Университет Калифорнии в Сан-Диего: Против скама нет приема

Отправить письмо с поддельным адресом проще, чем считалось ранее, из-за недостатков в процессе пересылки электронной почты, утверждает исследовательская группа под руководством ученых-компьютерщиков из Калифорнийского университета в Сан-Диего.

Обнаруженные исследователями проблемы имеют широкое влияние, затрагивая целостность электронной почты, отправляемой с десятков тысяч доменов, включая те, которые представляют организации правительства США — например, большинство почтовых доменов американского кабинета министров, включая state.gov, а также агентства безопасности. Уязвимы также ключевые финансовые компании, такие как Mastercard, и крупные новостные организации, такие как The Washington Post и Associated Press.

Это так называемая подделка на основе переадресации, и исследователи обнаружили, что они могут отправлять электронные сообщения, выдавая себя за эти организации, в обход защитных механизмов, установленных такими провайдерами электронной почты, как Gmail и Outlook. Получив поддельное письмо, адресаты с большей вероятностью откроют вложения, содержащие вредоносное ПО, или перейдут по ссылкам, устанавливающим на их компьютер шпионские программы.

По мнению исследователей, такая подделка возможна благодаря ряду уязвимостей, связанных с пересылкой писем. Оригинальный протокол, используемый для проверки подлинности письма, неявно предполагает, что каждая организация имеет собственную почтовую инфраструктуру с определенными IP-адресами, не используемыми другими доменами. Однако сегодня многие организации передают свою почтовую инфраструктуру на аутсорсинг Gmail и Outlook. В результате тысячи доменов делегировали право на отправку электронной почты от своего имени одной и той же третьей стороне. Хотя эти сторонние провайдеры подтверждают, что их пользователи отправляют электронную почту только от имени доменов, которыми они управляют, эту защиту можно обойти с помощью переадресации электронной почты.

Например, state.gov, почтовый домен Государственного департамента, позволяет Outlook отправлять электронные сообщения от его имени. Это означает, что письма, утверждающие, что они приходят от state.gov, будут считаться легитимными, если они приходят с почтовых серверов Outlook. В результате злоумышленник может создать поддельное письмо — письмо с фальшивыми данными, например, от Государственного департамента, — а затем переслать его через свою личную учетную запись Outlook. После этого поддельное письмо будет восприниматься получателем как легитимное, поскольку оно пришло с почтового сервера Outlook.

Подобный дефект существует и для пяти других почтовых провайдеров, включая iCloud. Исследователи также обнаружили другие более мелкие проблемы, затрагивающие пользователей Gmail и Zohomail — популярного в Индии почтового провайдера.

Исследователи сообщили о проблеме в Microsoft, Apple и Google, но, насколько им известно, она до сих пор не устранена.

Это неудивительно, поскольку для ее устранения потребовались бы значительные усилия, включая демонтаж и ремонт устаревших систем, существовавших на протяжении четырех десятилетий, — говорит Алекс Лю, первый автор статьи и аспирант факультета компьютерных наук и инженерии Школы Джейкобса Калифорнийского университета в Сан-Диего.

Несмотря на то, что существуют определенные краткосрочные меры, позволяющие значительно снизить подверженность описанным нами атакам, в конечном итоге для того, чтобы эффективно противостоять спуфинговым атакам в будущем, электронная почта должна стоять на более прочной основе безопасности.

Команда представила свои результаты на 8-м Европейском симпозиуме IEEE по конфиденциальности и безопасности, проходившем с 3 по 7 июля 2023 г. в Делфте, где работа получила награду за лучший доклад.

Самые разные атаки

Исследователи разработали четыре различных типа атак с использованием переадресации.

В первых трех случаях предполагается, что противник контролирует учетные записи, которые отправляют и пересылают электронную почту. Кроме того, злоумышленнику необходимо иметь сервер, способный отправлять поддельные сообщения, и учетную запись у стороннего провайдера, позволяющую открытую пересылку.

Вначале злоумышленник создает личный аккаунт для пересылки, затем добавляет поддельный адрес в «белый список» аккаунта — список доменов, которые не будут блокироваться, даже если они не соответствуют стандартам безопасности. Злоумышленник настраивает свою учетную запись на пересылку всех писем на указанный адрес. Затем злоумышленник подделывает письмо так, чтобы оно выглядело как письмо от state.gov, и отправляет его на свою личную учетную запись Outlook. Затем злоумышленнику остается только переслать поддельное письмо своему адресату.

Более 12% из 100 тыс. наиболее популярных почтовых доменов Alexa — самых популярных доменов в Интернете — уязвимы для этой атаки. В их число входит большое количество новостных организаций, таких как Washington Post, Los Angeles Times и Associated Press, а также регистраторы доменов, такие как GoDaddy, финансовые службы, такие как Mastercard и Docusign, и крупные юридические фирмы. Кроме того, уязвимыми являются 32% доменов. gov, включая большинство правительственных учреждений США, ряд силовых ведомств, а также агентства, работающие в сфере здравоохранения, например CDC. На уровне штатов и местных органов власти уязвимы практически все первичные домены органов власти штатов, а более 40% всех доменов. gov используются городами.

