Spoofing prin e-mail
Spoofingul prin e-mail este o tehnică de atac cibernetic din categoria cunoscută generic sub denumirea de spoofing care constă în crearea de e-mailuri cu o adresă a expeditorului falsificată. Este utilizat în mod obișnuit pentru e-mailurile de spam și phishing pentru a înșela destinatarul cu privire la originea mesajului.
Detalii tehnice
La trimiterea unui mesaj SMTP, conexiunea inițială necesită specificarea a două adrese: [1]
-
MAIL FROM: în mod implicit nu există verificări dacă sistemul este autorizat să trimită în numele adresei specificate. -
RCPT TO: specifică adresa de destinație.
Aceste informații sunt denumite în mod tipic plicul mesajului poștal, similar cu plicul utilizat în serviciul poștal tradițional. [1] Sistemul de trimitere introduce alte câteva antete, inclusiv: „De la”, „Răspuns la” și uneori „Expeditor”. În mod implicit, nu există nici o verificare a acestor anteturi.
Utilizare în Spam și Worms
Multe programe malware caută adresele de e-mail conținute pe computerul infectat și le folosesc atât ca ținte, cât și ca expeditori credibili, crescând astfel probabilitatea ca e-mailul trimis să fie citit. De exemplu, dacă computerul lui Alice a fost infectat cu un vierme , codul viermelui caută în agenda de adrese de e-mail a lui Alice. Odată găsite adresele lui Charlie și Bob, viermele îi trimite un e-mail infectat lui Bob de pe computerul lui Alice, cu Charlie ca expeditor. În acest caz, Alice nu este conștientă de tot, iar Bob primește un e-mail care conține programe malware și îl vede pe Charlie ca expeditor, chiar dacă e-mailul vine de fapt de pe computerul lui Alice.
Identificarea expeditorului
Parodarea e-mailurilor este o tehnică eficientă pentru falsificarea adresei expeditorului unui e-mail. Cu toate acestea, adresa IP a computerului de pe care a fost trimis e-mailul poate fi găsită în general în antetul „Primit” al mesajului. În multe cazuri, aceasta aparține unei terțe părți, afectată de programe malware, care nu știe despre acest lucru.
Contramăsuri
Soluțiile care pot fi utilizate pentru autentificarea e-mailurilor evitând să fie victime ale falsificării e-mailurilor sunt:
- SPF ( Sender Policy Framework ): prevede publicarea în înregistrările DNS ale unui domeniu dat a unei liste de gazde autorizate să trimită mesaje. Autentificarea unui e-mail se realizează prin compararea adresei primite ca expeditor cu lista gazdelor autorizate pentru acel domeniu. [2]
- ID expeditor : protocolul Microsoft care derivă din SPF, funcționează în mod similar. [2]
- DKIM (DomainKeys Identified Mail): prevede că antetul și corpul mesajului sunt protejate prin criptare. Într-un domeniu protejat cu acest tip de tehnică, cheile publice referitoare la gazdele autorizate să trimită mesaje sunt introduse în înregistrări din DNS. Cei care primesc un mesaj pot folosi cheia pentru a-i verifica autenticitatea. [2]
- DMARC (Autentificare, raportare și conformitate a mesajelor bazate pe domeniu): utilizează SPF și DKIM și permite destinatarilor să trimită rapoarte pentru a monitoriza protecția domeniului împotriva e-mailurilor frauduloase. [2]
Notă
- ^ a b ( EN ) Chris Siebenmann, O prezentare rapidă a SMTP , pe cns.utoronto.ca , Universitatea din Toronto. Adus pe 10 ianuarie 2018 .
- ^ A b c d (EN) Sender Policy Framework , pe openspf.org. Adus la 10 ianuarie 2018 (Arhivat din original la 21 octombrie 2018) .
linkuri externe
- ( EN ) RFC 4021 - Înregistrarea câmpurilor de antet Mail și MIME , pe tools.ietf.org , Internet Engineering Task Force .
- ( EN ) SPF: Prezentare generală a proiectului , pe openspf.org . Adus la 4 iulie 2016 (arhivat din original la 25 februarie 2019) .
- ( EN ) Raportarea și conformitatea autentificării mesajelor de domeniu , pe dmarc.org .
