Postrážte si e-mail. Nielen vašu adresu môže každý sfalšovať.

Loading

Ak by vám prišla pohľadnica, na ktorej by bola rukou napísaná spiatočná adresa “Kancelária Prezidenta SR”, určite okamžite spoznáte, že nejde o reálneho odosielateľa, ale o podozrivý podvod alebo vtip.
U elektronickej obdoby korešpondenčného lístka, ale máme neurčitý pocit, že adresa odosielateľa je “overená počítačom”.

Bohužiaľ je to omyl, ktorý vás môže stáť peniaze alebo povesť.
Ktokoľvek (hovorme mu útočník, ale môže to byť i vtipkár) vám môže poslať správu s prakticky ľubovoľnú e-mailovou adresou odosielateľa.

  • Útočník nemusí poznať heslo používateľa, ktorého adresu falšuje.
  • Útočník nemusí byť hacker, nemusí vedieť programovať ani nepotrebuje špeciálnu techniku.
  • Útočník môže uviesť existujúce aj neexistujúcu adresu.
  • Útočník môže poslať správu, ktorá sa tvári ako správa od banky, firmy či jednotlivcov.
    Napodobniť môže ľubovoľnú doménu.

{googleads left}

Nebezpečenstvo zneužitia: podvody, spam aj sociálne inžinierstvo

Samotné podvrhnutie adresy však neznamená, že by sa útočník dostal k e-mailom zaslaných na túto adresu.
Z toho vyplýva, že útočník musí nejako zariadiť, aby odpoveď nebola nutná.

Existuje celý rad scenárov, v ktorých hrá hlavnú či vedľajšie rolu práve podvrhnutie odosielateľa e-mailovej adresy (tiež e-mail spoofing).

  1. Falošná správa od banky či inej finančnej inštitúcie.
    Zvyčajne obsahuje obsah, ktorý užívateľa zavedie na falošnú eStránku pre prihlásenie.
  2. Na mieru ušitý podvod využívajúci konkrétne údaje o obete.
    Takáto podvrhnutá správa sa môže tváriť ako e-mail od kamaráta, ktorý žiada o láskavosť (zvyčajne urgentný prevod peňazí nejakou anonymnou cestou).
    Môže ísť aj o spôsob, ako obeti “odporučiť” stiahnutie malwaru či špehovacej aplikácie.
    E-mail bude opäť obsahovať odkaz, takže nevyžaduje odpoveď.
  3. Snaha o vydávanie sa za konkrétnu osobu za účelom vnesenia zmätku do komunikácie, sabotáže, ohováranie a pod.
    Niekedy môže útočník skúsiť doplniť inú “reply-to” adresu a tak sa dostať aj k odpovedi na e-mail.
  4. Rozosielanie spamu z vašej e-mailovej adresy na neexistujúce adresy.
    Vám potom chodí upozornenie na nedoručiteľné správy, čím sa takáto správa dostane k vám.
    V takom prípade je dôležité nevydesiť sa: neznamená to, že niekto hackol vašu schránku a rozosiela z nej správy.
    Jednoducho vašu adresu podvrhol.
  5. Vtip v podobe zaslania správy z podvrhnutej adresy (ako 3).

V súčasnosti neexistuje dokonalá obrana proti týmto scenárom útoku.
Spamové filtre a ďalšie bezpečnostné opatrenia (pozri dMarc, SPF a DKIM ďalej) sú schopné mnohé z týchto útokov detekovať a eliminovať, no aj tak je nevyhnutná istá miera opatrnosti.

Ako funguje podvrhnutie adresy odosielateľa e-mailu

Adresa odosielateľa, rovnako ako akýkoľvek iný aspekt e-mailové správy, je z pohľadu počítačového systému pre rozosielanie e-mailov (tzv. Mailserver) obyčajný text.
Políčko “FROM” (odosielateľ) nie je pri odosielaní nijako kontrolované a záleží čisto na vašom e-mailovom programe, čo do tohto políčka doplní.

Jedna zo služieb, ktorá umožňuje posielať e-maily z ľubovoľnej adresy

Reklamy

Obyčajné poštové programy ani webmail nedávajú používateľom možnosť toto políčko zmeniť, skrátka preto, že by to bolo nepraktické.
To ale neznamená, že políčko zmeniť nejde. V praxi k tomu možno využiť niektorú z webových služieb na jednoduché podvrhnuté adresy (nebudeme je tu odkazovať) alebo, pre pokročilejších, vlastný program na vlastnom serveri, ktorý tiež môže posielať e-maily s úplne ľubovoľnou adresou odosielateľa.


Možno falošnú adresu odosielateľa nejako spoznať?


