Спуфинг электронной почты или email spoofing (от англ. spoof — обманывать, подделывать, имитировать) — это подделка адреса отправителя в электронных письмах.
Спуфинг электронной почты возможен главным образом благодаря особенностям структуры письма и отсутствию проверки служебных заголовков в основном почтовом протоколе — SMTP.
Структура электронного письма
Сообщение электронной почты состоит из следующих структурных элементов:
- SMTP-конверт. Это элемент, в котором содержатся настоящие адреса отправителя и получателя. В почтовых клиентах он не отображается.
- Заголовки. Это информация об отправителе, получателе, дате и теме сообщения, которая отображается в почтовом клиенте. Существует два основных заголовка, которые могут содержать адрес отправителя:
- From — в этом поле отображается имя отправителя и адрес, с которого пришло письмо. Некоторые почтовые клиенты по умолчанию показывают только имя, на которое нужно нажать, чтобы увидеть адрес.
- Reply-to — в этом поле содержится адрес получателя ответного письма. Он может отличаться от адреса отправителя. Большинство почтовых клиентов по умолчанию не показывают этот адрес, но позволяют настроить его отображение.
- Тело письма. Это содержимое сообщения: текст, вложения и т. д.
Способы подмены адреса отправителя
Существует несколько разновидностей спуфинга электронной почты.
Использование схожего домена (lookalike domain). В заголовках отображается настоящий адрес отправителя, похожий на адрес организации, под которую маскируются злоумышленники. Для имитации чужого адреса, например info@example.com, атакующие могут использовать:
- Домен первого уровня с похожим на оригинал написанием. Например, info@example.co.
- Домен второго уровня .com для национальных доменов первого уровня. Например, info@example.com.ru.
- Домен второго уровня, отличающийся от настоящего домена организации одним или парой символов. Например, info@exampIe.com c заглавной i вместо l.
- Домен второго уровня, вызывающий ассоциации с компанией, письмо от которой подделывают злоумышленники. Например, info@example-support.com.
- Название компании, письмо которой подделывают злоумышленники, в качестве имени почтового ящика. Сам ящик при этом располагается на общедоступном домене. Например, info.example@mail.ru.
Подмена имени отправителя. В этом случае в заголовках From и Reply-to содержится реальный адрес злоумышленников, а имя отправителя подделывается. Этот вариант подмены эффективен в почтовых клиентах, которые по умолчанию отображают только имя, например в мобильных почтовых клиентах.
В качестве имени отправителя злоумышленники могу указать:
- Только поддельное имя (наименование, должность). В этом случае содержимое поля From будет выглядеть как Bob <alice@mail.ru>.
- Поддельное имя с поддельным адресом электронной почты. Этот прием называется ghost spoofing. В этом случае содержимое поля From будет выглядеть так: Bob <bob@example.com> <alice@mail.ru>.
Изменение значения полей From и Reply-to. Поскольку в протоколе SMTP не предусмотрено никаких проверок подлинности содержимого заголовков, злоумышленник может подделывать не только имя отправителя, но и адреса электронной почты в полях From и Reply-to. В этом случае у получателя практически нет возможности отличить фейковое письмо от подлинного.
Применение спуфинга электронной почты
Email spoofing используется как в легитимных, так и во вредоносных целях. Легитимный спуфинг нужен:
- когда компания для определенных задач использует внешних подрядчиков, но ответы от них должны приходить клиентам с адреса компании;
- когда компания не хочет раскрывать адреса конкретных сотрудников, переписывающихся с клиентами от имени алиаса, например sales@example.com.
В легитимных целях применяется только полное изменение заголовков From и Reply-to.
Возможные вредоносные цели:
- Спам. Злоумышленники рассылают сообщения от имени известных организаций или контактов получателя.
- Фишинг. Злоумышленники подделывают email-адреса сервисов, чтобы убедить жертву перейти на фишинговый ресурс и ввести на нем учетные данные от аккаунта в соответствующем сервисе.
- Компрометация корпоративной почты (BEC). Преступники притворяются сотрудниками, клиентами, партнерами или подрядчиками организации с целью вынудить реальных сотрудников перевести им деньги или выдать конфиденциальную информацию.
- Вымогательство. Мошенник отправляет пользователю письмо от имени самого пользователя, утверждает, что взломал его почту, и требует деньги за возврат контроля над ящиком или шантажирует якобы собранной за время с момента взлома приватной информацией.
Защита от атак типа email spoofing
Для защиты от поддельных писем на уровне компании существует набор технологий, закрывающих уязвимости протокола SMTP:
- Sender Police Framework (SPF) проверяет подлинность почтового сервера, с которого пришло письмо.
- DomainKeys Identified Mail (DKIM) защищает письмо от подделки при помощи цифровой подписи.
- Domain-based Message Authentication, Reporting and Conformance (DMARC) позволяет управлять технологиями SPF и DKIM и совершенствует их.
Минус этих защитных технологий в том, что они применяются не во всех организациях. При этом для успешной проверки подлинности письма необходимо, чтобы технология проверки поддерживалась и отправителем, и получателем. Тем не менее организация, внедрившая SPF, DKIM и/или DMARC, может защитить от подделок как минимум внутреннюю переписку.