interessant

Hvordan spammere bedriver e-postadressen din (og hvordan du kan beskytte deg selv)

De fleste av oss kjenner spam når vi ser det, men å se en merkelig e-post fra en venn - eller verre, fra oss selv - i innboksen er ganske forvirrende. Hvis du har sett en e-post som ser ut som om det er fra en venn, betyr det ikke at de er blitt hacket. Spammere forfalsker disse adressene hele tiden, og det er ikke vanskelig å gjøre. Slik gjør de det, og hvordan du kan beskytte deg selv.

Spammere har forfalsket e-postadresser i lang tid. For mange år siden brukte de å få kontaktlister fra malware-infiserte PC-er. Dagens datatyver velger målene sine nøye, og phish dem med meldinger som ser ut som de kom fra venner, pålitelige kilder eller til og med deres egen konto.

Det viser seg at forfalskning av ekte e-postadresser er overraskende enkelt, og en del av grunnen til at phishing er et slikt problem. Systemingeniør, den ambisiøse CISSP og Goldavelez.com-leseren Matthew tipset oss om hvordan det fungerer, men overrasket oss også ved å sende noen av oss på Goldavelez.com fra andre Goldavelez.com-forfatteres e-postadresser. Til tross for at vi visste at det var mulig - vi har alle fått spam før - var det mer betenkelig å faktisk være ved det. Så vi snakket med ham om hvordan han gjorde det og hva folk kan gjøre for å beskytte seg selv.

En liten historie: Hvorfor e-postadresser er så lett bedret

I dag har de fleste e-postleverandører løst spam-problemet - i det minste til sin egen tilfredshet. Gmail og Outlook har sterke, sofistikerte algoritmer for spamfangst og kraftige filterverktøy. På begynnelsen av 2000-tallet var det imidlertid ikke tilfelle. Spam var fremdeles et enormt problem som postservere ennå ikke hadde taklet alvorlig, langt mindre utvikle avanserte verktøy for å administrere.

I 2003 foreslo Meng Weng Wong en måte for postservere å "bekrefte" at IP-adressen (det unike nummeret som identifiserer en datamaskin på internett) som sender en melding, ble autorisert til å sende e-post på vegne av et spesifikt domene. Det kalles avsender tillatt skjema (omdøpt til "avsenderpolitisk rammeverk" i 2004), og Matthew forklarer hvordan det fungerer:

Hver gang en e-postmelding ble sendt, ville den mottakende e-postserveren sammenligne opprinnelses-IP for meldingen med IP-adressen som er oppført i SPF-posten for e-postadressens vert (delen "@ eksempel.com").

Hvis de to IP-adressene samsvarer, kan e-posten passere til den tiltenkte mottakeren. Hvis IP-adressene ikke stemte overens, ville e-posten blitt flagget som spam eller avvist helt. Byrden for å bestemme resultatet var helt i hendene på den mottakende serveren.

Gjennom årene har SPF-poster utviklet seg (den siste RFC ble publisert i april 2014), og de fleste domener på internett har SPF-poster (du kan søke etter dem her).

Når du registrerer et domene, registrerer du også et antall DNS-poster som følger med det. Disse postene forteller verden hvilke datamaskiner de skal snakke med, avhengig av hva de vil gjøre (e-post, web, FTP, og så videre). SPF-posten er et eksempel, og ideelt sett ville den sørge for at alle e-postserverne på internett visste at folk som sendte e-post fra, for eksempel, @ Goldavelez.com.com, faktisk var autoriserte brukere av datamaskiner.

