Университет Калифорнии в Сан-Диего: Против скама нет приема

Отправить письмо с поддельным адресом проще, чем считалось ранее, из-за недостатков в процессе пересылки электронной почты, утверждает исследовательская группа под руководством ученых-компьютерщиков из Калифорнийского университета в Сан-Диего.

Обнаруженные исследователями проблемы имеют широкое влияние, затрагивая целостность электронной почты, отправляемой с десятков тысяч доменов, включая те, которые представляют организации правительства США — например, большинство почтовых доменов американского кабинета министров, включая state.gov, а также агентства безопасности. Уязвимы также ключевые финансовые компании, такие как Mastercard, и крупные новостные организации, такие как The Washington Post и Associated Press.

Это так называемая подделка на основе переадресации, и исследователи обнаружили, что они могут отправлять электронные сообщения, выдавая себя за эти организации, в обход защитных механизмов, установленных такими провайдерами электронной почты, как Gmail и Outlook. Получив поддельное письмо, адресаты с большей вероятностью откроют вложения, содержащие вредоносное ПО, или перейдут по ссылкам, устанавливающим на их компьютер шпионские программы.

По мнению исследователей, такая подделка возможна благодаря ряду уязвимостей, связанных с пересылкой писем. Оригинальный протокол, используемый для проверки подлинности письма, неявно предполагает, что каждая организация имеет собственную почтовую инфраструктуру с определенными IP-адресами, не используемыми другими доменами. Однако сегодня многие организации передают свою почтовую инфраструктуру на аутсорсинг Gmail и Outlook. В результате тысячи доменов делегировали право на отправку электронной почты от своего имени одной и той же третьей стороне. Хотя эти сторонние провайдеры подтверждают, что их пользователи отправляют электронную почту только от имени доменов, которыми они управляют, эту защиту можно обойти с помощью переадресации электронной почты.

Например, state.gov, почтовый домен Государственного департамента, позволяет Outlook отправлять электронные сообщения от его имени. Это означает, что письма, утверждающие, что они приходят от state.gov, будут считаться легитимными, если они приходят с почтовых серверов Outlook. В результате злоумышленник может создать поддельное письмо — письмо с фальшивыми данными, например, от Государственного департамента, — а затем переслать его через свою личную учетную запись Outlook. После этого поддельное письмо будет восприниматься получателем как легитимное, поскольку оно пришло с почтового сервера Outlook.

Подобный дефект существует и для пяти других почтовых провайдеров, включая iCloud. Исследователи также обнаружили другие более мелкие проблемы, затрагивающие пользователей Gmail и Zohomail — популярного в Индии почтового провайдера.

Исследователи сообщили о проблеме в Microsoft, Apple и Google, но, насколько им известно, она до сих пор не устранена.

Это неудивительно, поскольку для ее устранения потребовались бы значительные усилия, включая демонтаж и ремонт устаревших систем, существовавших на протяжении четырех десятилетий, — говорит Алекс Лю, первый автор статьи и аспирант факультета компьютерных наук и инженерии Школы Джейкобса Калифорнийского университета в Сан-Диего.

Несмотря на то, что существуют определенные краткосрочные меры, позволяющие значительно снизить подверженность описанным нами атакам, в конечном итоге для того, чтобы эффективно противостоять спуфинговым атакам в будущем, электронная почта должна стоять на более прочной основе безопасности.

Команда представила свои результаты на 8-м Европейском симпозиуме IEEE по конфиденциальности и безопасности, проходившем с 3 по 7 июля 2023 г. в Делфте, где работа получила награду за лучший доклад.

Самые разные атаки

Исследователи разработали четыре различных типа атак с использованием переадресации.

В первых трех случаях предполагается, что противник контролирует учетные записи, которые отправляют и пересылают электронную почту. Кроме того, злоумышленнику необходимо иметь сервер, способный отправлять поддельные сообщения, и учетную запись у стороннего провайдера, позволяющую открытую пересылку.

