interessant

Wie Spammer Ihre E-Mail-Adresse fälschen (und wie Sie sich schützen)

Die meisten von uns kennen Spam, wenn wir ihn sehen, aber es ist ziemlich beunruhigend, eine seltsame E-Mail von einem Freund - oder noch schlimmer von uns selbst - in unserem Posteingang zu sehen. Wenn Sie eine E-Mail gesehen haben, die aussieht, als stamme sie von einem Freund, heißt das nicht, dass sie gehackt wurden. Spammer fälschen diese Adressen die ganze Zeit, und es ist nicht schwer zu tun. Hier erfahren Sie, wie sie es tun und wie Sie sich schützen können.

Spammer haben lange Zeit E-Mail-Adressen gefälscht. Vor Jahren wurden Kontaktlisten von mit Malware infizierten PCs abgerufen. Die heutigen Datendiebe wählen ihre Ziele sorgfältig aus und phishing sie mit Nachrichten, die aussehen, als stammten sie von Freunden, vertrauenswürdigen Quellen oder sogar von ihrem eigenen Konto.

Es stellt sich heraus, dass es überraschend einfach ist, echte E-Mail-Adressen zu fälschen, und ein Teil davon, warum Phishing ein solches Problem ist. Der aufstrebende CISSP-Systemingenieur und Goldavelez.com-Leser Matthew gab uns einen Hinweis auf die Funktionsweise, überraschte uns aber auch, indem er einigen von uns bei Goldavelez.com eine E-Mail von den E-Mail-Adressen anderer Goldavelez.com-Autoren schickte. Trotz der Tatsache, dass wir wussten, dass es möglich ist - wir haben alle schon einmal Spam erhalten -, war es beunruhigender, tatsächlich dabei zu sein. Also haben wir mit ihm darüber gesprochen, wie er es gemacht hat und was die Leute tun können, um sich selbst zu schützen.

Ein bisschen Geschichte: Warum E-Mail-Adressen so leicht gefälscht werden

Heutzutage haben die meisten E-Mail-Anbieter das Spam-Problem gelöst - zumindest zu ihrer eigenen Zufriedenheit. Google Mail und Outlook verfügen über leistungsstarke, ausgefeilte Algorithmen zum Abfangen von Spam und leistungsstarke Filter-Tools. Zu Beginn der 2000er Jahre war dies jedoch nicht der Fall. Spam war immer noch ein großes Problem, das Mail-Server noch nicht ernsthaft angegangen und erst recht nicht mit der Entwicklung fortschrittlicher Tools für die Verwaltung.

Im Jahr 2003 schlug Meng Weng Wong eine Methode vor, mit der Mailserver "überprüfen" können, ob die IP-Adresse (die eindeutige Nummer, die einen Computer im Internet identifiziert), die eine Nachricht sendet, zum Senden von E-Mails für eine bestimmte Domain berechtigt ist. Das Formular heißt "Sender Permitted Form" (wurde 2004 in "Sender Policy Framework" umbenannt), und Matthew erklärt, wie es funktioniert:

Jedes Mal, wenn eine E-Mail-Nachricht gesendet wurde, verglich der empfangende E-Mail-Server die Ursprungs-IP der Nachricht mit der IP-Adresse, die im SPF-Datensatz für den Host der E-Mail-Adresse (der Teil „@ example.com“) aufgeführt ist.

Stimmen die beiden IP-Adressen überein, kann die E-Mail an den vorgesehenen Empfänger weitergeleitet werden. Wenn die IP-Adressen nicht übereinstimmen, wird die E-Mail als Spam gekennzeichnet oder insgesamt abgelehnt. Die Entscheidung über das Ergebnis lag vollständig in den Händen des empfangenden Servers.

Im Laufe der Jahre haben sich SPF-Datensätze entwickelt (der neueste RFC wurde im April 2014 veröffentlicht), und die meisten Domains im Internet haben SPF-Datensätze (Sie können hier nach ihnen suchen).