Imidlertid er denne metoden ikke perfekt, noe som er en del av grunnen til at den ikke fanget fullstendig. SPF-poster krever administrasjon - noen legger faktisk til nye IP-adresser og fjerner gamle, og det er tid for posten å spre seg over internett hver gang en endring gjøres. (: Vi har tidligere bundet SPF-sjekker til brukerens IP-adresser, når teknologien faktisk brukes av mailhosts for å bekrefte at serveren som en melding passerer gjennom er en autorisert avsender på vegne av et gitt domene, ikke at den brukte er autorisert til å sende på på vegne av en gitt adresse. Beklager forvirringen, og takk til kommentatorene som påpekte dette!) De fleste selskaper bruker en myk versjon av SPF likevel. I stedet for å risikere falske positiver ved å blokkere nyttig post, implementerer de "harde" og "myke" feil. E-postverter løsnet også begrensningene for hva som skjer med meldinger som mislykkes i den sjekken. Som et resultat er e-post enklere for selskaper å administrere, men phishing er enkelt og et stort problem.

Så, i 2012, ble en ny platetype introdusert for å fungere sammen med SPF. Det kalles DMARC, eller domenebasert meldingsgodkjenning, rapportering og samsvar. Etter ett år utvides den for å beskytte et stort antall forbrukerpostkasser (selv om de selvutnevnte 60% sannsynligvis er optimistiske.) Matthew forklarer detaljene:

DMARC koker ned til to viktige flagg (selv om det er totalt 10) - "p" -flagget, som instruerer mottakende servere om hvordan de skal takle potensielt falske e-poster, enten ved å avvise, sone karantene eller bestå; og "rua" -flagget, som forteller mottakende servere hvor de kan sende en rapport om mislykkede meldinger (vanligvis en e-postadresse hos domeneadministratorens sikkerhetsgruppe). DMARC-posten løser de fleste problemene med SPF-poster ved å ta byrden av å bestemme hvordan de skal svare bort fra mottakeren.

Problemet er at ikke alle bruker DMARC ennå.

Dette praktiske verktøyet lar deg spørre om hvilket som helst domenes DMARC-post - prøv den på noen av favorittene dine (gawker.com, whitehouse.gov, redcross.org, reddit.com). Legg merke til noe? Ingen av dem har publisert DMARC-poster. Det betyr at enhver e-postvert som prøver å overholde reglene i DMARC, ikke ville ha noen instruksjoner om hvordan du håndterer SPF mislykkede e-postmeldinger, og sannsynligvis ville slippe dem gjennom. Det er det Google gjør med Gmail (og Google Apps), og det er grunnen til at falske e-poster kan komme seg gjennom innboksen din.

For å bevise at Google tar hensyn til DMARC-poster, kan du se på DMARC-posten på facebook.com - flagget "p" angir at mottakere bør avvise e-post, og sende en rapport til postmesteren på Facebook. Prøv nå å falske en e-post fra facebook.com og sende den til en Gmail-adresse - den vil ikke gå gjennom. Se nå på DMARC-posten for fb.com - den indikerer at ingen e-post skal avvises, men en rapport bør lages uansett. Hvis du tester det, vil e-postmeldinger fra @ fb.com gå gjennom.

Matthew bemerket også at "postmaster-rapporten" ikke er noen spøk. Da han prøvde å forfalske et domene med en DMARC-post, ble SMTP-serveren hans blokkert på under 24 timer. I testingen vår la vi merke til det samme. Hvis et domene er riktig konfigurert, vil de raskt få slutt på de forfalskede meldingene - eller i det minste til spooferen bruker en annen IP-adresse. Imidlertid er et domene som ikke har DMARC-poster fair game. Du kan forfalske dem i flere måneder, og ingen på utsendelsen vil merke det - det er opp til den mottakende e-postleverandøren å beskytte brukerne (enten ved å flagge meldingen som spam basert på innhold, eller basert på meldingens mislykkede SPF-sjekk. )

Hvordan spammere speider e-postadresser

Verktøyene som er nødvendige for å forfalske e-postadresser er overraskende enkle å få. Alt du trenger er en fungerende SMTP-server (aka, en server som kan sende e-post), og riktig mailing-programvare.