Вначале злоумышленник создает личный аккаунт для пересылки, затем добавляет поддельный адрес в «белый список» аккаунта — список доменов, которые не будут блокироваться, даже если они не соответствуют стандартам безопасности. Злоумышленник настраивает свою учетную запись на пересылку всех писем на указанный адрес. Затем злоумышленник подделывает письмо так, чтобы оно выглядело как письмо от state.gov, и отправляет его на свою личную учетную запись Outlook. Затем злоумышленнику остается только переслать поддельное письмо своему адресату.

Более 12% из 100 тыс. наиболее популярных почтовых доменов Alexa — самых популярных доменов в Интернете — уязвимы для этой атаки. В их число входит большое количество новостных организаций, таких как Washington Post, Los Angeles Times и Associated Press, а также регистраторы доменов, такие как GoDaddy, финансовые службы, такие как Mastercard и Docusign, и крупные юридические фирмы. Кроме того, уязвимыми являются 32% доменов. gov, включая большинство правительственных учреждений США, ряд силовых ведомств, а также агентства, работающие в сфере здравоохранения, например CDC. На уровне штатов и местных органов власти уязвимы практически все первичные домены органов власти штатов, а более 40% всех доменов. gov используются городами.

Во втором варианте этой атаки злоумышленник создает личную учетную запись Outlook для пересылки поддельных сообщений на Gmail. В этом случае злоумышленник принимает облик домена, который также обслуживается Outlook, и отправляет поддельное сообщение со своего вредоносного сервера на личную учетную запись Outlook, которая, в свою очередь, пересылает его на ряд учетных записей Gmail.

Этой атаке подвержены около 1,9 млрд. пользователей по всему миру.

Исследователи также обнаружили разновидности этой атаки, работающие для четырех популярных сервисов рассылок: Google groups, mailman, listserv и Gaggle.

Возможные решения

Исследователи раскрыли все уязвимости и атаки провайдерам. Компания Zoho исправила свою проблему и наградила команду вознаграждением за ошибку. Компания Microsoft также получила вознаграждение и подтвердила наличие уязвимостей. Сервис рассылок Gaggle заявил, что изменит протоколы для решения проблемы. Gmail также устранил проблемы, о которых сообщила команда, а iCloud проводит расследование.

Но чтобы действительно разобраться в проблеме, исследователи рекомендуют отключить открытую пересылку — процесс, позволяющий пользователям настраивать свою учетную запись на пересылку сообщений на любой указанный адрес электронной почты без какой-либо проверки адресата. Этот процесс реализован в почтовых системах Gmail и Outlook. Кроме того, такие провайдеры, как Gmail и Outlook, неявно доверяют известным почтовым службам, доставляя сообщения, переадресованные этими почтовыми службами, независимо от их наличия.

Провайдерам также следует отказаться от предположения, что письма, приходящие от другого крупного провайдера, являются легитимными, — этот процесс называется ослаблением политики проверки.

Кроме того, исследователи рекомендуют спискам рассылки запрашивать подтверждение истинного адреса отправителя перед доставкой электронной почты.

Более фундаментальным подходом была бы стандартизация различных аспектов пересылки, — пишут исследователи.

Однако внесение таких изменений потребует общесистемного сотрудничества и, скорее всего, столкнется со многими эксплуатационными проблемами.

Методы

Для каждого сервиса исследователи создавали несколько тестовых учетных записей и использовали их для пересылки электронной почты на контролируемые ими учетные записи получателей. Затем они анализировали заголовки полученных писем, чтобы лучше понять, какой протокол пересылки использует сервис. Атаки были протестированы на 14 почтовых провайдерах, которые используются 46% наиболее популярных интернет-доменов и государственных доменов.

Также были созданы списки рассылки на существующих сервисах, предоставляемых UC San Diego и сервисом рассылок Gaggle.

Исследователи отправляли поддельные сообщения только на созданные ими самими учетные записи. Сначала они тестировали каждую атаку, подменяя созданные и контролируемые ими домены. Убедившись, что атаки работают, исследователи провели небольшой набор экспериментов, в которых подделывались электронные письма с реальных доменов. При этом поддельные письма отправлялись только на тестовые учетные записи, созданные исследователями.

Одна из фундаментальных проблем заключается в том, что протоколы безопасности электронной почты представляют собой распределенные, необязательные и независимо настраиваемые компоненты, — пишут исследователи.

