Университет Калифорнии в Сан-Диего: Против скама нет приема

Отправить письмо с поддельным адресом проще, чем считалось ранее, из-за недостатков в процессе пересылки электронной почты, утверждает исследовательская группа под руководством ученых-компьютерщиков из Калифорнийского университета в Сан-Диего.

Обнаруженные исследователями проблемы имеют широкое влияние, затрагивая целостность электронной почты, отправляемой с десятков тысяч доменов, включая те, которые представляют организации правительства США — например, большинство почтовых доменов американского кабинета министров, включая state.gov, а также агентства безопасности. Уязвимы также ключевые финансовые компании, такие как Mastercard, и крупные новостные организации, такие как The Washington Post и Associated Press.

Это так называемая подделка на основе переадресации, и исследователи обнаружили, что они могут отправлять электронные сообщения, выдавая себя за эти организации, в обход защитных механизмов, установленных такими провайдерами электронной почты, как Gmail и Outlook. Получив поддельное письмо, адресаты с большей вероятностью откроют вложения, содержащие вредоносное ПО, или перейдут по ссылкам, устанавливающим на их компьютер шпионские программы.

По мнению исследователей, такая подделка возможна благодаря ряду уязвимостей, связанных с пересылкой писем. Оригинальный протокол, используемый для проверки подлинности письма, неявно предполагает, что каждая организация имеет собственную почтовую инфраструктуру с определенными IP-адресами, не используемыми другими доменами. Однако сегодня многие организации передают свою почтовую инфраструктуру на аутсорсинг Gmail и Outlook. В результате тысячи доменов делегировали право на отправку электронной почты от своего имени одной и той же третьей стороне. Хотя эти сторонние провайдеры подтверждают, что их пользователи отправляют электронную почту только от имени доменов, которыми они управляют, эту защиту можно обойти с помощью переадресации электронной почты.

Например, state.gov, почтовый домен Государственного департамента, позволяет Outlook отправлять электронные сообщения от его имени. Это означает, что письма, утверждающие, что они приходят от state.gov, будут считаться легитимными, если они приходят с почтовых серверов Outlook. В результате злоумышленник может создать поддельное письмо — письмо с фальшивыми данными, например, от Государственного департамента, — а затем переслать его через свою личную учетную запись Outlook. После этого поддельное письмо будет восприниматься получателем как легитимное, поскольку оно пришло с почтового сервера Outlook.

Подобный дефект существует и для пяти других почтовых провайдеров, включая iCloud. Исследователи также обнаружили другие более мелкие проблемы, затрагивающие пользователей Gmail и Zohomail — популярного в Индии почтового провайдера.

Исследователи сообщили о проблеме в Microsoft, Apple и Google, но, насколько им известно, она до сих пор не устранена.

Это неудивительно, поскольку для ее устранения потребовались бы значительные усилия, включая демонтаж и ремонт устаревших систем, существовавших на протяжении четырех десятилетий, — говорит Алекс Лю, первый автор статьи и аспирант факультета компьютерных наук и инженерии Школы Джейкобса Калифорнийского университета в Сан-Диего.

Несмотря на то, что существуют определенные краткосрочные меры, позволяющие значительно снизить подверженность описанным нами атакам, в конечном итоге для того, чтобы эффективно противостоять спуфинговым атакам в будущем, электронная почта должна стоять на более прочной основе безопасности.

Команда представила свои результаты на 8-м Европейском симпозиуме IEEE по конфиденциальности и безопасности, проходившем с 3 по 7 июля 2023 г. в Делфте, где работа получила награду за лучший доклад.

Самые разные атаки

Исследователи разработали четыре различных типа атак с использованием переадресации.

В первых трех случаях предполагается, что противник контролирует учетные записи, которые отправляют и пересылают электронную почту. Кроме того, злоумышленнику необходимо иметь сервер, способный отправлять поддельные сообщения, и учетную запись у стороннего провайдера, позволяющую открытую пересылку.

Вначале злоумышленник создает личный аккаунт для пересылки, затем добавляет поддельный адрес в «белый список» аккаунта — список доменов, которые не будут блокироваться, даже если они не соответствуют стандартам безопасности. Злоумышленник настраивает свою учетную запись на пересылку всех писем на указанный адрес. Затем злоумышленник подделывает письмо так, чтобы оно выглядело как письмо от state.gov, и отправляет его на свою личную учетную запись Outlook. Затем злоумышленнику остается только переслать поддельное письмо своему адресату.

Более 12% из 100 тыс. наиболее популярных почтовых доменов Alexa — самых популярных доменов в Интернете — уязвимы для этой атаки. В их число входит большое количество новостных организаций, таких как Washington Post, Los Angeles Times и Associated Press, а также регистраторы доменов, такие как GoDaddy, финансовые службы, такие как Mastercard и Docusign, и крупные юридические фирмы. Кроме того, уязвимыми являются 32% доменов. gov, включая большинство правительственных учреждений США, ряд силовых ведомств, а также агентства, работающие в сфере здравоохранения, например CDC. На уровне штатов и местных органов власти уязвимы практически все первичные домены органов власти штатов, а более 40% всех доменов. gov используются городами.

Во втором варианте этой атаки злоумышленник создает личную учетную запись Outlook для пересылки поддельных сообщений на Gmail. В этом случае злоумышленник принимает облик домена, который также обслуживается Outlook, и отправляет поддельное сообщение со своего вредоносного сервера на личную учетную запись Outlook, которая, в свою очередь, пересылает его на ряд учетных записей Gmail.

Этой атаке подвержены около 1,9 млрд. пользователей по всему миру.

Исследователи также обнаружили разновидности этой атаки, работающие для четырех популярных сервисов рассылок: Google groups, mailman, listserv и Gaggle.

Возможные решения

Исследователи раскрыли все уязвимости и атаки провайдерам. Компания Zoho исправила свою проблему и наградила команду вознаграждением за ошибку. Компания Microsoft также получила вознаграждение и подтвердила наличие уязвимостей. Сервис рассылок Gaggle заявил, что изменит протоколы для решения проблемы. Gmail также устранил проблемы, о которых сообщила команда, а iCloud проводит расследование.

Но чтобы действительно разобраться в проблеме, исследователи рекомендуют отключить открытую пересылку — процесс, позволяющий пользователям настраивать свою учетную запись на пересылку сообщений на любой указанный адрес электронной почты без какой-либо проверки адресата. Этот процесс реализован в почтовых системах Gmail и Outlook. Кроме того, такие провайдеры, как Gmail и Outlook, неявно доверяют известным почтовым службам, доставляя сообщения, переадресованные этими почтовыми службами, независимо от их наличия.

Провайдерам также следует отказаться от предположения, что письма, приходящие от другого крупного провайдера, являются легитимными, — этот процесс называется ослаблением политики проверки.

Кроме того, исследователи рекомендуют спискам рассылки запрашивать подтверждение истинного адреса отправителя перед доставкой электронной почты.

Более фундаментальным подходом была бы стандартизация различных аспектов пересылки, — пишут исследователи.

Однако внесение таких изменений потребует общесистемного сотрудничества и, скорее всего, столкнется со многими эксплуатационными проблемами.

Методы

Для каждого сервиса исследователи создавали несколько тестовых учетных записей и использовали их для пересылки электронной почты на контролируемые ими учетные записи получателей. Затем они анализировали заголовки полученных писем, чтобы лучше понять, какой протокол пересылки использует сервис. Атаки были протестированы на 14 почтовых провайдерах, которые используются 46% наиболее популярных интернет-доменов и государственных доменов.

Также были созданы списки рассылки на существующих сервисах, предоставляемых UC San Diego и сервисом рассылок Gaggle.

Исследователи отправляли поддельные сообщения только на созданные ими самими учетные записи. Сначала они тестировали каждую атаку, подменяя созданные и контролируемые ими домены. Убедившись, что атаки работают, исследователи провели небольшой набор экспериментов, в которых подделывались электронные письма с реальных доменов. При этом поддельные письма отправлялись только на тестовые учетные записи, созданные исследователями.

Одна из фундаментальных проблем заключается в том, что протоколы безопасности электронной почты представляют собой распределенные, необязательные и независимо настраиваемые компоненты, — пишут исследователи.

Это создает большую и сложную поверхность атаки с множеством возможных взаимодействий, которые не может легко предвидеть или администрировать какая-либо одна сторона.

05.09.2023


Подписаться в Telegram



Безопасность

Акулы чаще нападают на людей не потому, что стали кровожаднее
Акулы чаще нападают на людей не потому, что стали кровожаднее

В 2023 году по всему миру увеличилось кол...

Journal of Conflict Archaeology: Впервые исследован кратер Первой мировой войны
Journal of Conflict Archaeology: Впервые исследован кратер Первой мировой войны

Впечатляющий подрыв взрывчатки на редуте ...

Ученые США выясняют, кто покупает оружие чаще остальных
Ученые США выясняют, кто покупает оружие чаще остальных

Обучение стрельбе из пистолета на ор...

Университет Калифорнии в Сан-Диего: Против скама нет приема
Университет Калифорнии в Сан-Диего: Против скама нет приема

Отправить письмо с поддельным адресом про...

Видеоролик про оружие снижает риск неосторожного обращения среди детей
Видеоролик про оружие снижает риск неосторожного обращения среди детей

В лаборатории Университета штата Огайо, замаск...

