Спуфинг email адреса
Что такое «Email Spoof».
Что такое «Email Spoof» (почтовая подмена) и является ли она фишинг-атакой. Без сомнений email spoofing – это использующий электронную почту способ мошенничества и обмана. Подмена является наиболее распространённой формой современного мошенничества под названием «фишинг».
Слово подмена означает фальсификацию. В поддельной электронной почте, отправитель намеренно изменяет её части, маскируясь под другого автора. Как правило, имя / адрес отправителя и само тело сообщения вставлены из настоящего источника, как будто письмо пришло из банка или какой либо другой законной компании. Иногда, подменённые электронные письма приходят и от частного лица.
Во многих случаях, поддельный адрес электронной почты является частью фишинга (мошеннической атаки). Но нередок и вариант, при котором поддельный адрес электронной почты используется для продажи поддельного продукта.
Почему мошенники используют email spoofing.
Цель 1: С помощью email spoofing мошенники пытаются получить ваши пароли и логины входа. Основная задача фишинга заставить вас доверять этому электронному сообщению. Перейдя по ссылке из этого сообщения, вы попадёте на ложный (сфальсифицированный) сайт, который будет ловко замаскирован как настоящий веб-сайт онлайнового банка или платной веб-службы. Слишком часто жертвы верят поддельным адресам электронной почты и попадают на ложные сайты.
Как это обычно происходит. Доверяя поддельному сайту, жертва будет вводить свой пароль и логин, правда войти в аккаунт не сможет, а получит сообщение об ошибке, что «веб-сайт недоступен». В это время, мошенники захватят конфиденциальную информацию жертвы, и приступят к снятию её личных средств или, в другом варианте, совершат свои сделки, опять же за счёт жертвы.
Цель 2: С помощью email spoofing спамеры забивают ваш почтовый ящик рекламой. Спамеры изменяют исходный адрес электронной почты, и под видом невинных граждан или компаний используют программное обеспечение для массовой рассылки почты. Цель, как и в фишинге, заставить людей доверять письму настолько, чтобы открыть его и читать находящуюся внутри спам рекламу.
Как фальсифицируется почта.
Нечестные пользователи изменяют различные разделы электронной почты для маскирования отправителя. Примеры свойств, которые фальсифицированных:
ОТВЕТ ДЛЯ: имя / адрес
ОТВЕТ-ПУТЬ: адрес
IP-АДРЕС ИСТОЧНИКА: адрес.
Три первых свойства легко изменить в настройках Microsoft Outlook, Gmail, Hotmail, или любого другого почтового программного обеспечения. Четвёртое свойство, IP-адрес, также можно изменить, но, как правило, для того, чтобы сделать ложный IP-адрес убедительным требуются более глубокие знания.
Делают ли поддельные письма вручную.
Хотя некоторые фальшивые письма действительно сфальсифицированы вручную, подавляющее их большинство создаётся специальным программным обеспечением. Среди спамеров широко распространено использование программ массовой рассылки «ratware». Ratware программы могут создать тысячи целевых адресов электронной почты, подделать исходное письмо, а затем разослать его по этим адресам. Бывает, что ratware программы используют незаконно приобретённые списки адресов электронной почты.
Кроме ratware программ для массовой рассылки также широко применяются черви. Черви это самотиражирующиеся программы, которые действуют как вирус. Однажды червь считает на вашем компьютере вашу же книгу адресов электронной почты. А затем сфальсифицирует исходящее сообщение, отправляясь от вашего имени всему списку друзей. Это не только может оскорбить десятки получателей, но и бросит тень на невинного человека. Некоторые хорошо — знают таких червей для массовой рассылки: Sober, Klez и ILOVEYOU.
Как распознать и защититься от поддельных писем «email spoofing».
Как и с любым мошенничеством, лучшая защита — скептицизм. Если Вы сомневаетесь в электронном письме, или в законности его отправителя, просто не щелкайте по ссылке, а введите свой проверенный адрес электронной почты. Если в письме есть неизвестное файловое вложение, просто не открывайте его. Если содержание письма в электронной почте кажется слишком хорошим, чтобы быть правдой, то ваш скептицизм спасёт вас от разглашения своей банковской информации.
