Университет Калифорнии в Сан-Диего: Против скама нет приема

Отправить письмо с поддельным адресом проще, чем считалось ранее, из-за недостатков в процессе пересылки электронной почты, утверждает исследовательская группа под руководством ученых-компьютерщиков из Калифорнийского университета в Сан-Диего.

Обнаруженные исследователями проблемы имеют широкое влияние, затрагивая целостность электронной почты, отправляемой с десятков тысяч доменов, включая те, которые представляют организации правительства США — например, большинство почтовых доменов американского кабинета министров, включая state.gov, а также агентства безопасности. Уязвимы также ключевые финансовые компании, такие как Mastercard, и крупные новостные организации, такие как The Washington Post и Associated Press.

Это так называемая подделка на основе переадресации, и исследователи обнаружили, что они могут отправлять электронные сообщения, выдавая себя за эти организации, в обход защитных механизмов, установленных такими провайдерами электронной почты, как Gmail и Outlook. Получив поддельное письмо, адресаты с большей вероятностью откроют вложения, содержащие вредоносное ПО, или перейдут по ссылкам, устанавливающим на их компьютер шпионские программы.

По мнению исследователей, такая подделка возможна благодаря ряду уязвимостей, связанных с пересылкой писем. Оригинальный протокол, используемый для проверки подлинности письма, неявно предполагает, что каждая организация имеет собственную почтовую инфраструктуру с определенными IP-адресами, не используемыми другими доменами. Однако сегодня многие организации передают свою почтовую инфраструктуру на аутсорсинг Gmail и Outlook. В результате тысячи доменов делегировали право на отправку электронной почты от своего имени одной и той же третьей стороне. Хотя эти сторонние провайдеры подтверждают, что их пользователи отправляют электронную почту только от имени доменов, которыми они управляют, эту защиту можно обойти с помощью переадресации электронной почты.

Например, state.gov, почтовый домен Государственного департамента, позволяет Outlook отправлять электронные сообщения от его имени. Это означает, что письма, утверждающие, что они приходят от state.gov, будут считаться легитимными, если они приходят с почтовых серверов Outlook. В результате злоумышленник может создать поддельное письмо — письмо с фальшивыми данными, например, от Государственного департамента, — а затем переслать его через свою личную учетную запись Outlook. После этого поддельное письмо будет восприниматься получателем как легитимное, поскольку оно пришло с почтового сервера Outlook.

Подобный дефект существует и для пяти других почтовых провайдеров, включая iCloud. Исследователи также обнаружили другие более мелкие проблемы, затрагивающие пользователей Gmail и Zohomail — популярного в Индии почтового провайдера.

Исследователи сообщили о проблеме в Microsoft, Apple и Google, но, насколько им известно, она до сих пор не устранена.

Это неудивительно, поскольку для ее устранения потребовались бы значительные усилия, включая демонтаж и ремонт устаревших систем, существовавших на протяжении четырех десятилетий, — говорит Алекс Лю, первый автор статьи и аспирант факультета компьютерных наук и инженерии Школы Джейкобса Калифорнийского университета в Сан-Диего.

Несмотря на то, что существуют определенные краткосрочные меры, позволяющие значительно снизить подверженность описанным нами атакам, в конечном итоге для того, чтобы эффективно противостоять спуфинговым атакам в будущем, электронная почта должна стоять на более прочной основе безопасности.

Команда представила свои результаты на 8-м Европейском симпозиуме IEEE по конфиденциальности и безопасности, проходившем с 3 по 7 июля 2023 г. в Делфте, где работа получила награду за лучший доклад.

Самые разные атаки

Исследователи разработали четыре различных типа атак с использованием переадресации.

В первых трех случаях предполагается, что противник контролирует учетные записи, которые отправляют и пересылают электронную почту. Кроме того, злоумышленнику необходимо иметь сервер, способный отправлять поддельные сообщения, и учетную запись у стороннего провайдера, позволяющую открытую пересылку.

Вначале злоумышленник создает личный аккаунт для пересылки, затем добавляет поддельный адрес в «белый список» аккаунта — список доменов, которые не будут блокироваться, даже если они не соответствуют стандартам безопасности. Злоумышленник настраивает свою учетную запись на пересылку всех писем на указанный адрес. Затем злоумышленник подделывает письмо так, чтобы оно выглядело как письмо от state.gov, и отправляет его на свою личную учетную запись Outlook. Затем злоумышленнику остается только переслать поддельное письмо своему адресату.

