Информация

Дата основания
2009
Местоположение
Россия
Сайт
www.cloud4y.ru
Численность
31–50 человек
Дата регистрации

Блог на Хабре

Обновить

Подделка письма электронной почты почти от любого человека менее чем за 5 минут и способы защиты

Блог компании Cloud4YСпам и антиспамИнформационная безопасностьСетевые технологии
Рейтинг +11
Количество просмотров 102,5k Добавить в закладки 165 Читать комментарии 24
Комментарии 24
Вот это откровение — протоколы времён ARPANET/раннего Интернета не могут самостоятельно в безопасность.
Не совсем понял формулировку вашей мысли. Проблематика в том, что решение проблемы существует, но внедрено не везде, а многие пользователи почты не понимают, что такое использование уязвимости злоумышленниками возможно.
Суть в том, что в этой статье не сказано ничего нового из информации про безопасность электронной почты, по сути идёт повторение всем известной информации(которая даже на хабре не раз появлялась — «Статьи по теме на Хабрахабре»), разбавленной небольшим количеством «ужасной» статистики.
Может быть дело в том, что большему числу владельцев доменной почты следует внедрить уже существующие, а не новые технологии?

Если вам нужна ссылка, я найду источник на статью, в которой описывается как значительно снижается число успешных атак через почту после проведения обучения сотрудников организаций по теме фишинга и спуфинга.
В русском языке нет выражения «прыжок веры», это калька с английского Leap of faith.
Начало статьи явно отсюда:
medium.com/return-to-sender/what-is-email-authentication-6e77ebc3b842
Не осилили сами введение написать или копирайтер надергал кусков из разных блогов?
Да ладно, в Индиане Джонсе это разве не так называлось? ;)
Как это нет?
Прыжок Веры ― вращательное движение, выполняемое с целью спуститься с высокой точки за минимальное время.
:)
Ссылки на источники указаны в статье с момента публикации.

"Бросаться в бездну" это по-русски.

В русском языке нет выражения «прыжок веры», это калька с английского Leap of faith.

Вполне уже есть, прижилась эта калька, да и не такая это уж и калька, вполне нормально звучит.
НЛО прилетело и опубликовало эту надпись здесь
«Тяжело было предположить, что 84% всей электронной почты в будущем будут иметь вредоносную нагрузку и являться фишингом или спамом.» — наш корпоративный антиспам резал 97% входящих на ironport и 96% на касперском (в пределах погрешности). При этом настройки не самые жесткие и пользователи от пропажи писем почти не страдают. Мы в глубоком будущем?))
Скорее речь идёт о периоде примерно 10-летней давности — было тогда такое, если не ошибаюсь. Нынче и впрямь средства защиты на клиентской стороне худо-бедно справляются со многими т. с. «нежелательными входящими сообщениями», отсюда даже интерес к рассылке spam в чистом виде начал гаснуть. Но в плане соотношения просто spam и мошеннических сообщений утверждать о какой-то тенденции не берусь.

А вот что меня удивляет (в плохом смысле слова) уровень защищённости серверной инфраструктуры многих вроде б крупных компаний, и не только относительно e-mail, — это уже давно. Вплоть до случаев открытого доступа по FTP ко всем внутренним файлом, иногда даже не только на чтение, только из-за того, что в используемом серверном движке оказались такие настройки по умолчанию. Причём зачастую в их роли используются те серверные системы, которые уж точно для production-версии никак не предназначались по замыслу их создателей.

Ну мне напишут с potus@whitehouse.gov, я в ответ отправлю 2-ндфл. Как злоумышленник получит документ?

Как вариант — в письме будет фраза «документы загружать СТРОГО через веб-интерфейс» и ссылка на какой-нибудь левый сайт.
Если пользователь не посмотрит на url сайта, куда загружает документы, то ему и на From письма пофиг будет

Не могу полностью согласиться.
Поле From — это один признак. Имя сайта — другой признак. Стиль сообщения — третий. Смысл этого сообщения — четвёртый.
Чем больше письмо будет похоже на правду, тем выше шанс того, что оно убедит пользователя. Вполне годный способ.
Что же касается адреса сайта: это американцам (возможно?) хорошо, у них государственные учреждения (все ли? не знаю) имеют свой домен .gov. А у нас вполне нормально, когда сайт какой-нибудь местной государственной конторы имеет вид "vodokanal-goroda-trolololovo-oficialnyi.ru". Вот смотришь на такой адрес — и поди-ка определи, что там перед тобой.


Отдельной удивительной статьей идут письма от контрагентов, которые вполне могут с почты на Mail.ru просить залить что-то на какой-нибудь Яндекс.Диск. И это в ряде случаев будет совершенно нормально.

Зачем крадут формы W-2? Потому что они содержат имена сотрудников, адреса, номера социального страхования, сведения о заработной плате, налогах и положенных льготах и вычетах. Мошенники могут использовать эту информацию для подачи фальшивых налоговых деклараций и получения налогового возмещения.

Похищенные данные W-2, включая номера социального страхования, которые люди редко меняют, могут быть использованы мошенниками в любой момент в будущем. Источник www.bankinfosecurity.com/silicon-valley-firm-coupa-hit-by-w-2-fraudsters-a-9788
Существует поле reply-to, пользователь и не заметит, что при ответе письмо будет идти к black@ hacker.com
А ничего что иногда бывает нужно иметь именно разные from и reply-to? пусть в пределах одного домена. Например from:monitoring-noreply@domain.ru а reply-to:admins@domain.ru.
p.s. DMARC и все остальное настроено, даже вместо p=none стоит карантин.
p.p.s. разбираться в присылаемых на прописанные в DMARC отчеты руками может быть затруднительно но есть такая штука как DMARCian — dmarcian-eu.com (для мелких объемов бесплатный), помогает и с аналитикой разобраться и настроить записи. Ну и у mail.ru есть postmaster.mail.ru — как домен выглядит с их точки зрения и сколько с него идет им почты и как они реагируют на нее.

Краткий пересказ: говностатья, которая говорит, что надо использовать spf+dkim+dmarc.


Настройки нет, примеров нет, разбора факапов нет. Этакая твиттерзаметка переросток. Нагрузки 0.

Я правильно понимаю, что нельзя безболезненно резать письма с «Reply-to != From»?
А если просто спам оценку значительно поднимать?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.