Предложение от 8host.com
Предотвращение спуфинга адресов и защита электронной почты при помощи SPF-записи
Разумно настроенная SPF-запись снизит вероятность спуфинга доменного имени и защитит ваши сообщения преждевременной пометки «спам».
Спуфинг – это создание почтовых сообщений с поддельным адресом отправителя; такая атака очень проста, поскольку у многих почтовых серверов ненадёжная аутентификация.
Как правило, такую подмену используют для рассылки спама и фишинг-писем, чтобы ввести получателя в заблуждение по поводу происхождения сообщения.
Существует множество методов защиты от спуфинга, среди которых стоит отметить SPF, Sender ID, DKIM и DMARC. SPF (или Sender Policy Framework) – это расширение для проверки электронной почты, которое позволяет подтвердить подлинность доменного имени отправителя.
На сегодняшний день почти весь спам отправляется с поддельного адреса. Почтовые серверы, ставшие жертвами таких злоумышленников, часто страдают от последствий таких действий: их репутация испорчена, а их владельцы должны тратить свое время на сортировку рикошетов или исключение IP-адреса из черных списков.
SPF – это открытый стандарт, позволяющий предотвратить подделку адреса. SPF позволяет администраторам определять хосты, которые могут отправлять сообщения с данного домена, путём создания SPF-записей (или TXT-записей) в настройках DNS. Затем эти записи используются почтовыми обменниками для проверки хоста, отправляющего почту с этого домена.
Преимущества SPF-записей
Добавление записи SPF в настройки DNS – это лучший способ предотвратить использование своего домена для рассылки спама. Кроме того, SPF-запись уменьшает количество реальных сообщений, отмеченных как спам или возвращённых почтовым сервером получателя. К сожалению, SPF не может гарантировать стопроцентной эффективности, так как не все почтовые провайдеры проверяют их.
Пример SPF-записи
Записи SPF добавляются в настройки DNS как TXT-записи, определяющие SMTP-серверы для данного домена.
TXT @ «v=spf1 a include:_spf.google.com
Рассмотрим компоненты этой записи подробнее:
- TXT – тип записи DNS; TXT-записи позволяют настроить SPF.
- @ – заполнитель, обозначающий текущий домен.
- v=spf1 – определяет TXT-запись как SPF (версия SPF 1).
- a – авторизует хосты, указанные в А-записи, и позволяет им отправлять сообщения.
- include: — отправляет почту от имени домена с google.com.
all – обозначает, что этот список является исчерпывающим и никакие другие серверы не могут отправлять сообщения с этой электронной почты.
Компоненты записи SPF
Запись SPF содержит номер версии SPF и строку, задающую:
SPF-клиенты игнорируют TXT-записи, которые не начинаются с номера версии (v=spf1 …).
Запись SPF может определять 0 или больше механизмов. Механизмы используются для описания наборов хостов, которые могут использовать домен для отправки сообщений. В записи SPF включают следующие механизмы:
all | ip4 | ip6 | a | mx | ptr | exists | include
В качестве префикса для механизмов можно использовать следующие ключи:
| Ключ | Описание |
| + | Pass – адрес прошел проверку; принять сообщение.Например: «v = spf1 + all» |
| — | (Hard) Fail – адрес не прошёл проверку; вернуть все сообщения, не прошедшие проверку. Например: «v=spf1 -all» |
| Soft Fail – адрес не прошёл проверку, но результат не является окончательным; принять и пометить все такие сообщения.Например: «v=spf1 all» | |
| ? | Neutral – адрес не прошёл проверку; действие не определено (вероятнее всего, сообщение будет принято).Например: «v=spf1 ?all» |
Если ключ не указан, по умолчанию применяется +.
Также SPF-запись может содержать 1 или 2 модификатора.
Процесс оценки SPF-записи состоит из двух этапов: сначала оцениваются все механизмы и классификаторы, а затем все модификаторы.