В Москве разработали рентген для углепластика
В Москве разработали рентген для углепластика

В Технополисе Москва создали инновационную сис...

Робот МЧС успешно десантировался с высоты 500 метров
Робот МЧС успешно десантировался с высоты 500 метров

Робот, созданный в особой экономической з...

Аэропорт Норильска оснастят уникальным российским интроскопом
Аэропорт Норильска оснастят уникальным российским интроскопом

Резидент особой экономической зоны Технополис ...

Новые датчики движения реагируют на пожарных
Новые датчики движения реагируют на пожарных

Исследователи из университета Макмастера ...

Владельцев оружия в США меньше, чем принято считать
Владельцев оружия в США меньше, чем принято считать

Большинство обывателей существенно переоценива...

Из первых ауксетиков, возможно, будут делать бронежилеты
Из первых ауксетиков, возможно, будут делать бронежилеты

Если растягивать какой-нибудь эластичный матер...

Разработан мини-огнетушитель для литиевых аккумуляторов
Разработан мини-огнетушитель для литиевых аккумуляторов

Как показали события последних месяцев, аккуму

Российские силовики рассекретили тяжелый роботизированный комплекс
Российские силовики рассекретили тяжелый роботизированный комплекс

Отечественное Минобороны представило уникальны...

Операторы Kovter зарабатывают на кликах
Операторы Kovter зарабатывают на кликах

ESET предупреждает о росте активности заг...

Системы контроля доступа: домофоны и другое важное оборудование
Системы контроля доступа: домофоны и другое важное оборудование

Обеспечить безопасность жилой или коммерч...

Предъявите ваш череп, пожалуйста
Предъявите ваш череп, пожалуйста

Службы безопасности различного уровня и п...

Достоверность доказательств еще надо доказать
Достоверность доказательств еще надо доказать

Телезрители редко обращают внимание на то...

Поиск на сайте

Знатоки клуба инноваций


ТОП - Новости мира, инновации

ESA: Первые снимки Евклида показали миллиарды осиротевших звезд
ESA: Первые снимки Евклида показали миллиарды осиротевших звезд
Heliyon: Ученые нашли виновника тяжелых отравлений благодаря новому методу ПЦР
Heliyon: Ученые нашли виновника тяжелых отравлений благодаря новому методу ПЦР
Energy Materials and Devices: Создан тандемный солнечный элемент с КПД более 20%
Energy Materials and Devices: Создан тандемный солнечный элемент с КПД более 20%
Child Development: Отношения с матерью влияют на умение дружить и растить детей
Child Development: Отношения с матерью влияют на умение дружить и растить детей
EMBO Reports: Растения-однолюбы находят одного партнера на всю жизнь
EMBO Reports: Растения-однолюбы находят одного партнера на всю жизнь
New Media & Society: Геймеры находят оправдание смурфингу, хотя он их и бесит
New Media & Society: Геймеры находят оправдание смурфингу, хотя он их и бесит
Nature Neuroscience: Ученые доказали, что терпение приносит свои плоды
Nature Neuroscience: Ученые доказали, что терпение приносит свои плоды
Познакомьтесь со странной амфибией, которая выкармливает своих детенышей молоком
Познакомьтесь со странной амфибией, которая выкармливает своих детенышей молоком
Climate Dynamics: Вот как условия на суше влияют на муссонный климат Азии
Climate Dynamics: Вот как условия на суше влияют на муссонный климат Азии
В 40% случаев люди ошибочно называют сгенерированное фото человека реальным
В 40% случаев люди ошибочно называют сгенерированное фото человека реальным
Nature Communications: Открыто революционное явление в жидких кристаллах
Nature Communications: Открыто революционное явление в жидких кристаллах
Current Biology: Исследование брачного поведения показывает эволюцию влечения
Current Biology: Исследование брачного поведения показывает эволюцию влечения
BioDesign Research: Для производства каротиноидов разработали специальные дрожжи
BioDesign Research: Для производства каротиноидов разработали специальные дрожжи
Nature Communications: В мигрирующих нейронах найден конус роста
Nature Communications: В мигрирующих нейронах найден конус роста
Scientific Reports: Реакция на происходящее влияет на понимание будущих событий
Scientific Reports: Реакция на происходящее влияет на понимание будущих событий

Новости компаний, релизы

Физики СПбГУ и Института проблем машиноведения РАН улучшили ударопрочные характеристики нержавеющей стали
КВЗ принимает заявки на целевое обучение в проект «Крылья Ростеха»
Ученые СПбГУ смоделировали сценарии появления таликов в вечной мерзлоте Антарктиды
Треть работодателей тратят на адаптацию одного нового сотрудника до 100 тысяч рублей
Палеонтолог СПбГУ описал новый вид динозавров-бегунов из Кемеровской области