Pytanie:
Dlaczego e-maile phishingowe wykorzystują fałszywe adresy e-mail zamiast prawdziwych?
JFB
2019-03-05 22:24:55 UTC
view on stackexchange narkive permalink

Czytałem, że w polu From: e-maila można wpisać cokolwiek.

Jeśli to prawda, to dlaczego e-maile phishingowe próbują mnie oszukać, używając wyglądających adresów, takich jak service@amaz0n.com , zamiast po prostu używać rzeczywistego service@amazon.com ?

Mógłbyś powiedzieć wszystkim, że jesteś Papieżem i nic nie stoi na przeszkodzie, abyś to zrobił.Ale ci, którzy wiedzą, kim jest Papież, rozpoznają, że kłamiesz.E-mail ma ten proces weryfikacji.
@schroeder, Nie sądzę, aby poczta e-mail wymagała weryfikacji.AFAIK, to zależy od dostawcy poczty e-mail i zauważyłem między nimi ogromne różnice.Niektórzy mogą wyświetlać dodatkowe informacje (pole „od”, a także pole „nadawca”), niektórzy mogą umieścić wiadomość w folderze śmieci, niektórzy mogą ją po prostu odrzucić ... a inni mogą ją zaakceptować.Wiem na pewno, ponieważ przetestowałem go wczoraj, że renomowany dostawca w moim kraju akceptuje sfałszowane adresy, ponieważ sam SPF (miękki) błąd nie wystarczy, aby uruchomić ich SpamAssassin, więc sfałszowane wiadomości e-mail mogą wyglądać całkowicie autentycznie.
Same zasady @reed, SPF zwykle nie powodują całkowitego odrzucenia wiadomości e-mail.I nie bez powodu.Byłoby koszmarem, gdyby Twój dostawca poczty e-mail zaczął odrzucać wiadomości e-mail, które mogą być uzasadnione, nawet jeśli jest to bardzo mało prawdopodobne.Zasady SPF zwykle służą tylko do decydowania, czy wiadomość powinna trafić bezpośrednio do spamu, czy też zawierać potencjalne ostrzeżenie przed spamem / phishingiem.Tylko dzięki DKIM / DMARC możesz naprawdę uzyskać wystarczającą ilość zdjęcia, aby powiedzieć „tak, ten e-mail to bzdury, zostawmy to”.
Błąd miękki jest odpowiednikiem stwierdzenia: „Nasz e-mail / powinien / pochodzić z X, Y i Z, więc jeśli tak nie jest, może to nie my ... ale może być”.
Jednym z możliwych sposobów wykorzystania fałszywego adresu e-mail w dzisiejszych czasach jest sytuacja, w której ofiara próbuje faktycznie odpowiedzieć na e-mail.Atakujący mógłby otrzymać odpowiedź i rozpocząć dyskusję z nieświadomą ofiarą oraz przeprowadzić socjotechnikę.Gdyby adres „odpowiedz na” nie był pod kontrolą, atakujący nie (a przynajmniej niełatwo) niczego by nie przechwycił.
@Pacopaco to miejsce, w którym pojawia się odpowiedź na pole
@Antzi E-maile z odpowiedzią, które nie pochodzą z listy mailingowej, są obecnie rzadkością.Klienci poczty e-mail mogą ostrzec użytkownika „czy naprawdę chcesz odpowiedzieć X”, co jest nietypową wiadomością, która może przyciągnąć niepożądaną uwagę.
@curiousguy nie pozwala mi zaczynać odpowiedzi na - mam stary adres hotmail, którego używam do wszystkiego, co może trafić do odbieranego spamu.Wydaje się, że został ostatnio odebrany przez oszustów kont Apple (wysyłających e-maile, że moje (nieistniejące) konto zostało przejęte) ** Outlook.live ** umieszcza treść odpowiedzi na (w tym przypadku support@apple.com), gdzieadres nadawcy zwykle trafia, więc dla przeciętnego joe wygląda bardziej legalnie ze względu na sposób wyświetlania go przez klienta.Kto, kurwa, wymyślił ten projekt?
Pięć odpowiedzi:
Steffen Ullrich
2019-03-05 22:32:08 UTC
view on stackexchange narkive permalink

Chociaż można by utworzyć pocztę z @ amazon.com jako kopertą SMTP i / lub polem Od w nagłówku poczty, poczta byłaby prawdopodobnie blokowana od tej domeny jest chroniony za pomocą Sender Policy Framework ( SPF ), DomainKeys Identified Mail ( DKIM ) oraz Domain-based Message Authentication, Reporting and Conformance ( DMARC ). Oznacza to, że sfałszowana poczta byłaby wykrywana jako taka i odrzucana przez wiele serwerów pocztowych. W przeciwieństwie do tego, użycie innej domeny, która nie jest chroniona w ten sposób lub która jest chroniona, ale kontrolowana przez atakującego, jest skuteczniejsze.