- Механизмы оцениваются слева направо.
- Модификаторы могут встречаться в любой точке записи.
Механизмы
| Механизм | Описание |
| all | Задаёт все локальные и удаленные IP-адреса; указывается конце записи SPF.Например: «v=spf1 +all» |
| ip4 | Задает один адрес IPv4 или приемлемый диапазон адресов IPv4. Если длина префикса не задана, по умолчанию используется /32.Например: «v=spf1 ip4:192.168.0.1/16 -all» |
| ip6 | Задает один адрес IPv6 или приемлемый диапазон адресов IPv6. Если длина префикса не задана, по умолчанию используется /128.Например: «v=spf1 ip6:1080::8:800:200C:417A/96 -all» |
| a | Задаёт все IP-адреса в A-записи в настройках DNS.Например: «v=spf1 a:domain.com -all» |
| mx | Определяет все А-записи для MX-записи каждого хоста.Например: «v=spf1 mx mx:domain.com -all» |
| ptr | Задаёт все A-записи PTR-записей каждого хоста.Например: «v=spf1 ptr:domain.com -all» |
| exists | Задает один или несколько доменов, которые, как правило, являются исключениями из SPF. На домен отправляется А-запроос; в случае возвращения результата домен проходит проверку.Например: «v=spf1 exists:domain.com -all» |
| include | Задаёт дополнительные домены.Например: «v=spf1 include:outlook.microsoft.com -all» |
Механизмы all
Как правило, механизмы all задаются с ключом в конце записи SPF.
| Пример | Описание |
| «v=spf1 mx -all» | Позволяет хостам MX использовать домен для отправки почты и блокирует все другие хосты. |
| «v=spf1 -all» | Запрещает использовать домен для отправки почты. |
| «v=spf1 +all» | Такая SPF-запись бесполезна, так как она не ограничивает хосты, которым разрешено отправлять электронную почту с данного домена. |
Модификаторы
Модификаторы являются обязательным компонентом записи. Каждая SPF-запись может содержать только один модификатор. Записи без модификаторов будут проигнорированы.
Модификатор redirect перенаправляет запрос на другой домен.
Таким образом, SPF-запись для домена example.com может заменить SPF-запись текущего домена. Модификатор redirect полезен в тех случаях, когда одну запись SPF нужно использовать на нескольких доменах.
Модификатор exp добавляет описание записи SPF:
Если SPF-запрос выдает результат FAIL, запрашивается это описание, которое позволяет предоставить пользователю больше информации.
Эти дополнительные объяснения, как правило, хранятся в логе SPF. Например:
Данная строка может содержать любую полезную информацию для пользователей, чей запрос не был выполнен. Это позволяет направить пользователей к веб-странице с дальнейшими указаниями.
Заключение
SPF-записи не являются обязательным компонентом настройки DNS. Однако такие записи очень полезны, так как они настраивают работу SPF-фильтров (если функция доступна на почтовом сервере), позволяют защитить сервер от спуфинг-атак и предотвращают подделку почтового адреса.
Как вычислить мошенника — определяем подмену адреса электронной почты 13
Здравствуйте, уважаемые друзья. Сегодня поговорим о том, как вычислить мошенника и не попасть в неприятную ситуацию. Мы все пользуемся электронной почтой, через которую к нам вместе с полезными письмами приходит спам, а иногда и письма от мошенников, которые используют подмену адреса электронной почты.
Почтовые сервисы стоят на страже, но, к сожалению, не могут полностью оградить нас от действий мошенников. Это всё-таки программа, она может заподозрить мошенничество и предупредит вас, а вы уже должны принять окончательное решение.
Мошенники действуют под видом авторитетных сервисов, организаций и людей. Выдавая ложный адрес отправителя за фирменный. Поэтому важно уметь самостоятельно отличать мошеннические письма.
Я всё покажу на примере свеженького письма мошенников под видом регистратора доменных имен Ru-Center. Прислали его на днях, адрес отправителя содержал фирменный домен, а в письме содержалась инструкция по повторному подтверждению прав на домен с загрузкой файла на сайт. И предупреждение, что домен будет отключён в случае невыполнения требований.
