איך שולחי דואר זבל מזייפים את כתובת הדואר האלקטרוני שלך (ואיך להגן על עצמך)

רובנו מכירים דואר זבל כשאנחנו רואים אותו, אבל לראות מייל מוזר מחבר - או גרוע מזה, מעצמנו - בתיבת הדואר הנכנס שלנו זה די מטריד. אם ראיתם מייל שנראה כאילו הוא מחבר, זה לא אומר שהוא נפרץ. שולחי דואר זבל מזייפים את הכתובות האלה כל הזמן, וזה לא קשה לעשות זאת. הנה איך הם עושים את זה ואיך אתה יכול להגן על עצמך.

שולחי דואר זבל מזייפים כתובות אימייל במשך זמן רב. לפני שנים, הם נהגו לקבל רשימות אנשי קשר ממחשבים נגועים בתוכנה זדונית. גנבי הנתונים של היום בוחרים את המטרות שלהם בקפידה, ומדייטים אותם עם הודעות שנראות כאילו הגיעו מחברים, ממקורות אמינים, או אפילו מהחשבון שלהם.

מסתבר שזיוף כתובות אימייל אמיתיות הוא קל להפתיע, וחלק מהסיבה שהתחזות היא בעיה כזו. מהנדס מערכות, ה-CISSP השאפתן וקורא Lifehacker, מתיו, הסבירו לנו כיצד זה עובד, אך גם הפתיעו אותנו בכך ששלחו לנו דוא"ל לכמה מאיתנו ב-Lifehacker מכתובות דוא"ל של כותבי Lifehacker אחרים. למרות העובדה שידענו שזה אפשרי - כולנו קיבלנו דואר זבל בעבר - זה היה מטריד יותר להיותמְרוּמֶהעל ידו. אז, דיברנו איתו על איך הוא עשה את זה ומה אנשים יכולים לעשות כדי להגן על עצמם.

הערה: מה להלן הוא כתיבה טכנית למדי, המיועדת לאנשים יותר מביני מחשבים. אם אתה רוצה סקירה בסיסית יותר על הימנעות מספאם והונאות,גם לנו יש אחד כזה.

קצת היסטוריה: מדוע כתובות דוא"ל מזויפות כל כך בקלות

כיום, לרוב ספקי הדואר האלקטרוני נפתרה בעיית הספאם - לפחות לשביעות רצונם. ל-Gmail ול-Outlook יש אלגוריתמים חזקים ומתוחכמים לתפיסת דואר זבל וכלי סינון רבי עוצמה. עם זאת, בתחילת שנות ה-2000, זה לא היה המקרה. דואר זבל היה עדיין בעיה ענקית ששרתי הדואר עדיין לא התמודדו עליה ברצינות, ופחות מכך פיתחו כלים מתקדמים לניהול.

בשנת 2003,מנג וונג וונגהציע דרך לשרתי דואר "לוודא" שכתובת ה-IP (המספר הייחודי המזהה מחשב באינטרנט) ששולחת הודעה הייתה מורשית לשלוח דואר מטעם דומיין ספציפי. זה נקרא הטופס מורשה השולח(שונה ל-"Sender Policy Framework" ב-2004), ומתיו מסביר כיצד זה עובד:

בכל פעם שנשלחה הודעת דוא"ל, שרת הדוא"ל המקבל ישווה את ה-IP של מקור ההודעה עם כתובת ה-IP הרשומה ברשומת ה-SPF עבור המארח של כתובת הדוא"ל (החלק "@example.com").

אם שתי כתובות ה-IP תואמות, ייתכן שהמייל יעבור לנמען המיועד. אם כתובות ה-IP לא תואמות, האימייל יסומן כדואר זבל או יידחה לחלוטין. הנטל להחליט על התוצאה היה לגמרי בידי השרת המקבל.

במהלך השנים, רשומות SPF התפתחו (ה-RFC האחרון היה

פורסם באפריל 2014

), ולרוב הדומיינים באינטרנט יש רשומות SPF (אתה יכול

חפש אותם כאן

).