Krótko mówiąc, do czego służą te technologie:

  • SPF
    Sprawdza, czy adres IP nadawcy jest dozwolony dla podanej koperty SMTP (SMTP.MAILFROM). dig txt amazon.com wskazuje, że istnieje zasada SPF.
  • DKIM
    Serwer poczty podpisuje wiadomość. Klucz publiczny do weryfikacji poczty jest pobierany przy użyciu DNS. Amazon używa DKIM, jak widać z pól DKIM-Signature w nagłówku wiadomości.
  • DMARC
    Wyrównuje From pole w nagłówku wiadomości (RFC822.From) z domeną podpisu DKIM dla DKIM lub domeną koperty SMTP dla SPF. Jeśli istnieje wyrównany i skuteczny SPF / DKIM, zasada DMARC jest zgodna. dig txt _dmarc.amazon.com pokazuje, że Amazon ma rekord DMARC z zasadą quarantine.

Ani SPF, ani DKIM przez własną pomoc w zwalczaniu fałszowania pola From w nagłówku wiadomości. Tylko połączenie przynajmniej jednego z nich z DMARC chroni przed takim fałszowaniem nagłówków.

Nie do końca prawda w ostatniej linijce ... rekord SPF może sam w sobie chronić przed fałszowaniem.Rekordy SPF o poważnych niepowodzeniach (te kończące się na „-all”) zazwyczaj powodują, że wiadomości e-mail naruszające zasady są przenoszone bezpośrednio do spamu, a e-maile o niepowodzeniach typu soft-fail dość często skutkują ostrzeżeniem dla użytkownika (tak jak w przypadku Gmaila, o365).Te wybory wymagają lepszego poziomu standaryzacji, ale to właśnie dzieje się na wolności;na przykład widziałem klientów poczty e-mail, które całkowicie odrzucają wiadomości e-mail, gdy wystąpią poważne naruszenia.
@hiburn8: Chodzi o fałszowanie pola „Od” w nagłówku wiadomości.SPF nie sprawdza nawet pola „Od” wiadomości (RFC822.FROM), ale dba tylko o kopertę SMTP (SMTP.MAILFROM).Atakujący może użyć koperty SMTP z odpowiednią domeną, która albo nie ma SPF, albo ma prawidłowy SPF, ponieważ domena jest kontrolowana przez atakującego - dzięki czemu SPF nie zawiedzie.Tylko połączenie z DMARC chroni przed fałszowaniem pola „Od” w nagłówku wiadomości, ponieważ wymaga wyrównania domeny w kopercie SMTP dla SPF lub domeny w polu podpisu DKIM.
Ach tak, przepraszam, że nie przeczytałem twojej odpowiedzi.Wydawało mi się, że mówisz, że sam SPF nie zapewnia żadnych środków zapobiegających fałszowaniu.+1
jcaron
2019-03-06 19:36:42 UTC
view on stackexchange narkive permalink

Aby uzupełnić odpowiedź Steffena Ullricha, zwróć uwagę, że:

  • W przeszłości rzeczywiście można było sfałszować wszystko, co chciał, nikt nie sprawdzał, wszyscy zaufali wszystkim.
  • Jednak wraz ze wzrostem liczby spamu, phishingu i innych oszustw wprowadzono SPF, DKIM i DMARC. Pozwalają one serwerowi sprawdzić, czy nadawca ma prawo wysyłać pocztę z nadawcą w danej domenie.
  • Te metody wymagają zarówno od nadawcy, jak i odbiorcy zaimplementowania tych metod.
  • Większość dużych dostawców poczty e-mail z pewnością wdroży co najmniej jedną z 3 metod po swojej stronie (jako odbiorcy), a wiele organizacji, w przypadku których istnieje ryzyko, że ludzie będą próbować podszyć się pod nich, wdroży co najmniej jedną z 3 metod również po swojej stronie (jako nadawca).
  • Jednak nadal istnieją zarówno systemy poczty e-mail, które nie sprawdzają żadnego z nich, jak i domeny bez odpowiedniej konfiguracji.

Więc jeśli znajdziesz domenę bez SPF, DKIM lub DMARC, możesz wysłać e-mail w imieniu tej domeny i nie zostać od razu odrzuconym. Wielu dostawców poczty elektronicznej będzie „ufać” takim wiadomościom w mniejszym stopniu niż inni, a ich traktowanie jako spam powoduje większe zmiany.

Podobnie możesz wysyłać wiadomości e-mail nawet „z” domeny chronionej z SPF, DKIM lub DMARC do systemu poczty e-mail, który tego nie sprawdza.

Ale zdecydowanie chcesz wysłać jako Apple lub Amazon do skrzynek pocztowych zarządzanych przez Google lub Microsoft, które wygrały ” t działa. I to jest powód, dla którego używają do tego innych nazw domen.

