Email spoofing (спуфинг электронной почты)

Спуфинг электронной почты или email spoofing (от англ. spoof — обманывать, подделывать, имитировать) — это подделка адреса отправителя в электронных письмах.

Спуфинг электронной почты возможен главным образом благодаря особенностям структуры письма и отсутствию проверки служебных заголовков в основном почтовом протоколе — SMTP.

Структура электронного письма

Сообщение электронной почты состоит из следующих структурных элементов:

  • SMTP-конверт. Это элемент, в котором содержатся настоящие адреса отправителя и получателя. В почтовых клиентах он не отображается.
  • Заголовки. Это информация об отправителе, получателе, дате и теме сообщения, которая отображается в почтовом клиенте. Существует два основных заголовка, которые могут содержать адрес отправителя:
    • From — в этом поле отображается имя отправителя и адрес, с которого пришло письмо. Некоторые почтовые клиенты по умолчанию показывают только имя, на которое нужно нажать, чтобы увидеть адрес.
    • Reply-to — в этом поле содержится адрес получателя ответного письма. Он может отличаться от адреса отправителя. Большинство почтовых клиентов по умолчанию не показывают этот адрес, но позволяют настроить его отображение.
  • Тело письма. Это содержимое сообщения: текст, вложения и т. д.

Способы подмены адреса отправителя

Существует несколько разновидностей спуфинга электронной почты.

Использование схожего домена (lookalike domain). В заголовках отображается настоящий адрес отправителя, похожий на адрес организации, под которую маскируются злоумышленники. Для имитации чужого адреса, например info@example.com, атакующие могут использовать:

  • Домен первого уровня с похожим на оригинал написанием. Например, info@example.co.
  • Домен второго уровня .com для национальных доменов первого уровня. Например, info@example.com.ru.
  • Домен второго уровня, отличающийся от настоящего домена организации одним или парой символов. Например, info@exampIe.com c заглавной i вместо l.
  • Домен второго уровня, вызывающий ассоциации с компанией, письмо от которой подделывают злоумышленники. Например, info@example-support.com.
  • Название компании, письмо которой подделывают злоумышленники, в качестве имени почтового ящика. Сам ящик при этом располагается на общедоступном домене. Например, info.example@mail.ru.

Подмена имени отправителя. В этом случае в заголовках From и Reply-to содержится реальный адрес злоумышленников, а имя отправителя подделывается. Этот вариант подмены эффективен в почтовых клиентах, которые по умолчанию отображают только имя, например в мобильных почтовых клиентах.

В качестве имени отправителя злоумышленники могу указать:

  • Только поддельное имя (наименование, должность). В этом случае содержимое поля From будет выглядеть как Bob <alice@mail.ru>.
  • Поддельное имя с поддельным адресом электронной почты. Этот прием называется ghost spoofing. В этом случае содержимое поля From будет выглядеть так: Bob <bob@example.com> <alice@mail.ru>.

Изменение значения полей From и Reply-to. Поскольку в протоколе SMTP не предусмотрено никаких проверок подлинности содержимого заголовков, злоумышленник может подделывать не только имя отправителя, но и адреса электронной почты в полях From и Reply-to. В этом случае у получателя практически нет возможности отличить фейковое письмо от подлинного.

Применение спуфинга электронной почты

Email spoofing используется как в легитимных, так и во вредоносных целях. Легитимный спуфинг нужен:

  • когда компания для определенных задач использует внешних подрядчиков, но ответы от них должны приходить клиентам с адреса компании;
  • когда компания не хочет раскрывать адреса конкретных сотрудников, переписывающихся с клиентами от имени алиаса, например sales@example.com.

В легитимных целях применяется только полное изменение заголовков From и Reply-to.

Возможные вредоносные цели:

  • Спам. Злоумышленники рассылают сообщения от имени известных организаций или контактов получателя.
  • Фишинг. Злоумышленники подделывают email-адреса сервисов, чтобы убедить жертву перейти на фишинговый ресурс и ввести на нем учетные данные от аккаунта в соответствующем сервисе.
  • Компрометация корпоративной почты (BEC). Преступники притворяются сотрудниками, клиентами, партнерами или подрядчиками организации с целью вынудить реальных сотрудников перевести им деньги или выдать конфиденциальную информацию.
  • Вымогательство. Мошенник отправляет пользователю письмо от имени самого пользователя, утверждает, что взломал его почту, и требует деньги за возврат контроля над ящиком или шантажирует якобы собранной за время с момента взлома приватной информацией.

Защита от атак типа email spoofing

Для защиты от поддельных писем на уровне компании существует набор технологий, закрывающих уязвимости протокола SMTP:

  • Sender Police Framework (SPF) проверяет подлинность почтового сервера, с которого пришло письмо.
  • DomainKeys Identified Mail (DKIM) защищает письмо от подделки при помощи цифровой подписи.
  • Domain-based Message Authentication, Reporting and Conformance (DMARC) позволяет управлять технологиями SPF и DKIM и совершенствует их.

Минус этих защитных технологий в том, что они применяются не во всех организациях. При этом для успешной проверки подлинности письма необходимо, чтобы технология проверки поддерживалась и отправителем, и получателем. Тем не менее организация, внедрившая SPF, DKIM и/или DMARC, может защитить от подделок как минимум внутреннюю переписку.

Продукты по теме

Kaspersky Premium для дома
Kaspersky Security для Microsoft Office 365
Kaspersky Mail Server Security

Публикации на схожие темы

  • Атака «Браузер в браузере» — от теории к практике

  • Фишинг через Google Задачи

  • Зимняя Олимпиада: как не отдать золото мошенникам