כאשר אתה רושם דומיין, אתה רושם גם מספר רשומות DNS הנלוות אליו. רשומות אלה מודיעות לעולם עם אילו מחשבים לדבר בהתאם למה שהם רוצים לעשות (אימייל, אינטרנט, FTP וכן הלאה). רשומת ה-SPF היא דוגמה, ובאופן אידיאלי היא תוודא שכל שרתי הדואר באינטרנט ידעו שאנשים ששולחים אימייל מ, למשל, @lifehacker.com, הם למעשה משתמשים מורשיםומחשבים.

עם זאת, שיטה זו אינה מושלמת, וזה חלק מהסיבה שהיא לא תפסה לחלוטין. רשומות SPF דורשות ניהול - מישהו בעצם מוסיף כתובות IP חדשות ומסיר ישנות, וזמן לרשומה להתפשט ברחבי האינטרנט בכל פעם שבוצע שינוי. (לְעַדְכֵּן: בעבר קשרנו בדיקות SPF לכתובות IP של משתמשים, כאשר הטכנולוגיה משמשת בפועל על ידי מארחי דואר כדי לוודא שהשרת שדרכו עוברת הודעה הוא שולח מורשה מטעם דומיין נתון, לא שהשרתהֶתקֵןבשימוש מורשה לשלוח בשם כתובת נתונה. סליחה על הבלבול, ותודה למגיבים שציינו זאת!) רוב החברות משתמשות בכל מקרה בגרסה רכה של SPF. במקום להסתכן בתוצאות כוזבות על ידי חסימת דואר שימושי, הם מיישמים כישלונות "קשים" ו"רכים". מארחי דוא"ל גם שחררו את ההגבלות שלהם לגבי מה שקורה להודעות שנכשלות בבדיקה זו. כתוצאה מכך, אימייל קל יותר לניהול של תאגידים, אבל דיוג הוא קל ובעיה גדולה.

ואז, ב-2012, הוצג סוג תקליט חדש, שנועד לעבוד לצד SPF. זה נקרא DMARC, אואימות, דיווח והתאמה של הודעות מבוססות דומיין. לאחר שנה אחת, הוא מורחב כדי להגןמספר רב של תיבות דואר לצרכנים(למרות שה-60% המוצהרים בעצמם הם כנראה אופטימיים.) מתיו מסביר את הפרטים:

ה-DMARC מסתכם בשני דגלים חשובים (אם כי ישנם 10 בסך הכל) - דגל "p", המורה לשרתים המקבלים כיצד להתמודד עם מיילים שעלולים להיות מזויפים, או על ידי דחייה, הסגר או מעבר; והדגל "rua", שאומר לשרתים המקבלים היכן הם יכולים לשלוח דיווח על הודעות שנכשלו (בדרך כלל כתובת אימייל בקבוצת האבטחה של מנהל הדומיין). רשומת DMARC פותרת את רוב הבעיות עם רשומות SPF על ידי לקיחת נטל ההחלטה כיצד להגיב הרחק מהנמען.

הבעיה היא שעדיין לא כולם משתמשים ב-DMARC.

הכלי השימושי הזה

מאפשר לך לבצע שאילתות על רשומת DMARC של כל דומיין - נסה אותה בכמה מהמועדפים שלך (gawker.com, whitehouse.gov, redcross.org, reddit.com). שמת לב למשהו? אף אחד מהם לא פרסם רשומות DMARC. זה אומר שלכל מארח דוא"ל שינסה לציית לכללי DMARC לא יהיו הוראות כיצד לטפל בהודעות דוא"ל שנכשלו ב-SPF, וכנראה יאפשר להם לעבור. זה מה שגוגל עושה עם Gmail (ו-Google Apps), וזו הסיבה שהודעות דוא"ל מזויפות יכולות לעבור לתיבת הדואר הנכנס שלך.