Более 12% из 100 тыс. наиболее популярных почтовых доменов Alexa — самых популярных доменов в Интернете — уязвимы для этой атаки. В их число входит большое количество новостных организаций, таких как Washington Post, Los Angeles Times и Associated Press, а также регистраторы доменов, такие как GoDaddy, финансовые службы, такие как Mastercard и Docusign, и крупные юридические фирмы. Кроме того, уязвимыми являются 32% доменов. gov, включая большинство правительственных учреждений США, ряд силовых ведомств, а также агентства, работающие в сфере здравоохранения, например CDC. На уровне штатов и местных органов власти уязвимы практически все первичные домены органов власти штатов, а более 40% всех доменов. gov используются городами.

Во втором варианте этой атаки злоумышленник создает личную учетную запись Outlook для пересылки поддельных сообщений на Gmail. В этом случае злоумышленник принимает облик домена, который также обслуживается Outlook, и отправляет поддельное сообщение со своего вредоносного сервера на личную учетную запись Outlook, которая, в свою очередь, пересылает его на ряд учетных записей Gmail.

Этой атаке подвержены около 1,9 млрд. пользователей по всему миру.

Исследователи также обнаружили разновидности этой атаки, работающие для четырех популярных сервисов рассылок: Google groups, mailman, listserv и Gaggle.

Возможные решения

Исследователи раскрыли все уязвимости и атаки провайдерам. Компания Zoho исправила свою проблему и наградила команду вознаграждением за ошибку. Компания Microsoft также получила вознаграждение и подтвердила наличие уязвимостей. Сервис рассылок Gaggle заявил, что изменит протоколы для решения проблемы. Gmail также устранил проблемы, о которых сообщила команда, а iCloud проводит расследование.

Но чтобы действительно разобраться в проблеме, исследователи рекомендуют отключить открытую пересылку — процесс, позволяющий пользователям настраивать свою учетную запись на пересылку сообщений на любой указанный адрес электронной почты без какой-либо проверки адресата. Этот процесс реализован в почтовых системах Gmail и Outlook. Кроме того, такие провайдеры, как Gmail и Outlook, неявно доверяют известным почтовым службам, доставляя сообщения, переадресованные этими почтовыми службами, независимо от их наличия.

Провайдерам также следует отказаться от предположения, что письма, приходящие от другого крупного провайдера, являются легитимными, — этот процесс называется ослаблением политики проверки.

Кроме того, исследователи рекомендуют спискам рассылки запрашивать подтверждение истинного адреса отправителя перед доставкой электронной почты.

Более фундаментальным подходом была бы стандартизация различных аспектов пересылки, — пишут исследователи.

Однако внесение таких изменений потребует общесистемного сотрудничества и, скорее всего, столкнется со многими эксплуатационными проблемами.

Методы

Для каждого сервиса исследователи создавали несколько тестовых учетных записей и использовали их для пересылки электронной почты на контролируемые ими учетные записи получателей. Затем они анализировали заголовки полученных писем, чтобы лучше понять, какой протокол пересылки использует сервис. Атаки были протестированы на 14 почтовых провайдерах, которые используются 46% наиболее популярных интернет-доменов и государственных доменов.

Также были созданы списки рассылки на существующих сервисах, предоставляемых UC San Diego и сервисом рассылок Gaggle.

Исследователи отправляли поддельные сообщения только на созданные ими самими учетные записи. Сначала они тестировали каждую атаку, подменяя созданные и контролируемые ими домены. Убедившись, что атаки работают, исследователи провели небольшой набор экспериментов, в которых подделывались электронные письма с реальных доменов. При этом поддельные письма отправлялись только на тестовые учетные записи, созданные исследователями.

Одна из фундаментальных проблем заключается в том, что протоколы безопасности электронной почты представляют собой распределенные, необязательные и независимо настраиваемые компоненты, — пишут исследователи.

Это создает большую и сложную поверхность атаки с множеством возможных взаимодействий, которые не может легко предвидеть или администрировать какая-либо одна сторона.

05.09.2023


Подписаться в Telegram



Безопасность

Акулы чаще нападают на людей не потому, что стали кровожаднее
Акулы чаще нападают на людей не потому, что стали кровожаднее

В 2023 году по всему миру увеличилось кол...

Journal of Conflict Archaeology: Впервые исследован кратер Первой мировой войны
Journal of Conflict Archaeology: Впервые исследован кратер Первой мировой войны

Впечатляющий подрыв взрывчатки на редуте ...

Ученые США выясняют, кто покупает оружие чаще остальных
Ученые США выясняют, кто покупает оружие чаще остальных

Обучение стрельбе из пистолета на ор...

Университет Калифорнии в Сан-Диего: Против скама нет приема
Университет Калифорнии в Сан-Диего: Против скама нет приема

Отправить письмо с поддельным адресом про...