Teoreticky môžete rozpoznať, že adresu niekto podvrhol, ale nie je to jednoduché ani stopercentné.
Vyžaduje to zobraziť tzv. “Hlavičku” e-mailu (header), čo nie je niečo, čím sa bežný užívateľ zaoberá.
V hlavičke je možné v oddiely “Received:” vystopovať, ktorými servery sa e-mail dostal k vám.
Teoreticky teda môžete nájsť stopy po odosielateľovi správy.
Skôr ale, nájdete odkaz na nejaký server pre odosielanie anonymných správ, alebo dokonca nevinnú obeť malwaru, ktorej počítač sa premenil na rozosielač spamu.

Tiež si môžete všimnúť podozrivý text e-mailu, ktorý môže vybočovať z toho, na čo ste zvyknutí.
Napríklad, keď po vás chce banka zmenu hesla alebo vás e-mailom varuje, že máte nezaplatený dlh.
Väčšina českých i svetových bánk pritom výslovne uvádza, že vás cez e-mail nebude v takýchto záležitostiach kontaktovať
Zvyčajne vám pošlú list.
Banky a ďalšie inštitúcie si totiž dobre uvedomujú, ako neoverený – a teda podvržiteľný- je e-mailový “podpis” v podobe adresy odosielateľa.


Situácia sa lepší – moderné služby umožnia čiastočné overenie


Našťastie sa blýska na lepšie časy.
Mnohé e-mailové služby sa snažia podvrhnutiu adresy brániť rôznymi prostriedkami.
Jedným z najpoužívanejších je Domain-based Message Authentication, Reporting and Conformance (skrátene DMARC), systém pre validáciu e-mailových adries, alebo aspoň domén.
DMARC funguje od roku 2012 a dopĺňa dva staršie mechanizmy, Sender Policy Framework a DomainKeys Identified Mail.
Tieto kontrolné prostriedky zaisťujú, že adresa odosielateľa je zhodná s doménou, z ktorej bol e-mail odoslaný.
Ak zhodný nie je, môže byť e-mail s sfalšovanou adresou odmietnutý alebo aspoň označený ako podozrivý.

Ukážka domény bez DMARC záznamov

 

Záznamy DMARC pre doménu

Pomocou nástroja dmarcian.com si môžete overiť, či má tá, ktorá doména svoje DMARC záznamy a aké správanie odporúča v prípade, že nemožno pravosť daného e-mailu overiť pomocou SPF alebo DKIM.
Napríklad doména Facebook.com má nastavené striktné “reject” – inštruuje teda prijímajúci e-mailový server, aby v prípade rozporu takúto pochybne podpísanú správu odmietol.
Naopak doména fb.com, takisto vlastnená Facebookom, nemá nastavené hodnotu pre odmietnutie alebo karanténu, takže môže prejsť len s varovaním.

Ak sa niekto pokúsi podvrhnúť adresu z domény, ktorá vyžaduje overenie pomocou DMARC záznamu, bude IP adresa jeho mailového servera skoro po pokuse o podvrh zablokovaná.
Možno teda povedať, že toto opatrenie do značnej miery obmedzilo podvrhy e-mailových adries odosielateľa.
Ak sa niekto pokúsi podvrhnúť adresu z domény, ktorá vyžaduje overenie pomocou dMarc záznamu, bude IP adresa jeho mailového servera skoro po pokuse o podvrh zablokovaná. Možno teda povedať, že toto opatrenie do značnej miery obmedzilo podvrhy e-mailových adries odosielateľa.
Zďaleka nie všetky domény ale také overenie umožňujú.

Reklamy

PGP a GnuGP
Podpísané a šifrované správy
Pokročilí užívatelia môžu siahnuť k vysokému zabezpečeniu pomocou kombinácie verejného a súkromného kľúča, napríklad pomocou GnuPG (implementácie OpenPGP).

Ďalším krokom vpred je šifrovanie e-mailov pomocou Transport Layer Security (TLS), čo umožňuje zabezpečené posielanie e-mailu v prípade, že odosielajúca aj prijímajúca služba podporuje túto funkciu.
Pomáha tak zabrániť odpočúvaniu mailov na ceste medzi servermi.
Nejde o dokonalé riešenie, navyše ho nepodporujú všetci poskytovatelia. 

 

Ak e-mail nie je zašifrovaný, Gmail zobrazí varovanie v podobe otvoreného červeného zámku

Hoci je teda podvrhnutie e-mailovej adresy v bežnej situácii ťažšie, než tomu bývalo pred desiatimi rokmi, stále je to používaný spôsob útoku.
Výsledkom môže byť trapas, únik informácií alebo finančná škoda.
Najlepšie obranou je vedieť, že podvrhnutie e-mailovej adresy je jednoduchšie, ako sa môže zdať.

 

 

Reklamy

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *