aina, turvallisuuden heikoin lenkki on loppukäyttäjä. Tämä tarkoittaa, että sinun on pidettävä BS-anturit käännettynä aina ylöspäin aina kun saat sähköpostin, jota et odottanut. Kouluta itseäsi. Pidä haittaohjelmien torjuntaohjelma ajan tasalla. Pidä lopuksi näitä asioita silmällä, koska ne kehittyvät edelleen, kun jatkamme roskapostin ja tietojenkalastelun torjuntaa.