Видеоролик про оружие снижает риск неосторожного обращения среди детей
Видеоролик про оружие снижает риск неосторожного обращения среди детей

В лаборатории Университета штата Огайо, замаск...

В Москве разработали рентген для углепластика
В Москве разработали рентген для углепластика

В Технополисе Москва создали инновационную сис...

Робот МЧС успешно десантировался с высоты 500 метров
Робот МЧС успешно десантировался с высоты 500 метров

Робот, созданный в особой экономической з...

Аэропорт Норильска оснастят уникальным российским интроскопом
Аэропорт Норильска оснастят уникальным российским интроскопом

Резидент особой экономической зоны Технополис ...

Новые датчики движения реагируют на пожарных
Новые датчики движения реагируют на пожарных

Исследователи из университета Макмастера ...

Владельцев оружия в США меньше, чем принято считать
Владельцев оружия в США меньше, чем принято считать

Большинство обывателей существенно переоценива...

Из первых ауксетиков, возможно, будут делать бронежилеты
Из первых ауксетиков, возможно, будут делать бронежилеты

Если растягивать какой-нибудь эластичный матер...

Разработан мини-огнетушитель для литиевых аккумуляторов
Разработан мини-огнетушитель для литиевых аккумуляторов

Как показали события последних месяцев, аккуму

Российские силовики рассекретили тяжелый роботизированный комплекс
Российские силовики рассекретили тяжелый роботизированный комплекс

Отечественное Минобороны представило уникальны...

Операторы Kovter зарабатывают на кликах
Операторы Kovter зарабатывают на кликах

ESET предупреждает о росте активности заг...

Системы контроля доступа: домофоны и другое важное оборудование
Системы контроля доступа: домофоны и другое важное оборудование

Обеспечить безопасность жилой или коммерч...

Поиск на сайте

Знатоки клуба инноваций


ТОП - Новости мира, инновации

Nature: Поражение лёгких при COVID долго не проходит из-за реакции иммунитета
Nature: Поражение лёгких при COVID долго не проходит из-за реакции иммунитета
JACS: Ученые выяснили, как повысить эффективность фотокатализа
JACS: Ученые выяснили, как повысить эффективность фотокатализа
В ПИШ КАИ создали «мост» к цифровому двойнику композитных преформ
В ПИШ КАИ создали «мост» к цифровому двойнику композитных преформ
Nature Energy: Создана мембрана для удаления CO2, работающая на влажности
Nature Energy: Создана мембрана для удаления CO2, работающая на влажности
Nature Communications: Доказана перспективность универсальной вакцины от гриппа
Nature Communications: Доказана перспективность универсальной вакцины от гриппа
PRC: Ядерная структура титана-48 меняется при наблюдении с разного расстояния
PRC: Ядерная структура титана-48 меняется при наблюдении с разного расстояния
PRSBBS: Несколько видов муравьев выработали одинаковые отношения с деревьями
PRSBBS: Несколько видов муравьев выработали одинаковые отношения с деревьями
Кристаллографы СПбГУ раскрыли структуру минерала, открытого более 70 лет назад
Кристаллографы СПбГУ раскрыли структуру минерала, открытого более 70 лет назад
В МТУСИ разработали систему отслеживания модели человека во время фитнеса
В МТУСИ разработали систему отслеживания модели человека во время фитнеса
Студенты СевГУ предложили способ найти сбежавшую собаку при помощи спутника
Студенты СевГУ предложили способ найти сбежавшую собаку при помощи спутника
Учёные КФУ разработали новые материалы для металл-ионных аккумуляторов
Учёные КФУ разработали новые материалы для металл-ионных аккумуляторов
Московский Политех открывает «Книгу будущего» для развития инновационных изданий
Московский Политех открывает «Книгу будущего» для развития инновационных изданий
Эффективность светодиодов для дополненной реальности выросла вдвое
Эффективность светодиодов для дополненной реальности выросла вдвое
Advanced Materials: Гидрогелевое средство контрацепции сможет лечить эндометриоз
Advanced Materials: Гидрогелевое средство контрацепции сможет лечить эндометриоз
Nature Physics: Новый коллайдер стал ближе с технологией маршалинга мюонов
Nature Physics: Новый коллайдер стал ближе с технологией маршалинга мюонов

Новости компаний, релизы

Московский вуз готовит профессионалов для защиты учебных заведений
Ведущие игроки агрорынка представят новинки на «Дне поля» в Агробиотехнопарке Казанского ГАУ
Московский Политех и ведущие российские компании запускают 79 практико-ориентированных образовательных программ
Студенты Университета МИСИС выиграли 2.8 млн рублей в хакатоне «Лидеры цифровой трансформации»
U-NOVUS 2024: технологическое развитие России немыслимо без университетов и инвестиций бизнеса в техпред