Во втором варианте этой атаки злоумышленник создает личную учетную запись Outlook для пересылки поддельных сообщений на Gmail. В этом случае злоумышленник принимает облик домена, который также обслуживается Outlook, и отправляет поддельное сообщение со своего вредоносного сервера на личную учетную запись Outlook, которая, в свою очередь, пересылает его на ряд учетных записей Gmail.

Этой атаке подвержены около 1,9 млрд. пользователей по всему миру.

Исследователи также обнаружили разновидности этой атаки, работающие для четырех популярных сервисов рассылок: Google groups, mailman, listserv и Gaggle.

Возможные решения

Исследователи раскрыли все уязвимости и атаки провайдерам. Компания Zoho исправила свою проблему и наградила команду вознаграждением за ошибку. Компания Microsoft также получила вознаграждение и подтвердила наличие уязвимостей. Сервис рассылок Gaggle заявил, что изменит протоколы для решения проблемы. Gmail также устранил проблемы, о которых сообщила команда, а iCloud проводит расследование.

Но чтобы действительно разобраться в проблеме, исследователи рекомендуют отключить открытую пересылку — процесс, позволяющий пользователям настраивать свою учетную запись на пересылку сообщений на любой указанный адрес электронной почты без какой-либо проверки адресата. Этот процесс реализован в почтовых системах Gmail и Outlook. Кроме того, такие провайдеры, как Gmail и Outlook, неявно доверяют известным почтовым службам, доставляя сообщения, переадресованные этими почтовыми службами, независимо от их наличия.

Провайдерам также следует отказаться от предположения, что письма, приходящие от другого крупного провайдера, являются легитимными, — этот процесс называется ослаблением политики проверки.

Кроме того, исследователи рекомендуют спискам рассылки запрашивать подтверждение истинного адреса отправителя перед доставкой электронной почты.

Более фундаментальным подходом была бы стандартизация различных аспектов пересылки, — пишут исследователи.

Однако внесение таких изменений потребует общесистемного сотрудничества и, скорее всего, столкнется со многими эксплуатационными проблемами.

Методы

Для каждого сервиса исследователи создавали несколько тестовых учетных записей и использовали их для пересылки электронной почты на контролируемые ими учетные записи получателей. Затем они анализировали заголовки полученных писем, чтобы лучше понять, какой протокол пересылки использует сервис. Атаки были протестированы на 14 почтовых провайдерах, которые используются 46% наиболее популярных интернет-доменов и государственных доменов.

Также были созданы списки рассылки на существующих сервисах, предоставляемых UC San Diego и сервисом рассылок Gaggle.

Исследователи отправляли поддельные сообщения только на созданные ими самими учетные записи. Сначала они тестировали каждую атаку, подменяя созданные и контролируемые ими домены. Убедившись, что атаки работают, исследователи провели небольшой набор экспериментов, в которых подделывались электронные письма с реальных доменов. При этом поддельные письма отправлялись только на тестовые учетные записи, созданные исследователями.

Одна из фундаментальных проблем заключается в том, что протоколы безопасности электронной почты представляют собой распределенные, необязательные и независимо настраиваемые компоненты, — пишут исследователи.

Это создает большую и сложную поверхность атаки с множеством возможных взаимодействий, которые не может легко предвидеть или администрировать какая-либо одна сторона.

05.09.2023


Подписаться в Telegram



Безопасность

Университет Калифорнии в Сан-Диего: Против скама нет приема
Университет Калифорнии в Сан-Диего: Против скама нет приема

Отправить письмо с поддельным адресом про...

Видеоролик про оружие снижает риск неосторожного обращения среди детей
Видеоролик про оружие снижает риск неосторожного обращения среди детей

В лаборатории Университета штата Огайо, замаск...

В Москве разработали рентген для углепластика
В Москве разработали рентген для углепластика

В Технополисе Москва создали инновационную сис...

Робот МЧС успешно десантировался с высоты 500 метров
Робот МЧС успешно десантировался с высоты 500 метров

Робот, созданный в особой экономической з...

Аэропорт Норильска оснастят уникальным российским интроскопом
Аэропорт Норильска оснастят уникальным российским интроскопом

Резидент особой экономической зоны Технополис ...

Новые датчики движения реагируют на пожарных
Новые датчики движения реагируют на пожарных

Исследователи из университета Макмастера ...

Владельцев оружия в США меньше, чем принято считать
Владельцев оружия в США меньше, чем принято считать

Большинство обывателей существенно переоценива...

Из первых ауксетиков, возможно, будут делать бронежилеты
Из первых ауксетиков, возможно, будут делать бронежилеты

Если растягивать какой-нибудь эластичный матер...

