У Kraken, как и у любого популярного сервиса, есть клиенты, которые становятся жертвами мошенников, которые: пытаться для отправки фишинговых сообщений с адресов электронной почты @ kraken.com. Вы никогда не должны видеть эту форму поддельной электронной почты, так как она должна быть отклонена почтовыми провайдерами, такими как Gmail, поскольку их серверы заметят, что почта мошенника не от Kraken. За кулисами принимающий почту сервер должен искать общие записи DNS, чтобы убедиться, что электронное письмо пришло из нужного места (например, записи SPF, DKIM, DMARC).
Kraken Security Labs верит в принцип «доверяй, но проверяй» и регулярно тестируя эффективность средств контроля безопасности электронной почты Kraken. В ходе одного из этих тестов мы обнаружили, что многие поставщики услуг электронной почты не проводят простые тесты, подвергая своих пользователей (и, возможно, наших клиентов) риску фишинга: пользователи yahoo.com и aol.com, в частности, подвергались риску доставки электронной почты. почту на ваш почтовый ящик с несуществующих поддоменов популярных мест, таких как [email protected].
Kraken Security Labs сообщила об этой проблеме Verizon Media (владельцам aol.com и yahoo.com) 8 октября 2020 г. К сожалению, она была классифицирована как «Низкая», и наш отчет был закрыт из-за низкого уровня воздействия. Однако с тех пор кажется, что в обе системы электронной почты были внесены улучшения за счет устранения некоторых проблем, описанных ниже.
Вы всегда можете защитить себя поиск фишинговых атак. Вам также следует подумать о смене службы электронной почты на gmail.com или protonmail.com, если вы в настоящее время используете aol.com или yahoo.com. Если вы используете свой собственный домен, убедитесь, что ваши записи DMARC, SPF и DKIM актуальны, чтобы ограничить мошенническое использование вашего домена.
На Kraken Security Labsнаша миссия: обучать и включить держатели криптовалюты, обладающие необходимыми знаниями для защиты своих активов и безопасного использования средств по своему усмотрению. В этой статье вы узнаете больше технических подробностей об этой технике спуфинга электронной почты, о том, как мы защищаем наши домены и какие шаги вы можете предпринять, чтобы обезопасить себя.
Технические детали
Спуфинг был когда-то безумной формой нападения всего десять лет назад. На почтовых серверах не было эффективного способа проверки отправителей. Поддельное письмо отправителя имеет более высокий уровень успешности, поскольку многие пользователи не подозревают, что это поле может быть подделано. Сообщение из узнаваемого домена (например, [email protected]) может создать иллюзию авторитета и безопасности, особенно по сравнению с неизвестным адресом, например mail @ example- bizarre-domain.xyz. К счастью, в наши дни большинство провайдеров электронной почты имеют значительный контроль против спуфинга. Такие стандарты, как DMARC, имеют формализованные методы, которые значительно затрудняют спуфинг.
Безопасность почты
Безопасность электронной почты сложнее, чем мы рассмотрим здесь, но современные передовые методы защиты от спуфинга сосредоточены на записях SPF, DMARC и DKIM. Когда почтовый сервер получает почту, он выполняет несколько запросов DNS в почтовом домене для проверки этих записей.
Каждый почтовый сервер обрабатывает эти проверки по-разному. Например, Gmail помечает все сообщения, прошедшие проверку SPF, устрашающий предупреждающий баннер, призывающий пользователей быть осторожными (даже если эти сообщения технически никогда не должны приниматься почтовым сервером), и все сообщения, не прошедшие проверку DMARC и имеющие отметку ” отклонить “политика не будет принята вообще.
Другие почтовые провайдеры могут использовать радикально другие процедуры, каждая со своим собственным алгоритмом. Например, некоторые поставщики предпочитают полностью блокировать электронную почту, другие отправляют ее в ящик «нежелательной почты», а третьи предпочитают отправлять электронную почту в ящик входящих предупреждений.
Экспериментируем с бесплатными почтовыми провайдерами
Нас беспокоит непоследовательное исполнение требований различных поставщиков, поэтому мы провели дополнительное тестирование. Мы пытались отправлять электронные письма с поддельными заблокированными доменами лучшим поставщикам бесплатных услуг электронной почты и отслеживать их поведение.
Попытка 1 – Выдача себя за другое лицо [email protected] (защищенный основной домен)
Мы отправили поддельное электронное письмо с домена, в котором была допустимая запись аппаратного сбоя SPF, действительная запись DMARC и настроенный селектор DKIM.
Ожидание: Письмо отклоняется, поскольку оно отправлено с недопустимого IP-адреса и не имеет подписи DKIM.
Здесь нет никаких серьезных сюрпризов, хотя отправка сообщений в спам или нежелательную почту означает, что пользователей теоретически все еще можно обмануть, если они сочтут это ошибкой.
Попытка 2 – Выдача себя за другое лицо [email protected] (несуществующий субдомен)
Мы отправили поддельное письмо с несуществующего поддомена. Нет записей для этого имени хоста.
Ожидание: Почта отклоняется, потому что имя хоста не существует или не содержит никаких записей (нет записи A, нет записи SPF или DKIM). Кроме того, для политики DMARC задано значение «Отклонение», поэтому любое электронное письмо, которое не может быть аутентифицировано с помощью SPF / DKIM, должно быть отклонено.
Удивительно, но почтовые серверы Yahoo.com и AOL.com приняли это явно поддельное сообщение и поместили его в почтовый ящик жертвы. Это особенно беспокоит, поскольку это означает, что злоумышленнику просто нужно присоединиться к субдомену, чтобы его почта была принята и казалась законной для пользователей этих платформ (например, [email protected]).
В то время AOL.com и Yahoo.com принадлежали Verizon Media, поэтому мы сообщили им о проблеме 8 октября 2020 года. Verizon Media закрыла дело как выходящее за рамки и неофициальное. Kraken Security Labs подтвердила важность защиты пользователей AOL и Yahoo от фишинга, но дальнейших сообщений о том, как решить эти проблемы, предоставлено не было.
С тех пор, похоже, были внесены улучшения: теперь электронные письма отклоняются в соответствии с политикой DMARC, и, похоже, было реализовано более эффективное ограничение скорости.
Мы по-прежнему утверждаем, что пользователи электронной почты Yahoo и Verizon подвергаются большему риску, поскольку другие поставщики гораздо лучше предупреждают своих пользователей, когда электронная почта не может быть аутентифицирована (например, когда DMARC / DKIM / SPF).
Забрать
Несмотря на все усилия владельца домена, почтовые провайдеры не всегда фильтруют электронную почту должным образом. Пользователи с адресами электронной почты @ yahoo.com и @ aol.com с большей вероятностью будут получать поддельные сообщения, хотя эти сообщения могут быть легко обнаружены и отфильтрованы этими поставщиками. Несмотря на то, что поведение улучшилось, мы по-прежнему рекомендуем переключить вашу высокочувствительную электронную почту на поставщика, который лучше фильтрует, например Gmail или Protonmail.
Если вы используете почтовый сервер, убедитесь, что DNS-записи электронной почты для DMARC, DKIM и SPF всегда актуальны, и регулярно проверяйте, работают ли ваши настройки электронной почты.
Купить крипту на BINANCE и получить ваучер на 100USDT! Успей сейчас, предложение ограничено!