כדי להוכיח שגוגל אכן שמה לב לרשומות DMARC, עיין ברשומת DMARC של facebook.com - דגל ה-"p" מציין שהנמענים צריכים לדחות מיילים, ולשלוח דיווח על כך למנהל הדואר בפייסבוק. כעת נסה לזייף אימייל מ-facebook.com ולשלוח אותו לכתובת Gmail - זה לא יעבור. כעת תסתכל על רשומת ה-DMARC עבור fb.com - היא מציינת שאסור לדחות אימייל, אך יש להגיש דיווח בכל זאת. ואם תבדוק את זה, מיילים מ[email protected] יעברו.

מתיו גם ציין ש"דוח מנהל הדואר" אינו בדיחה. כאשר הוא ניסה לזייף דומיין עם רשומת DMARC, שרת ה-SMTP שלו נחסם תוך פחות מ-24 שעות. בבדיקה שלנו, שמנו לב לאותו הדבר. אם דומיין מוגדר כהלכה, הם ישימו קץ להודעות המזויפות הללו במהירות - או לפחות עד שהמזוייף ישתמש בכתובת IP אחרת. עם זאת, תחום שאין לו רשומות DMARC הוא משחק הוגן. אתה יכול לזייף אותם במשך חודשים ואף אחד בקצה השליחה לא ישים לב - זה יהיה תלוי בספק הדואר המקבל להגן על המשתמשים שלהם (או על ידי סימון ההודעה כדואר זבל על סמך תוכן, או על סמך בדיקת SPF שנכשלה של ההודעה. )

כיצד שולחי דואר זבל מזייפים כתובות דואר אלקטרוני

הכלים הדרושים לזיוף כתובות דוא"ל קל להפתיע להשיג. כל מה שאתה צריך זה שרת SMTP עובד (המכונה גם שרת שיכול לשלוח דואר אלקטרוני), ותוכנת דיוור נכונה.

כל מארח אינטרנט טוב יספק לך שרת SMTP. (אתה יכול גם להתקין SMTP במערכת שבבעלותך, יציאה 25 - היציאה המשמשת לאימייל יוצא, נחסמת בדרך כלל על ידי ספקי שירותי אינטרנט. זה נועד במיוחד כדי להימנע מהסוג של תוכנות זדוניות של דואר המונים שראינו בתחילת שנות ה-2000). מתיחה עלינו, נהג מתיוPHP Mailer. זה קל להבנה, קל להתקנה, ואפילו יש לו ממשק אינטרנט. פתח את PHP Mailer, חבר את ההודעה שלך, הכנס את הכתובות "מאת" ו"אל" ולחץ על שלח. בצד הנמען, הם יקבלו אימייל בתיבת הדואר הנכנס שלו שנראה כאילו הגיע מהכתובת שהקלדת. מתיו מסביר:

האימייל היה צריך לעבוד ללא בעיה, ונראה שהוא ממי שאמרת שהוא מגיע. יש מעט מאוד מה שמצביע על כך שזה לא הגיע מתיבת הדואר הנכנס שלהם, עד שתציג את קוד המקור של האימייל (אפשרות "הצג מקורי" ב-Gmail). [הערה הערה: ראה תמונה למעלה]

תבחין שהמייל "רך" נכשל בבדיקת SPF, ובכל זאת הוא הגיע לתיבת הדואר הנכנס בכל מקרה. כמו כן, חשוב לציין שקוד המקור כולל את כתובת ה-IP המקורית של המייל, כך שייתכן שניתן יהיה לאתר את המייל, אם הנמען ירצה בכך.

חשוב לציין בשלב זה שעדיין אין תקן לאופן שבו יתייחסו מארחי דוא"ל לכשלים ב-SPF. Gmail, המארח שאיתו ערכתי את רוב הבדיקות שלי, אפשר לאימיילים להיכנס. Outlook.com, לעומת זאת, לא סיפק ולו דוא"ל מזויף אחד, בין אם נכשל רך או קשה. שרת ה- Exchange הארגוני שלי הכניס אותם ללא בעיה, והשרת הביתי שלי (OS X) קיבל אותם, אך סימן אותם כדואר זבל.