В таких ситуация нужно действовать правильно.
Как определить, что письмо мошенническое
- Обращайте внимание на сообщения почтовых сервисов. В большинстве случаев они предупредят вас о подозрительных действиях с письмом.
- Проверяйте подмену адреса электронной почты. Сделать это можно по служебным заголовкам. Все современные почтовики предоставляют эту возможность.
- Поищите информацию в поисковике. Можете ввести в строку поиска истинный адрес отправителя или что-то из письма, и наверняка найдёте информацию о мошенничестве.
- Обратитесь в службу поддержку с официального сайта. Важно: по ссылкам в письме не переходите. Перейдите на официальный сайт через поисковик.
Как определить подмену адреса электронной почты
Покажу пример на почте mail.ru, куда и пришло письмо от мошенников.
Как видно на скриншоте, адрес отправителя содержит фирменный домен @nic.ru, в письме указан домен, который я регистрировал.
Но, тут, же предупреждение от почтовика и предложение загрузить на сайт исполняемый файл. Это должно вас насторожить. Вы должны выяснить истинный адрес отправителя.
Для этого в открытом письме нажмите кнопку «Ещё» в панели инструментов, в выпадающем меню выберите пункт «Служебные заголовки».
Откроется новое окно, которое будет содержать служебную информацию. Подробную расшифровку можно найти в интернете. В нашем же случае важно обратить внимание на поля Received в них содержится истинный адрес отправителя.
Вы можете совсем не разбираться в этой технической информации, это совсем неглавное. Мошенники действуют под видом кого-то, используют фирменный домен. Так вот, в истинном адресе мошенника, в строках Received упоминания фирменного домена не будет.
На примере всё хорошо видно.
Наглядный видеопример
Заключение
Друзья, всегда обращайте внимание на сообщения от почтовых сервисов, проверяйте истинный адрес отправителя, не загружайте файлы из таких подозрительных писем и не выполняйте указания из письма. Будьте внимательны.
Email спуфинг — Email spoofing
Email подмены является создание электронных сообщений с поддельным адресом отправителя.
Поскольку протоколы ядра электронной почты не имеют какого — либо механизма для аутентификации , он является общим для спама и фишинговых писем использовать такую подмену , чтобы ввести в заблуждение или даже шалость получателя о происхождении сообщения.
содержание
Технические детали
Когда SMTP электронной почты отправляется, начальное соединение обеспечивает две части адресной информации:
- MAIL FROM: — как правило , представляется получателю , как Return-Path: заголовок , но , как правило , не видны конечному пользователю, и по умолчанию никаких проверок не делается , что система отправки уполномочен отправить от имени этого адреса.
- RCPT TO: — определяет , какой адрес электронной почты электронной почты доставляется, как правило , не видны конечному пользователю , но могут присутствовать в заголовках как часть «Received:» заголовок.
Вместе они иногда называют «оболочкой» адресацией, по аналогии с традиционным бумажным конвертом , и если сервер сигналов приема почты , что у него есть проблемы с любым из этих элементов, отправка системы отправляет команду «DATA», и , как правило , посылает несколько элементов заголовков, в том числе:
- От: Джо Q Doe — адрес видимым для получателя; но опять — таки, по умолчанию никаких проверок не делаются , что система отправки уполномочена отправить от имени этого адреса.
- Ответить: Джейн Роу — аналогично не проверено
- Отправитель: Jin Jo — тоже не проверено
Результатом является то , что получатель электронной почты видит электронную почту как прийдя с адреса в From: заголовок; они иногда могут быть в состоянии найти MAIL FROM адрес; и если они отвечают на электронную почту будет идти либо адрес , представленный в From: или Ответить: заголовок — но ни один из этих адресов не обычно надежные, поэтому автоматизированные рикошеты могут генерировать обратное рассеяние .