Это создает большую и сложную поверхность атаки с множеством возможных взаимодействий, которые не может легко предвидеть или администрировать какая-либо одна сторона.

05.09.2023

Подписаться: Телеграм | Дзен | Вконтакте


Безопасность

Разгадка глубинной аномалии: почему Дальний Восток трясет и жжет
Разгадка глубинной аномалии: почему Дальний Восток трясет и жжет

Под вулканами северо-восточного Китая нашли пр...

Приватность — не священная корова: что показал эксперимент MIT
Приватность — не священная корова: что показал эксперимент MIT

Мир давно помешан на защите личных данных...

Ученые доказали безопасность 5G
Ученые доказали безопасность 5G

Многие переживают, что 5G вредит здоровью...

Лесные пожары оставляют в организме след, и теперь его можно измерить
Лесные пожары оставляют в организме след, и теперь его можно измерить

Команда ученых создала дешевый бумажный сенсор...

Новый алгоритм строит 3D-портрет по ДНК
Новый алгоритм строит 3D-портрет по ДНК

Ученые научились воссоздавать 3D-лицо человека

Невидимый враг или надуманный страх? Вся правда о радиации
Невидимый враг или надуманный страх? Вся правда о радиации

Страх перед радиацией глубоко укоренился в&nbs

Геометрия на защите мозга: ученые переизобрели велошлем
Геометрия на защите мозга: ученые переизобрели велошлем

Велосипедные шлемы спасают жизни, но у&nb...

Дроны, камеры и техника: как защищают леса от огня
Дроны, камеры и техника: как защищают леса от огня

В преддверии сезона пожаров первыми начали тре...

Как строят АЭС, чтобы выдержать все: от землетрясений до хакеров
Как строят АЭС, чтобы выдержать все: от землетрясений до хакеров

Ядерная безопасность имеет первостепенное знач...

В ТИСБИ назвали облачные технологии рискованными для банков
В ТИСБИ назвали облачные технологии рискованными для банков

В финансовой сфере обнаружили новые проблемы, ...

New Atlas: Башня RainStream сможет спасти город от пожара
New Atlas: Башня RainStream сможет спасти город от пожара

Когда лесной пожар приближается к городу,...

В МФТИ создали флешку с защитой от взлома и кражи данных
В МФТИ создали флешку с защитой от взлома и кражи данных

Флеш-карта, разработанная сотрудниками кафедры...

TUST: Разработан новый метод моделирования пластичности грунта
TUST: Разработан новый метод моделирования пластичности грунта

Инфраструктура часто повреждается из-за природ...

Поиск на сайте

ТОП - Новости мира, инновации

Потеря Y-хромосомы ухудшает прогноз при раке
Потеря Y-хромосомы ухудшает прогноз при раке
Nature: Древний углерод из рек возвращается в атмосферу
Nature: Древний углерод из рек возвращается в атмосферу
Стимуляция кожи лица и шеи помогает в профилактике деменции
Стимуляция кожи лица и шеи помогает в профилактике деменции
Journal of Experimental Psychology: Многозадачность — не один навык, а несколько
Journal of Experimental Psychology: Многозадачность — не один навык, а несколько
Открыт секрет клеточной электропроводимости
Открыт секрет клеточной электропроводимости
Как микробы используют жидкость для передвижения
Как микробы используют жидкость для передвижения
SLEEP: У детей вовлеченных родителей крепче сон
SLEEP: У детей вовлеченных родителей крепче сон
В человеческом организме найдены новые антимикробные пептиды
В человеческом организме найдены новые антимикробные пептиды
Новая смола для 3D-печати упрощает создание сложных объектов
Новая смола для 3D-печати упрощает создание сложных объектов
Ученые нашли гены, отвечающие за регенерацию печени
Ученые нашли гены, отвечающие за регенерацию печени

Новости компаний, релизы

От парты к станку: как в Казани учат будущих авиастроителей
От атома до села: как Минобрнауки тратит миллионы на популяризацию науки
Почва под контролем: чем Verda поможет фермерам
Деньги любят счет: как пенсионеры осваивают банковские сервисы
MITEX 2025: новинки оборудования, деловая программа, нетворкинг