זה כל מה שיש בזה. רפרפנו על כמה פרטים, אבל לא רבים. האזהרה הגדולה ביותר כאן היא שאם תלחץ על השב על ההודעה המזויפת, כל מה שנשלח בחזרה יעבור אלרִיאָלהבעלים של הכתובת - לא הספופר. עם זאת, זה לא משנה לגנבים, מכיוון ששולחי דואר זבל ודיוגים רק מקווים שתלחצו על קישורים או תפתחו קבצים מצורפים.

הפשרה ברורה: מכיוון ש-SPF מעולם לא ממש תפס את הדרך בה הוא נועד, אינך צריך להוסיף את כתובת ה-IP של המכשיר שלך לרשימה ולהמתין 24 שעות בכל פעם שאתה נוסע, או רוצה לשלוח אימייל מהסמארטפון החדש שלך . עם זאת, זה גם אומר שדיוג נשאר בעיה גדולה. והגרוע מכל, זה פשוטכל כך קלשכל אחד יכול לעשות את זה.

מה אתה יכול לעשות כדי להגן על עצמך

כל זה עשוי להיראות עלוב, או להיראות כמו הרבה מהומה על כמה הודעות דואר זבל עלובות. אחרי הכל, רובנו מכירים דואר זבל כשאנחנו רואים אותו - אם אי פעם נראה אותו. אבל האמת היא שלכל חשבון שבו ההודעות האלה מסומנות, יש חשבון אחר שבו הן לא נמצאות והודעות דוא"ל דיוג מפליגות לתיבות הדואר הנכנס של המשתמשים.

מתיו הסביר לנו שהוא נהג לזייף כתובות עם חברים רק כדי להתעלל חברים ולהפחיד אותם קצת - כאילו הבוס כועס עליהם או פקידת הקבלה שלחה אימייל ואמרה שהמכונית שלהם נגררה - אבל הבין שזה עבד קצת יותר מדי טוב , אפילו מחוץ לרשת החברה. ההודעות המזויפות הגיעו דרך שרת הדואר של החברה, מלאות עם תמונות פרופיל, סטטוס IM של החברה, פרטי קשר מאוכלסים אוטומטית ועוד, כולם הוסיפו בצורה מועילה על ידי שרת הדואר, וכולם גורמים למייל המזויף להיראות לגיטימי. כשבדקתי את התהליך, זה לא היה הרבה עבודה עד שראיתי את הפנים שלי מביטים בי בחזרה בתיבת הדואר הנכנס שלי, או של ויטסון, או אפילו של אדם דאצ'יס, שאין לו אפילו כתובת מייל של Lifehacker יותר.

אפילו גרוע מכך, הדרך היחידה לדעת שהמייל אינו מהאדם שהוא נראה כמוהו היא לחפור בכותרות ולדעת מה אתה מחפש (כמו שתיארנו למעלה). זו הזמנה די גבוהה אפילו עבור הטכנאי. -מתמצאים בינינו - למי יש זמן לזה באמצע יום עבודה עמוס? אפילו תשובה מהירה לדוא"ל המזויף רק תיצור בלבול. זוהי דרך מושלמת לגרום לכאוס קטן או למקד אנשים כדי לגרום להם להתפשר על המחשבים האישיים שלהם או לוותר על פרטי התחברות. אבל אם אתה רואה משהו שהוא אפילו קצת חשוד, לפחות יש לך עוד כלי אחד בארסנל שלך.

לכן, אם אתה מחפש להגן על תיבות הדואר הנכנס שלך מפני הודעות כמו זו, יש כמה דברים שאתה יכול לעשות:

• הגבר את מסנני הספאם שלך, והשתמש בכלים כמו דואר ממוין. הגדרת מסנני הספאם שלך קצת יותר חזקה עשויה - בהתאם לספק הדואר שלך - לעשות את ההבדל בין הודעה שנכשלת בבדיקת SPF שלה נוחתת בספאם לעומת תיבת הדואר הנכנס שלך. באופן דומה, אם אתה יכול להשתמש בשירותים כמו תיבת הדואר הממוין של Gmail או VIP של אפל, אתה בעצם נותן לשרת הדואר להבין את האנשים החשובים עבורך. אם אדם חשוב מזייף, אתה עדיין תקבל את זה.

