Подделка электронной почты

Количество случаев подделок e-mail адресов растет. Не всегда электронное письмо на самом деле переслал пользователь, указанный в графе отправителя. Современные технологии позволяют с легкостью подделать электронную почту.

Аутентификация электронного адреса

Создатели интернета не ставили целью перепроверять личность пользователей. В момент формирования базовых протоколов интернет-почты расходы на производственную мощность и простоту функционирования уравновешивались рисками мошенничества. Тогда никто не мог предположить, что 85% электронных адресов станут нести вредоносные вирусы, спам или фишинг.

Отсутствие защиты e-mail открыла возможность подделки заголовков электронной корреспонденции, в том числе полей From – «От кого» и Reply-to – «Ответить». Если использовать неподозрительный текст, стандартную графику и форматирование, обмануть получателя становится простым делом. Пользователь, получивший фишинговое послание, будет искренне верить, что письмо отправил банк, налоговая, директор фирмы или даже сам президент.

Масштаб распространения электронной почты только усугубляет кризис безопасности информации. Слабая защищенность e-mail открывает пути для массовых фишинговых атак, жертвы которых переходят по вредоносным ссылкам, скачивают и открывают вирусные файлы и отправляют персональную информацию или перечисляют деньги на счета мошенников.

Примеры фишинговых атак

От подделки электронной почты страдают компании по всему миру. Например, результате фишинговой операции злоумышленники получили информацию о зарплате 600 сотрудников компании Coupa из Кремниевой долины. В 2016 году корпорация Leoni AG из Западной Европы понесла убытки в размере 45 млн долларов США. Деньги на счет мошенника сотрудник компании перечислил по ошибке, не распознав подделку e-mail.

По статистике ФБР, ежегодные только компаний в США терпят 3 млрд долларов убытков, связанных с подделкой электронной почты.

Ресурс databreaches.net ведет список фишинговых атак по форме W-2, это аналог российской декларации 2-НДФЛ. Анализ собранных данных фиксирует стремительный рост фактов мошенничества в течение последних двух лет. В базе сайта зафиксировано 204 инцидента подделки электронных адресов с целью мошенничества.

Подделка e-mail за пять минут

Начальный этап фишинговой атаки – подделка адреса в поле «От кого». Зачем мошенникам подделывать отправку электронного письма с адреса реального пользователя, если можно зарегистрировать поддельный домен или создать учетную запись с «дружеским» именем в любом доверенном почтовом сервисе? Дело в том, что спуфинг – подделку адреса электронной почты отправителя – осуществить намного проще.

В сети Интернет с легкостью обнаруживаются сайты для рассылки поддельных писем. Одни ресурсов предоставляют подобные услуги бесплатно, другие – требуют оплату. Платные сервисы позиционируются как площадки для дружеских розыгрышей и заявляют, что действуют в строго рамках закона.

Для использования таких сайтов нужно ввести электронную почту адресата в поле «Кому» и желаемый e-mail в поле «От», написать текст – и нажать кнопку «Отправить». По условиям пользовательского соглашения, за вероятный ущерб отвечают клиенты сервиса.

Второй способ спуфинга предполагает рассылка сообщений с использованием командной строки UNIX. Работоспособность метода зависит от настроек операционной системы ПК.

Еще один способ – применить код PHP с дополнительными надстройками как пример из онлайн-руководства по отправке электронных писем.

При любом методе спуфинга для создания реалистичного отправления мошенники применяют инструменты социальной инженерии и дополнительно обрабатывают письма.

Как защититься от фишинговых атак

Действенный способ защиты от подделок – аутентификация e-mail с применением SPF-записи, DKIM-подписи и DMARC. Это старые технологии, но большинство активных электронных адресов не защищены даже таким. Например, только 4% доменов .gov используют идентификацию, а значит, остальные 96% представляют легкую добычу для мошенников.

Аутентификация электронного адреса гарантирует пересылку письма легитимным отправителем. Также собственник электронной почты вправе проконтролировать отправку корреспонденции с зарегистрированного домена. Принудительная аутентификация позволяет блокировать фишеров, спамеров и «серых» отправителей, которые не указаны в списке легитимных и пытаются переслать сообщение с зарегистрированного e-mail.

Базовая аутентификация проверяет наличие разрешений на отправку писем с зарегистрированного домена. Перед направлением электронного письма в папку «Входящие» в ящике адресата сервер проверяет:

• SPF-запись, есть ли у отправителя право использовать имя домена;
• при наличии криптографической DKIM-подписи система расшифровывает заголовки входящей корреспонденции и определяет, действительно ли письмо направлено указанным доменом;
• настройка DMARC позволяет владельцу электронного ящика формировать правила обработки корреспонденции, поступающей с доменов, не прошедших аутентификацию, и сравнивать, совпадают ли заголовки таких писем: поля «От кого» и «Ответить».

Установление подлинности электронной корреспонденции позволяет собственнику домена иметь полный контроль над исходящими письмами, отправленными от его имени. Статистика фиксирует IP-адрес каждого отправителя, использовавшего домен, результаты анализа писем по правилам DMARC, результаты обработки SPF и DKIM. Данные оформляется в формате XML.

Лучшая защита – одновременное использование разных технологий.

DKIM – один из лучших способов защиты домена – не гарантирует полную безопасность почты. Чтобы предупредить спуфинг, одной проверки DKIM-подписи недостаточно, так как домен, используемый в подписи, может отличаться от домена, внесенного в поле «От».

DMARC базируется на ранних сервисах и одновременно их дополняет. Сервис позволяет: настроить политику аутентификации входящей корреспонденции и формировать отчетность.

Благодаря сочетанию двух функций безопасность электронного почтового адреса увеличивается. Проверить наличие настройки DMARC можно на сервисах: mxtoolbox.com и mail-tester.com.