Enhver god webhotell vil gi deg en SMTP-server. (Du kan også installere SMTP på et system du eier, port 25 — porten som brukes til utgående e-post, er vanligvis blokkert av Internett-leverandører. Dette er spesifikt for å unngå den typen masse-e-post malware som vi så på begynnelsen av 2000-tallet.) prank på oss, Matthew brukte PHP Mailer. Det er lett å forstå, enkelt å installere, og det har til og med et webgrensesnitt. Åpne PHP Mailer, skriv meldingen, legg inn "fra" og "til" adressene og klikk send. Etter mottakerens slutt vil de få en e-post i innboksen som ser ut som om den kom fra adressen du skrev inn. Matthew forklarer:

E-posten skal ha fungert uten problemer, og ser ut til å være fra hvem du sa at den er fra. Det er veldig lite som tyder på at dette ikke kom fra innboksen før du har vist kildekoden til e-posten ("Vis original" i Gmail). [ed note: se bilde over]

Du vil merke at e-postmeldingen "myk" mislyktes i SPF-sjekken, men at den likevel kom til innboksen. Det er også viktig å merke seg at kildekoden inkluderer IP-adressen til e-posten, så det er mulig at e-posten kan spores, hvis mottakeren ønsket det.

Det er viktig å merke seg på dette punktet at det fremdeles ikke er en standard for hvordan e-postverter skal behandle SPF-feil. Gmail, verten jeg foretok mesteparten av testen min, tillot e-postmeldinger å komme inn. Outlook.com leverte imidlertid ikke en eneste forfalsket e-post, enten det var mykt eller hardt. Min bedrifts Exchange-server la dem inn uten problem, og hjemmeserveren min (OS X) godtok dem, men flagget dem som spam.

Det er alt det er å gjøre. Vi har skummet over noen detaljer, men ikke mange. Det største forbeholdet her er hvis du klikker på svar på den forfalskede meldingen, går alt som blir sendt tilbake til eieren av adressen - ikke spooferen. Det betyr ikke noe for tyvene, siden spammere og phishere bare håper du vil klikke på lenker eller åpne vedlegg.

Avveiningen er tydelig: Siden SPF aldri virkelig fanget på slik den var ment, trenger du ikke legge enhetens IP-adresse til en liste og vente 24 timer hver gang du reiser, eller vil sende e-post fra den nye smarttelefonen . Det betyr imidlertid også at phishing fortsatt er et stort problem. Verst av alt er det bare at hvem som helst kan gjøre det.

Hva du kan gjøre for å beskytte deg selv

Alt dette kan virke arcane, eller virke som mye oppstyr over noen få uønskede spam-e-poster. Tross alt, de fleste av oss kjenner spam når vi ser det - hvis vi noen gang ser det. Men sannheten er at for hver konto der disse meldingene er flagget, er det en annen der de ikke er, og phishing-e-poster seiler inn i brukerinnboksene.

Matthew forklarte oss at han pleide å forfalskne adresser med venner bare for å tøffe venner og gi dem litt redsel - som at sjefen var sint på dem eller resepsjonisten sendte e-post for å si at bilen deres ble tauet - men innså at den fungerte litt for bra, selv fra firmaets nettverk. De forfalskede meldingene kom via firmaets e-postserver, komplett med profilbilder, bedriftens IM-status, automatisk befolket kontaktinformasjon og mer, alt med fordel lagt til av e-postserveren, og alt dette gjør at den forfalskede e-posten er legitim. Da jeg testet prosessen, var det ikke mye arbeid før jeg så mitt eget ansikt se tilbake på meg i innboksen min, eller Whitsons, eller til og med Adam Dachis ', som ikke en gang har en Goldavelez.com e-postadresse lenger.

Enda verre er den eneste måten å fortelle at e-postadressen ikke kommer fra personen den ser ut som, er å grave i overskriftene og vite hva du leter etter (som vi har beskrevet ovenfor.) Det er en ganske høy ordre for til og med teknologien -savvy blant oss - hvem har tid til det midt i en travel arbeidsdag? Selv et raskt svar på den forfalskede e-posten ville bare generere forvirring. Det er en perfekt måte å forårsake litt kaos eller målrette enkeltpersoner til å få dem til å gå på akkord med sine egne PC-er eller gi fra seg påloggingsinformasjon. Men hvis du ser noe som til og med er litt mistenkelig, har du i det minste ett verktøy til i arsenal.