Wenn Sie eine Domain registrieren, registrieren Sie auch eine Reihe von DNS-Einträgen, die damit einhergehen. Diese Aufzeichnungen teilen der Welt mit, mit welchen Computern gesprochen werden soll, je nachdem, was sie tun möchten (E-Mail, Web, FTP usw.). Der SPF-Datensatz ist ein Beispiel und stellt im Idealfall sicher, dass alle Mailserver im Internet wissen, dass E-Mails von beispielsweise @ Goldavelez.com.com tatsächlich von berechtigten Benutzern gesendet wurden.

Diese Methode ist jedoch nicht perfekt, weshalb sie sich nicht vollständig durchgesetzt hat. SPF-Datensätze müssen verwaltet werden - jemand fügt tatsächlich neue IP-Adressen hinzu und entfernt alte. Außerdem muss der Datensatz bei jeder Änderung über das Internet verbreitet werden. (: Wir haben zuvor SPF-Überprüfungen an Benutzer-IP-Adressen gebunden, wenn die Technologie tatsächlich von Mailhosts verwendet wird, um zu überprüfen, ob der Server, über den eine Nachricht gesendet wird, ein autorisierter Absender für eine bestimmte Domain ist, und nicht, ob der verwendete Absender zum Senden berechtigt ist Entschuldigen Sie die Verwirrung und bedanken Sie sich bei den Kommentatoren, die darauf hingewiesen haben!) Die meisten Unternehmen verwenden sowieso eine weiche Version von SPF. Anstatt das Risiko von Fehlalarmen durch das Blockieren nützlicher E-Mails zu vermeiden, implementieren sie "harte" und "weiche" Fehler. E-Mail-Hosts haben außerdem die Beschränkungen für die Behandlung von Nachrichten, die diese Prüfung nicht bestehen, gelockert. Infolgedessen ist die Verwaltung von E-Mails für Unternehmen einfacher, aber Phishing ist einfach und ein großes Problem.

Im Jahr 2012 wurde dann ein neuer Datensatztyp eingeführt, der für die Zusammenarbeit mit SPF entwickelt wurde. Es heißt DMARC oder domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität. Nach einem Jahr wird es erweitert, um eine große Anzahl von Kundenpostfächern zu schützen (obwohl die selbsternannten 60% wahrscheinlich optimistisch sind). Matthew erklärt die Details:

Die DMARC besteht aus zwei wichtigen Flags (obwohl es insgesamt 10 gibt): dem "p" -Flag, mit dem empfangende Server angewiesen werden, wie mit potenziell falschen E-Mails umgegangen wird, indem sie entweder abgelehnt, isoliert oder weitergeleitet werden. und das "rua" -Flag, das den empfangenden Servern mitteilt, wo sie einen Bericht über fehlgeschlagene Nachrichten senden können (normalerweise eine E-Mail-Adresse in der Sicherheitsgruppe des Domänenadministrators). Der DMARC-Datensatz behebt die meisten Probleme mit SPF-Datensätzen, indem die Entscheidung, wie vom Empfänger geantwortet werden soll, auf sich genommen wird.

Das Problem ist, dass noch nicht jeder DMARC verwendet.

Mit diesem praktischen Tool können Sie den DMARC-Datensatz einer Domain abfragen - probieren Sie ihn an einigen Ihrer Favoriten aus (gawker.com, whitehouse.gov, redcross.org, reddit.com). Hast du etwas bemerkt? Keiner von ihnen hat DMARC-Aufzeichnungen veröffentlicht. Das bedeutet, dass jeder E-Mail-Host, der versucht, sich an die Regeln von DMARC zu halten, keine Anweisungen zum Umgang mit fehlgeschlagenen SPF-E-Mails hat und diese wahrscheinlich durchlassen würde. Genau das macht Google mit Google Mail (und Google Apps). Deshalb können gefälschte E-Mails in Ihren Posteingang gelangen.

Um zu beweisen, dass Google DMARC-Datensätze beachtet, lesen Sie den DMARC-Datensatz für facebook.com. Das "p" -Flag gibt an, dass Empfänger E-Mails ablehnen sollen, und senden Sie einen Bericht darüber an den Postmaster bei Facebook. Versuchen Sie nun, eine E-Mail von facebook.com zu fälschen und an eine Google Mail-Adresse zu senden. Schauen Sie sich jetzt den DMARC-Datensatz für fb.com an - er zeigt an, dass keine E-Mail abgelehnt werden sollte, aber trotzdem ein Bericht erstellt werden sollte. Und wenn Sie es testen, werden E-Mails von @ fb.com durchlaufen.