Использование спама и червей
Malware , такие как Klez и Sober и многие другие современные примеры часто ищут адреса электронной почты в компьютере они инфицированы, и использовать эти адреса и в качестве мишеней для электронной почты, но и для создания доверия кованные из полей в электронных писем , которые они посылают, так что эти письма, скорее всего , будет открыт. Например:
Алиса отправляется зараженное письмо, которое она открывается, работает код червя. Код червя поиск электронной адресной книги Алисы и находит адрес Боба и Чарли. От компьютера Алисы, червь рассылает зараженное письмо Бобу, но подделан по всей видимости, был послано Чарли.
В этом случае, даже если система Боба обнаруживает входящую почту как содержащие вредоносное ПО, он видит источник как Чарли, несмотря на то, что на самом деле пришли из компьютера Алисы; То время Алиса может оставаться в неведении, что ее компьютер был заражен.
Обойти СМИ
Это случилось, что СМИ печатаются фальшивые истории, основанные на поддельных электронных писем.
- В октябре 2013 года , по электронной почте , который выглядел , как это было от шведской компании Fingerprint карты был направлен в агентство новостей, о том , что Samsung предложила приобрести компанию. Распространение новостей и биржевой курс вырос на 50%. Позже было обнаружено , электронная почта была поддельной.
Законное использование
В начале Интернета, «законно подделать» электронная почта была обычным явлением. Например, приглашенный пользователь может использовать локальную организацию SMTP — сервер для отправки электронной почты от иностранного адреса пользователя. Так как большинство серверов были сконфигурированы как « открытые реле », это было обычной практикой. Как спам стала досадная проблема, такого рода «законных» использует в немилости.
Когда несколько программных систем взаимодействуют друг с другом по электронной почте, подмена может потребоваться для того, чтобы облегчить такую связь. В любом случае, когда адрес электронной почта настроена для автоматической переадресации входящих сообщений электронной почты к системе, которая принимает только письмо от электронного экспедитора, подмена требуется для того, чтобы облегчить это поведение. Это общее между системами продажи билетов, которые взаимодействуют с другими системами продажи билетов.
Влияние на почтовых серверах
Традиционно, почтовые серверы могли принять почтовый пункт, а потом отправить Non-Delivery Report или сообщение «отскока» , если оно не может быть доставлено или были помещены в карантин по какой — либо причине. Они будут отправлены в «MAIL FROM:» ака «Return Path» адрес. С массовым ростом поддельных адресов, Best Practice теперь , чтобы не генерировать отчеты о недоставке для обнаруженного спама, вирусов и т.д. , но отказаться от электронной почты во время транзакции SMTP. Когда администраторы почты не в состоянии принять этот подход, их системы виновны отправки « обратное рассеяние » письма на невинные человек — в себе форму спама — или используются для выполнения « Джо работы » атаки.
Определение источника электронной почты
Хотя электронная почта подмены является эффективным в формировании адреса электронной почты, то IP — адрес компьютера , отправившего сообщение , как правило , могут быть идентифицированы с «Received:» линии в заголовке сообщения. Во многих случаях это может быть невинной третья сторона заражен вредоносными программами , отправляющий электронную почту без ведома владельца.
Контрмеры
SSL / TLS система используется для шифрования с сервера на сервер электронной почты трафик может также использоваться для обеспечения аутентификации, но на практике это редко используется, а также ряд других возможных решений также не удалось получить тягу.
Однако ряд эффективных систем в настоящее время широко используется, в том числе:
Хотя их использование растет, оценки сильно различаются, как не какой процент писем имеют формы аутентификации домена: от 8,6% до «почти половины». Для того, чтобы эффективно остановить поддельную электронную почту доставляются представляемые домены, их почтовых сервера и принимающая системой все должны быть настроены правильно для этих более высоких стандартов аутентификации.
Поскольку современные контрмеры предотвратить подделку спамеров конверт-адреса отправителя, многие перешли к использованию заголовок-адрес отправителя, как видно пользователем получателя, а не обрабатываются MTA получателя. Фирменная реализация выходит за рамки схемы SPF требуется для защиты от определенного заголовка-от реализации подмены.
