Email spoofing (спуфинг электронной почты)

Спуфинг электронной почты или email spoofing (от англ. spoof — обманывать, подделывать, имитировать) — это подделка адреса отправителя в электронных письмах.

Спуфинг электронной почты возможен главным образом благодаря особенностям структуры письма и отсутствию проверки служебных заголовков в основном почтовом протоколе — SMTP.

Структура электронного письма

Сообщение электронной почты состоит из следующих структурных элементов:

  • SMTP-конверт. Это элемент, в котором содержатся настоящие адреса отправителя и получателя. В почтовых клиентах он не отображается.
  • Заголовки. Это информация об отправителе, получателе, дате и теме сообщения, которая отображается в почтовом клиенте. Существует два основных заголовка, которые могут содержать адрес отправителя:
    • From — в этом поле отображается имя отправителя и адрес, с которого пришло письмо. Некоторые почтовые клиенты по умолчанию показывают только имя, на которое нужно нажать, чтобы увидеть адрес.
    • Reply-to — в этом поле содержится адрес получателя ответного письма. Он может отличаться от адреса отправителя. Большинство почтовых клиентов по умолчанию не показывают этот адрес, но позволяют настроить его отображение.
  • Тело письма. Это содержимое сообщения: текст, вложения и т. д.

Способы подмены адреса отправителя

Существует несколько разновидностей спуфинга электронной почты.

Использование схожего домена (lookalike domain). В заголовках отображается настоящий адрес отправителя, похожий на адрес организации, под которую маскируются злоумышленники. Для имитации чужого адреса, например info@example.com, атакующие могут использовать:

  • Домен первого уровня с похожим на оригинал написанием. Например, info@example.co.
  • Домен второго уровня .com для национальных доменов первого уровня. Например, info@example.com.ru.
  • Домен второго уровня, отличающийся от настоящего домена организации одним или парой символов. Например, info@exampIe.com c заглавной i вместо l.
  • Домен второго уровня, вызывающий ассоциации с компанией, письмо от которой подделывают злоумышленники. Например, info@example-support.com.
  • Название компании, письмо которой подделывают злоумышленники, в качестве имени почтового ящика. Сам ящик при этом располагается на общедоступном домене. Например, info.example@mail.ru.

Подмена имени отправителя. В этом случае в заголовках From и Reply-to содержится реальный адрес злоумышленников, а имя отправителя подделывается. Этот вариант подмены эффективен в почтовых клиентах, которые по умолчанию отображают только имя, например в мобильных почтовых клиентах.

В качестве имени отправителя злоумышленники могу указать:

  • Только поддельное имя (наименование, должность). В этом случае содержимое поля From будет выглядеть как Bob <alice@mail.ru>.
  • Поддельное имя с поддельным адресом электронной почты. Этот прием называется ghost spoofing. В этом случае содержимое поля From будет выглядеть так: Bob <bob@example.com> <alice@mail.ru>.

Изменение значения полей From и Reply-to. Поскольку в протоколе SMTP не предусмотрено никаких проверок подлинности содержимого заголовков, злоумышленник может подделывать не только имя отправителя, но и адреса электронной почты в полях From и Reply-to. В этом случае у получателя практически нет возможности отличить фейковое письмо от подлинного.

Применение спуфинга электронной почты

Email spoofing используется как в легитимных, так и во вредоносных целях. Легитимный спуфинг нужен:

  • когда компания для определенных задач использует внешних подрядчиков, но ответы от них должны приходить клиентам с адреса компании;
  • когда компания не хочет раскрывать адреса конкретных сотрудников, переписывающихся с клиентами от имени алиаса, например sales@example.com.

В легитимных целях применяется только полное изменение заголовков From и Reply-to.

Возможные вредоносные цели:

  • Спам. Злоумышленники рассылают сообщения от имени известных организаций или контактов получателя.
  • Фишинг. Злоумышленники подделывают email-адреса сервисов, чтобы убедить жертву перейти на фишинговый ресурс и ввести на нем учетные данные от аккаунта в соответствующем сервисе.
  • Компрометация корпоративной почты (BEC). Преступники притворяются сотрудниками, клиентами, партнерами или подрядчиками организации с целью вынудить реальных сотрудников перевести им деньги или выдать конфиденциальную информацию.
  • Вымогательство. Мошенник отправляет пользователю письмо от имени самого пользователя, утверждает, что взломал его почту, и требует деньги за возврат контроля над ящиком или шантажирует якобы собранной за время с момента взлома приватной информацией.

Защита от атак типа email spoofing

Для защиты от поддельных писем на уровне компании существует набор технологий, закрывающих уязвимости протокола SMTP:

  • Sender Police Framework (SPF) проверяет подлинность почтового сервера, с которого пришло письмо.
  • DomainKeys Identified Mail (DKIM) защищает письмо от подделки при помощи цифровой подписи.
  • Domain-based Message Authentication, Reporting and Conformance (DMARC) позволяет управлять технологиями SPF и DKIM и совершенствует их.

Минус этих защитных технологий в том, что они применяются не во всех организациях. При этом для успешной проверки подлинности письма необходимо, чтобы технология проверки поддерживалась и отправителем, и получателем. Тем не менее организация, внедрившая SPF, DKIM и/или DMARC, может защитить от подделок как минимум внутреннюю переписку.

Публикации на схожие темы

  • Сейчас вылетит (верифицированная) птичка, или как распознать фейк

  • Босс или мошенник? Обман под видом поручений начальства

  • Рекурсивный фишинг учетных данных для ESP

  • Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2023

  • Спам и фишинг в 2023 году

  • Прогноз по киберугрозам в потребительском сегменте на 2024 год