Matthew bemerkte auch, dass der "Postmaster Report" kein Scherz ist. Als er versuchte, eine Domain mit einem DMARC-Datensatz zu fälschen, wurde sein SMTP-Server in weniger als 24 Stunden blockiert. Bei unseren Tests haben wir dasselbe bemerkt. Wenn eine Domain richtig eingerichtet ist, werden diese gefälschten Nachrichten schnell beendet - oder zumindest, bis der Spoofer eine andere IP-Adresse verwendet. Eine Domain ohne DMARC-Einträge ist jedoch ein faires Spiel. Sie könnten sie monatelang fälschen und niemand auf der Sendeseite würde es bemerken - es wäre Sache des empfangenden E-Mail-Providers, seine Benutzer zu schützen (entweder indem er die Nachricht aufgrund des Inhalts als Spam kennzeichnet oder aufgrund der fehlgeschlagenen SPF-Prüfung der Nachricht. )

Wie Spammer E-Mail-Adressen fälschen

Die Tools zum Fälschen von E-Mail-Adressen sind überraschend einfach zu bekommen. Sie benötigen lediglich einen funktionierenden SMTP-Server (auch bekannt als Server, der E-Mails senden kann) und die richtige Mailing-Software.

Jeder gute Webhost stellt Ihnen einen SMTP-Server zur Verfügung. (Sie können SMTP auch auf einem eigenen System installieren, Port 25 - der für ausgehende E-Mails verwendete Port wird normalerweise von Internetdienstanbietern blockiert. Dies geschieht insbesondere, um die Art von Massen-E-Mail-Malware zu vermeiden, die wir in den frühen 2000er Jahren gesehen haben.) Matthew hat PHP Mailer benutzt. Es ist leicht zu verstehen, einfach zu installieren und verfügt sogar über eine Weboberfläche. Öffnen Sie PHP Mailer, verfassen Sie Ihre Nachricht, geben Sie die "Von" - und "An" -Adressen ein und klicken Sie auf "Senden". Am Ende des Empfängers erhalten sie eine E-Mail in ihrem Posteingang, die aussieht, als stamme sie von der von Ihnen eingegebenen Adresse. Matthew erklärt:

Die E-Mail hätte problemlos funktionieren sollen und scheint von jedem zu stammen, von dem Sie sagten, dass er stammt. Es gibt kaum Anzeichen dafür, dass dies nicht aus dem Posteingang stammt, bis Sie den Quellcode der E-Mail anzeigen (Option "Original anzeigen" in Google Mail). [Anmerkung ed: siehe Bild oben]

Sie werden feststellen, dass die E-Mail "soft" die SPF-Prüfung nicht bestanden hat, aber dennoch in den Posteingang gelangt ist. Es ist auch wichtig zu beachten, dass der Quellcode die ursprüngliche IP-Adresse der E-Mail enthält, sodass die E-Mail möglicherweise nachverfolgt werden kann, wenn der Empfänger dies wünscht.

An dieser Stelle ist zu beachten, dass es noch keinen Standard für die Behandlung von SPF-Fehlern durch E-Mail-Hosts gibt. Google Mail, der Host, mit dem ich die meisten Tests durchgeführt habe, hat das Eintreffen von E-Mails zugelassen. Outlook.com hat jedoch keine einzige gefälschte E-Mail zugestellt, unabhängig davon, ob diese nicht erfolgreich war oder nicht. Mein Exchange-Unternehmensserver ließ sie ohne Probleme ein, und mein Heimserver (OS X) akzeptierte sie, markierte sie jedoch als Spam.

Das ist alles dazu. Wir haben einige Details überflogen, aber nicht viele. Die größte Einschränkung ist, wenn Sie auf die gefälschte Nachricht klicken und alles, was zurückgesendet wird, an den Eigentümer der Adresse geht - nicht an den Spoofer. Für Diebe ist das jedoch egal, da Spammer und Phisher nur hoffen, dass Sie auf Links klicken oder Anhänge öffnen.