Pamiętaj, że tylko DMARC zapobiega podszywaniu się pod adres Od:, ponieważ SPF i DKIM tego nie robią - DKIM może pozwolić nadawcy, opcjonalnie, udowodnić, że jest właścicielem tej domeny, ale nie może pomóc odbiorcy w sprawdzeniu domeny w polu Od:, jeślibrak podpisu DKIM.
ShapeOfMatter
2019-03-05 22:33:11 UTC
view on stackexchange narkive permalink
  • Phisher może mieć nadzieję na otrzymanie odpowiedzi na ten adres.
  • Próbuje uniknąć różnych struktur, które istnieją w celu zapobiegania sfałszowane pola „od”, aby były postrzegane jako autentyczne przez człowieka.

Za pomocą tego narzędzia udało mi się sprawdzić, czy amazon .com czy ma skonfigurowany SPF. Oczywiście to na twoim kliencie poczty jest sprawdzenie DNS pod kątem SPF, ale większość ludzi to robi.

SPF nie chroni nagłówka „Od:”, ale * nadawcę w danych koperty *.
I to * nie * klient poczty e-mail sprawdza SPF;to odbierający serwer e-mail.
Muszę się przyznać: ustawiłem te zabezpieczenia dla siebie _ raz_ i w tym momencie nie jestem pewien, dlaczego dwanaście osób zagłosowało za moją odpowiedzią.
ANone
2019-03-06 23:13:44 UTC
view on stackexchange narkive permalink

Warto zwrócić uwagę na różnicę między teorią a praktyką.SMTP (Simple Mail Transfer Protocol), który jest podstawą poczty e-mail, tak naprawdę nie zapobiega fałszowaniu. Myślę, że stąd pochodzi ten cytat.

Jednak chociaż SMTP jest częścią poczty e-mail, tak jak jest teraz, nie jest to jedyna rzecz w przygotowaniu. Chociaż jestem pewien, że w naturze istnieją całkowicie waniliowe implementacje tego, zdecydowana większość ludzi będzie używać jednego z niewielu „dużych” stacków, które zawierają wiele dodatków, aby powstrzymać tego rodzaju zachowania.

Ponieważ celem spamowania jest dotarcie do jak największej liczby (i niestety najbardziej łatwowiernych) osób: koszt odfiltrowania większości przypadków w celu uzyskania wiarygodności prawdziwego adresu nie jest dobry. Jest to szczególnie prawdziwe, jeśli oszustwo wymaga wysiłku ze strony oszusta, aby postępować, ponieważ osoba na tyle sceptyczna, aby zauważyć, że adres „service@amaz0n.com” wygląda nieprawidłowo, jest prawdopodobnie celem, który chcesz wcześniej wyeliminować.

Myślę, że chęć posiadania tylko łatwych ocen jest słuszna.Istnieje również tendencja do celowego robienia tego w treści wiadomości.Zostało to omówione wcześniej: https://security.stackexchange.com/questions/96121/why-do-phishing-emails-have-spelling-and-grammar-mistakes
Rafael Henrique
2019-03-08 20:46:49 UTC
view on stackexchange narkive permalink

James Veitch rzuca trochę światła na to TED Talk

Rozpoczyna swoją rozmowę od opowieści o jakimś e-mailu z oszustwem phishingowym, który otrzymał, tym o mieszkańcu Afryki Południowej porucznik proszący o pomoc przy diamentach. Cała historia jest absurdalna i dla większości z nas całkowicie niewiarygodna. Ale

„[...] jeśli się nad tym zastanowić, jest to całkiem sprytne. Ponieważ czyniąc oszustwa śmiesznymi, najlepiej dla oszusta, jedynymi osobami, które odpowiedzą są najbardziej łatwowiernych ludzi. ”

Jeśli jesteś na tyle naiwny lub rozproszony, by błędnie odczytać„ amaz0n ”jako„ amazon ”, to może warto spróbować ... Jeśli zauważysz inną domenę , zwracasz uwagę i prawdopodobnie jest to strata czasu oszusta, aby cię oszukać.

Uważam, że nie jest sprawiedliwe stwierdzenie: „Jeśli jesteś na tyle naiwny lub rozkojarzony, by błędnie odczytać„ amaz0n ”jako„ amazon ”, to może warto spróbować”.Nie wszyscy dorastali z technologią, a to brzmi jak „Jeśli jesteś zbyt głupi, żeby to zrozumieć, zasługujesz na to, by Cię wciągnąć”.PRAWDZIWĄ odpowiedzią na pytanie, dlaczego używają podobnych, ale nie identycznych nazw domen, jest fakt, że technicznie nie są w stanie sfałszować prawdziwej nazwy Amazon.com.Jestem pewien, że gdyby mogli używać witryny „amazon.com”.
Masz błąd w logice.Nie chodzi o to, że „ponieważ jesteście bezbronni, spróbujemy tego”, ale raczej o „próbujemy wszystkich, a ludzkie słabości zostaną ujawnione”.
@SomeGuy autor


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...