Så hvis du ønsker å beskytte innboksene dine mot meldinger som dette, er det et par ting du kan gjøre:

  • Skru opp spamfiltrene dine, og bruk verktøy som Prioritet innboks . Å stille inn søppelpostfiltrene litt sterkere kan - avhengig av e-postleverandøren - gjøre forskjellen mellom en melding som mislykkes i SPF-sjekkingen av landing i spam kontra innboksen. På samme måte, hvis du kan bruke tjenester som Gmail's Priority Inbox eller Apples VIP, lar du i hovedsak mailserveren finne ut de viktige personene for deg. Hvis en viktig person er forfalsket, vil du likevel få det.
  • Lær å lese meldingsoverskrifter og spore IP-adresser . Vi forklarte hvordan du gjør dette i dette innlegget om å spore opp kilden til spam, og det er en god ferdighet å ha. Når en mistenkelig e-post kommer inn, vil du kunne åpne topptekstene, se på avsenderens IP-adresse og se om den stemmer overens med tidligere e-postmeldinger fra samme person. Du kan til og med gjøre et omvendt oppslag på avsenderens IP for å se hvor den er - som kanskje eller ikke kan være informativ, men hvis du får en e-post fra vennen din over hele byen som har sin opprinnelse i Russland (og de reiser ikke), vet at noe er oppe.
  • Klikk aldri på ukjente koblinger eller last ned ukjente vedlegg . Dette kan virke som en ikke-brainer, men alt som trengs er en ansatt i et selskap som ser en melding fra sjefen deres eller noen andre i selskapet om å åpne et vedlegg eller klikke på en morsom Google Docs-kobling for å avsløre hele bedriftsnettverket. Mange av oss tror at vi over blir lurt på den måten, men det skjer hele tiden. Vær oppmerksom på meldingene du får, ikke klikk på lenker i e-post (gå direkte til bankens, kabelselskapets eller andre nettsider, og logg inn for å finne det de vil at du skal se), og ikke last ned e-postvedlegg du ' er ikke eksplisitt forventet. Hold datamaskinens antimalware oppdatert.
  • Hvis du administrerer din egen e-post, kan du kontrollere den for å se hvordan den svarer til SPF- og DMARC-poster . Det kan hende du kan spørre webhotellet om dette, men det er ikke vanskelig å sjekke på egen hånd ved å bruke den samme forfalskningsmetoden som vi beskrev ovenfor. Alternativt kan du sjekke søppelpost-mappen - det kan hende du ser meldinger derfra fra deg selv, eller fra folk du kjenner. Spør webverten din om de kan endre måten SMTP-serveren er konfigurert på, eller vurdere å bytte posttjenester til noe som Google Apps for ditt domene.
  • Hvis du eier ditt eget domene, arkiverer du DMARC-poster for det . Matthew forklarer at du har kontroll over hvor aggressiv du vil være, men les opp hvordan du arkiverer DMARC-poster og oppdaterer dine med domeneregistratoren. Hvis du ikke er sikker på hvordan, skal de kunne hjelpe. Hvis du får forfalskede meldinger på en firmakonto, må du fortelle det til bedriftens IT. De kan ha en grunn til ikke å arkivere DMARC-poster (Matthew forklarte at han sa at de ikke kunne fordi de har eksterne tjenester som må sendes ved å bruke firmadomenet - noe som lett kan løses, men den typen tenkning er en del av problemet), men i det minste gir du dem beskjed.

Som alltid er den svakeste lenken i sikkerhet sluttbrukeren. Det betyr at du må holde BS-sensorene slått helt opp hver gang du får en e-post du ikke forventet. Utdanna deg selv. Hold anti-malware-programvaren oppdatert. Til slutt, følg med på problemer som disse, siden de vil fortsette å utvikle seg når vi fortsetter å bekjempe spam og phishing.