Der Kompromiss ist klar: Da SPF nie wirklich die beabsichtigten Ergebnisse erzielt hat, müssen Sie die IP-Adresse Ihres Geräts nicht zu einer Liste hinzufügen und nicht jedes Mal 24 Stunden auf Reisen warten oder E-Mails von Ihrem neuen Smartphone senden . Dies bedeutet jedoch auch, dass Phishing weiterhin ein großes Problem darstellt. Am schlimmsten ist jedoch, dass jeder das kann.

Was Sie tun können, um sich zu schützen

Dies alles mag geheimnisvoll erscheinen, oder es scheint viel Aufhebens um ein paar dürftige Spam-E-Mails zu geben. Schließlich kennen die meisten von uns Spam, wenn wir ihn sehen - wenn wir ihn jemals sehen. Aber die Wahrheit ist, dass es für jedes Konto, in dem diese Nachrichten markiert sind, ein anderes gibt, in dem sie nicht vorhanden sind, und Phishing-E-Mails in die Posteingänge der Benutzer gelangen.

Matthew erklärte uns, dass er Adressen mit Freunden fälschte, nur um Freunden einen Streich zu spielen und ihnen ein wenig Angst zu machen - als ob der Chef wütend auf sie wäre oder die Rezeptionistin per E-Mail sagte, dass ihr Auto abgeschleppt wurde -, erkannte aber, dass es ein wenig zu gut funktionierte, auch aus dem Firmennetz. Die gefälschten Nachrichten wurden über den E-Mail-Server des Unternehmens gesendet. Sie enthielten Profilbilder, den IM-Status des Unternehmens, automatisch ausgefüllte Kontaktinformationen und vieles mehr. Alle diese Informationen wurden vom E-Mail-Server hinzugefügt und lassen die gefälschten E-Mails als echt erscheinen. Als ich den Prozess testete, war es nicht viel Arbeit, bis ich mein eigenes Gesicht sah, das mich in meinem Posteingang ansah, oder Whitson's oder sogar Adam Dachis ', der nicht einmal mehr eine Goldavelez.com-E-Mail-Adresse hat.

Schlimmer noch, die einzige Möglichkeit, festzustellen, dass die E-Mail nicht von der Person stammt, wie sie aussieht, besteht darin, in den Kopfzeilen zu stöbern und zu wissen, wonach Sie suchen (wie oben beschrieben) -savvy unter uns - wer hat in der Mitte eines geschäftigen Arbeitstages Zeit dafür? Selbst eine schnelle Antwort auf die gefälschte E-Mail würde nur Verwirrung stiften. Es ist eine perfekte Möglichkeit, ein wenig Chaos oder Zielgruppen dazu zu bringen, dass diese ihre eigenen PCs kompromittieren oder Anmeldeinformationen preisgeben. Aber wenn Sie etwas sehen, das sogar ein wenig misstrauisch ist, haben Sie mindestens ein weiteres Werkzeug in Ihrem Arsenal.

Wenn Sie also Ihre Posteingänge vor solchen Nachrichten schützen möchten, haben Sie folgende Möglichkeiten:

  • Aktivieren Sie Ihre Spam-Filter und verwenden Sie Tools wie Priority Inbox . Wenn Sie die Spam-Filter etwas stärker einstellen, kann dies - abhängig von Ihrem E-Mail-Anbieter - den Unterschied zwischen einer Nachricht, deren SPF-Prüfung nicht erfolgreich war, und Ihrem Posteingang ausmachen. Wenn Sie Dienste wie den Priority-Posteingang von Google Mail oder den VIP-Dienst von Apple verwenden können, lässt Sie der E-Mail-Server im Wesentlichen die für Sie wichtigen Personen ermitteln. Wenn eine wichtige Person gefälscht wird, bekommen Sie sie trotzdem.
  • Erfahren Sie, wie Sie Nachrichtenkopfzeilen lesen und IP-Adressen nachverfolgen . Wie das geht, haben wir in diesem Beitrag über das Aufspüren der Spam-Quelle erklärt. Das ist eine gute Fähigkeit. Wenn eine verdächtige E-Mail eingeht, können Sie die Header öffnen, die IP-Adresse des Absenders überprüfen und feststellen, ob sie mit früheren E-Mails derselben Person übereinstimmt. Sie können sogar die IP-Adresse des Absenders in umgekehrter Reihenfolge überprüfen, um festzustellen, wo sie sich befindet. Dies kann informativ sein oder auch nicht. Wenn Sie jedoch eine E-Mail von einem Freund in der ganzen Stadt erhalten, der seinen Ursprung in Russland hat (und nicht auf Reisen ist), sind Sie es Ich weiß, dass etwas los ist.
  • Klicken Sie niemals auf unbekannte Links oder laden Sie keine unbekannten Anhänge herunter . Dies mag wie ein Kinderspiel erscheinen, aber es ist nur ein Mitarbeiter in einem Unternehmen erforderlich, der eine Nachricht von seinem Vorgesetzten oder einer anderen Person im Unternehmen sieht, um einen Anhang zu öffnen, oder auf einen lustigen Link in Google Text & Tabellen zu klicken, um das gesamte Unternehmensnetzwerk anzuzeigen. Viele von uns glauben, dass wir überlistet sind, aber es passiert die ganze Zeit. Achten Sie auf die Nachrichten, die Sie erhalten, klicken Sie nicht direkt auf Links in E-Mails (gehen Sie zu der Website Ihrer Bank, Ihres Kabelunternehmens oder einer anderen Website und melden Sie sich an, um herauszufinden, was Sie sehen sollen), und laden Sie keine E-Mail-Anhänge herunter, die Sie erhalten. Ich erwarte es nicht explizit. Halten Sie die Malware Ihres Computers auf dem neuesten Stand.
  • Wenn Sie Ihre eigene E-Mail verwalten, überprüfen Sie sie, um festzustellen, wie sie auf SPF- und DMARC-Datensätze reagiert . Möglicherweise können Sie Ihren Webhost danach fragen, es ist jedoch nicht schwierig, die oben beschriebene Spoofing-Methode selbst zu verwenden. Überprüfen Sie alternativ Ihren Junk-Mail-Ordner. Möglicherweise sehen Sie dort Nachrichten von Ihnen selbst oder von Personen, die Sie kennen. Fragen Sie Ihren Webhost, ob er die Konfiguration Ihres SMTP-Servers ändern kann, oder überlegen Sie, die Mail-Dienste auf Google Apps für Ihre Domain umzustellen.
  • Wenn Sie eine eigene Domain besitzen, legen Sie DMARC-Datensätze dafür ab . Matthew erklärt, dass Sie die Kontrolle darüber haben, wie aggressiv Sie sein möchten, aber lesen Sie, wie Sie DMARC-Einträge ablegen und Ihre Einträge bei Ihrem Domain-Registrar aktualisieren. Wenn Sie nicht sicher sind, wie, sollten sie helfen können. Wenn Sie gefälschte Nachrichten auf einem Unternehmenskonto erhalten, teilen Sie dies Ihrer Unternehmens-IT mit. Möglicherweise haben sie einen Grund, DMARC-Datensätze nicht einzureichen (Matthew erklärte, dies sei ihm nicht möglich, da sie externe Dienste haben, die über die Unternehmensdomäne gesendet werden müssen - etwas, das leicht zu beheben ist, aber diese Art des Denkens ist Teil des Problems) Zumindest lässt du es sie wissen.

Wie immer ist der Endbenutzer das schwächste Glied in Sachen Sicherheit. Das bedeutet, dass Sie Ihre BS-Sensoren jedes Mal ganz aufdrehen müssen, wenn Sie eine E-Mail erhalten, die Sie nicht erwartet haben. Bilde dich. Halten Sie Ihre Anti-Malware-Software auf dem neuesten Stand. Schließlich sollten Sie solche Probleme im Auge behalten, da sie sich weiterentwickeln werden, wenn wir weiterhin gegen Spam und Phishing vorgehen.