• למד לקרוא כותרות של הודעות ומעקב אחר כתובות IP. הסברנו כיצד לעשות זאת בפוסט זה על מעקב אחר מקור הספאם, וזו מיומנות טובה שיש. כשמגיע מייל חשוד, תוכל לפתוח את הכותרות, להסתכל על כתובת ה-IP של השולח ולראות אם היא תואמת למיילים קודמים של אותו אדם. אתה יכול אפילו לבצע חיפוש הפוך על ה-IP של השולח כדי לראות היכן הוא נמצא - וזה עשוי להיות אינפורמטיבי או לא, אבל אם אתה מקבל אימייל מחברך ברחבי העיר שמקורו ברוסיה (והם לא נוסעים), אתה לדעת שמשהו קורה.

• לעולם אל תלחץ על קישורים לא מוכרים או תוריד קבצים מצורפים לא מוכרים. זה אולי נראה כמו עניין לא מובן מאליו, אבל כל מה שצריך זה עובד אחד בחברה שיראה הודעה מהבוס שלו או מישהו אחר בחברה כדי לפתוח קובץ מצורף או ללחוץ על קישור מצחיק של Google Docs כדי לחשוף את כל הרשת הארגונית. רבים מאיתנו חושבים שאנחנו מעל לרמות כאלה, אבל זה קורה כל הזמן. שימו לב להודעות שאתם מקבלים, אל תלחצו על קישורים באימייל (כנסו ישירות לאתר של הבנק, חברת הכבלים או אחר שלכם והיכנסו כדי למצוא את מה שהם רוצים שתראו), ואל תורידו קבצים מצורפים למייל. לא מצפה במפורש. שמור את תוכנת האנטי זדונית של המחשב שלך מעודכנת.

• אם אתה מנהל את האימייל שלך, בדוק אותו כדי לראות כיצד הוא מגיב לרשומות SPF ו-DMARC. ייתכן שתוכל לשאול את מארח האינטרנט שלך על כך, אבל זה לא קשה לבדוק בעצמך באמצעות אותה שיטת זיוף שתיארנו לעיל. לחלופין, בדוק את תיקיית דואר הזבל שלך - ייתכן שתראה שם הודעות מעצמך או מאנשים שאתה מכיר. שאל את מארח האינטרנט שלך אם הוא יכול לשנות את אופן התצורה של שרת ה-SMTP שלך, או שקול להעביר את שירותי הדואר למשהו כמו Google Apps עבור הדומיין שלך.

• אם אתה הבעלים של דומיין משלך, קובץ עבורו רשומות DMARC. מתיו מסביר שיש לך שליטה על כמה תוקפנית אתה רוצה להיות, אבלקרא כיצד לתייק רשומות DMARCועדכן את שלך עם רשם הדומיינים שלך. אם אתה לא בטוח איך, הם אמורים להיות מסוגלים לעזור. אם אתה מקבל הודעות מזויפות בחשבון חברה, הודע ל-IT הארגוני שלך. אולי יש להם סיבה לא להגיש רשומות DMARC (מת'יו הסביר שלו אמר שהם לא יכולים כי יש להם שירותים חיצוניים שצריכים לשלוח באמצעות הדומיין של החברה - משהו מתוקן בקלות, אבל חשיבה כזו היא חלק מהבעיה), אבל לפחות תודיע להם.

כמו תמיד, החוליה החלשה ביותר באבטחה היא משתמש הקצה. זה אומר שתצטרך לשמור על חיישני ה-BS שלך מוגברים עד הסוף בכל פעם שאתה מקבל אימייל שלא ציפית. למד את עצמך. שמור את התוכנה שלך נגד תוכנות זדוניות מעודכנות. לבסוף, שים לב לבעיות כמו אלה, מכיוון שהן ימשיכו להתפתח ככל שנמשיך להילחם בספאם ובדיוג.

תמונה מאתגווינת אן ברונווין ג'ונס.