Разработан мини-огнетушитель для литиевых аккумуляторов
Разработан мини-огнетушитель для литиевых аккумуляторов

Как показали события последних месяцев, аккуму

Российские силовики рассекретили тяжелый роботизированный комплекс
Российские силовики рассекретили тяжелый роботизированный комплекс

Отечественное Минобороны представило уникальны...

Операторы Kovter зарабатывают на кликах
Операторы Kovter зарабатывают на кликах

ESET предупреждает о росте активности заг...

Системы контроля доступа: домофоны и другое важное оборудование
Системы контроля доступа: домофоны и другое важное оборудование

Обеспечить безопасность жилой или коммерч...

Предъявите ваш череп, пожалуйста
Предъявите ваш череп, пожалуйста

Службы безопасности различного уровня и п...

Достоверность доказательств еще надо доказать
Достоверность доказательств еще надо доказать

Телезрители редко обращают внимание на то...

Ученые из НГТУ намерены первыми в России прогнозировать цунами
Ученые из НГТУ намерены первыми в России прогнозировать цунами

Ученые из Нижегородского государственного...

КРЭТ выпускает гражданские системы РЭБ
КРЭТ выпускает гражданские системы РЭБ

Концерн радиоэлектронные технологии, входящий ...

«Швабе» представит инновационную продукцию на форуме «Армия-2015»
«Швабе» представит инновационную продукцию на форуме «Армия-2015»

Холдинг Швабе, входящий в Госкорпорацию Р...

"Симбиоз" компьютера и человека эффективней в поиске мин
"Симбиоз" компьютера и человека эффективней в поиске мин

Программисты из Калифорнийского университ...

Новый материал усложнит террористам жизнь
Новый материал усложнит террористам жизнь

Исследователь Кристофер Лавей из лаборато...

Разработан термометр для измерений внутри взрыва и шаровой молнии
Разработан термометр для измерений внутри взрыва и шаровой молнии

Ученые из Британской Национальной физичес...

Поиск на сайте

Магазин

  
Silicon Power Slim S70 60GB SSD накопитель2990.00 руб.

Знатоки клуба инноваций


ТОП - Новости мира, инновации

Как выглядит работающий рекламный баннер
Как выглядит работающий рекламный баннер
Деревья в опасности: грибы-паразиты могут уничтожить целые леса
Деревья в опасности: грибы-паразиты могут уничтожить целые леса
Древние охотники-собиратели жили в условиях постоянного напряжения и насилия
Древние охотники-собиратели жили в условиях постоянного напряжения и насилия
Алмазные материалы могут превращать парниковый газ в ценное топливо
Алмазные материалы могут превращать парниковый газ в ценное топливо
Новый инструмент редактирования генов может быть опасен для здоровья
Новый инструмент редактирования генов может быть опасен для здоровья
Носимое устройство для родовых кровотечений: спасение или новая угроза?
Носимое устройство для родовых кровотечений: спасение или новая угроза?
Новое покрытие-хамелеон изменит способ обогрева и охлаждения зданий
Новое покрытие-хамелеон изменит способ обогрева и охлаждения зданий
Городские птицы заплатили за свет глазами
Городские птицы заплатили за свет глазами
Орангутанг, а не шимпанзе, является предком человека
Орангутанг, а не шимпанзе, является предком человека
Забудьте о достижениях: исследование показало, что они не делают вас счастливыми
Забудьте о достижениях: исследование показало, что они не делают вас счастливыми
Прекрасным дамам - прекрасные смартфоны
Прекрасным дамам - прекрасные смартфоны
Разработан алгоритм определения продажности сайтов
Разработан алгоритм определения продажности сайтов
Исследована галактика с активным формирование звезд
Исследована галактика с активным формирование звезд
Современные технологии и инновации в полиграфии
Современные технологии и инновации в полиграфии
Самоощущение и красота: новое исследование раскрывает связь между ними
Самоощущение и красота: новое исследование раскрывает связь между ними

Новости компаний, релизы

КАИ и Микрон будут готовить инженерные кадры для микроэлектроники
КАИ и Микрон будут готовить инженерные кадры для микроэлектроники
В КНИТУ проходят семинары Минобрнауки России по вопросам защиты государственной тайны
В КНИТУ проходят семинары Минобрнауки России по вопросам защиты государственной тайны
У женщин, прошедших силиконовую имплантацию груди, обнаружены нарушения иммунитета
У женщин, прошедших силиконовую имплантацию груди, обнаружены нарушения иммунитета
Исследование лихенологов СПбГУ поможет вернуть каменным мавзолеям Башкирии средневековый вид
Исследование лихенологов СПбГУ поможет вернуть каменным мавзолеям Башкирии средневековый вид
Ученые ТПУ создали новый вид функционально-градиентной оптической керамики
Ученые ТПУ создали новый вид функционально-градиентной оптической керамики