Domanda:
Perché le e-mail di phishing utilizzano indirizzi e-mail falsi invece di quelli reali?
JFB
2019-03-05 22:24:55 UTC
view on stackexchange narkive permalink

Ho letto che puoi scrivere qualsiasi cosa nel campo Da: di un'e-mail.

Se questo è vero, allora perché le e-mail di phishing stanno cercando di ingannarmi con indirizzi simili a service@amaz0n.com invece di usare solo l'effettivo service@amazon.com stesso?

Potresti dire a tutti che sei il Papa, e non c'è niente che ti impedisca di farlo.Ma chi sa chi è il Papa riconoscerebbe che stai mentendo.L'email ha questo processo di verifica.
@schroeder, Non credo che l'e-mail richieda alcuna verifica.Per quanto ne so, dipende dal provider di posta elettronica e ho visto enormi differenze tra loro.Alcuni potrebbero visualizzare informazioni aggiuntive (un campo "da" e anche un campo "mittente"), alcuni potrebbero mettere il messaggio nella cartella spazzatura, alcuni potrebbero rifiutarlo apertamente ... e altri potrebbero accettarlo.So per certo, perché l'ho testato ieri, che un provider affidabile nel mio paese accetta indirizzi falsificati perché un errore SPF (soft) da solo non è sufficiente per attivare il loro SpamAssassin, quindi le e-mail falsificate possono sembrare totalmente autentiche.
I criteri SPF di @reed, da soli in genere non eliminano completamente le email.E per una buona ragione.Sarebbe un incubo se il tuo provider di posta elettronica iniziasse a rilasciare email che potrebbero essere legittime, anche se è molto improbabile.Le politiche di SPF sono solitamente solo per decidere se la posta deve andare direttamente allo spam o contenere un potenziale avviso di spam / phishing.Solo con DKIM / DMARC puoi davvero ottenere abbastanza di un'immagine per dire "sì, questa e-mail è una cazzata, lascia perdere".
Il soft-fail è l'equivalente di dire "La nostra email / dovrebbe / provenire da X, Y e Z, quindi se non lo fa allora forse non siamo noi ... ma potrebbe essere".
Un possibile utilizzo di un indirizzo e-mail falso al giorno d'oggi sarebbe nel caso in cui la vittima stia cercando di rispondere effettivamente all'e-mail.L'aggressore potrebbe ricevere la risposta e creare una discussione con una vittima inconsapevole ed eseguire l'ingegneria sociale.Se l'indirizzo "rispondi a" non fosse sotto controllo, l'attaccante non intercetterebbe (almeno non facilmente) nulla.
@Pacopaco è qui che entra in gioco la risposta al campo
@Antzi Le email con una risposta che non provengono da una mailing list sono rare di questi tempi.I client di posta elettronica possono avvisare l'utente "vuoi veramente rispondere a X" che è un messaggio insolito che potrebbe attirare attenzioni indesiderate.
@curiousguy non mi faccia iniziare a rispondere a: ho un vecchio indirizzo hotmail che uso per tutto ciò che potrebbe finire nella mia ricezione di spam.Sembra che sia stato rilevato di recente da truffatori di account Apple (inviando e-mail che il mio account (inesistente) è stato compromesso) ** Outlook.live ** inserisce il contenuto della risposta (in questo caso support@apple.com) dovel'indirizzo del mittente di solito va, quindi per un joe medio sembra più legittimo a causa di come il client lo visualizza.Chi cazzo ha inventato quel disegno?
Cinque risposte:
Steffen Ullrich
2019-03-05 22:32:08 UTC
view on stackexchange narkive permalink

Sebbene si possa creare un messaggio di posta con @ amazon.com come busta SMTP e / o campo Da dell'intestazione del messaggio, la posta verrebbe probabilmente bloccata poiché questo dominio è protetto con Sender Policy Framework ( SPF ), DomainKeys Identified Mail ( DKIM ) e autenticazione, reportistica e conformità dei messaggi basati su dominio ( DMARC ). Ciò significa che una posta contraffatta verrà rilevata come tale e verrà rifiutata da molti server di posta elettronica. Contrariamente a ciò, è più efficace utilizzare un altro dominio che non è protetto in questo modo o che è protetto ma controllato dall'aggressore.

Per spiegare in breve cosa fanno queste tecnologie:

  • SPF
    Controlla se l'indirizzo IP del mittente è consentito per l'involucro SMTP specificato (SMTP.MAILFROM). dig txt amazon.com mostra che esiste un criterio SPF.
  • DKIM
    Il server di posta firma la posta. La chiave pubblica per verificare che la posta venga recuperata utilizzando DNS. Amazon utilizza DKIM come si può vedere dai campi DKIM-Signature nell'intestazione del messaggio.
  • DMARC
    Allinea il From nell'intestazione della posta (RFC822.From) con il dominio della firma DKIM per DKIM o il dominio della busta SMTP per SPF. Se esiste un SPF / DKIM allineato e corretto, la politica DMARC corrisponde. dig txt _dmarc.amazon.com mostra che Amazon ha un record DMARC con una policy quarantine.

Né SPF né DKIM di il proprio aiuto contro lo spoofing del campo From nell'intestazione del messaggio. Solo la combinazione di almeno uno di questi con DMARC protegge da tale spoofing dell'intestazione.

Non del tutto vero sull'ultima riga ... un record SPF può, da solo, proteggere dallo spoofing.I record SPF hard-fail (quelli che terminano con "-all"), in genere dovrebbero comportare la violazione delle e-mail che vengono spostate direttamente nello spam, e le e-mail soft-fail spesso generano un avviso per l'utente (come con Gmail, o365).Queste scelte necessitano di un livello migliore di standardizzazione, ma questo è ciò che sta accadendo in natura;ad esempio, ho visto client di posta elettronica che rilasciano completamente la posta quando si verificano violazioni hard-fail.
@hiburn8: Si tratta di falsificare il campo "Da" nell'intestazione del messaggio.SPF non guarda nemmeno il campo "Da" della posta (RFC822.FROM) ma si preoccupa solo della busta SMTP (SMTP.MAILFROM).Un utente malintenzionato può utilizzare una busta SMTP con un dominio appropriato che non ha SPF o dispone di un SPF valido poiché il dominio è controllato dall'aggressore, in modo che SPF non fallisca.Solo la combinazione con DMARC proteggerà dallo spoofing del campo "Da" dell'intestazione del messaggio poiché richiede un allineamento del dominio nella busta SMTP per SPF o nel dominio nel campo DKIM-Signature.
Ah si, scusa, ho letto male la tua risposta.Pensavo stessi dicendo che SPF da solo non fornisce alcuna mitigazione dello spoofing.+1
jcaron
2019-03-06 19:36:42 UTC
view on stackexchange narkive permalink

Per completare la risposta di Steffen Ullrich, nota che:

  • Storicamente, era effettivamente possibile falsificare tutto ciò che volevi, nessuno controllava, tutti fidato di tutti.
  • Tuttavia, con l'aumento di spam, phishing e altre truffe, sono stati introdotti SPF, DKIM e DMARC. Quelli consentono a un server di verificare se il mittente ha il diritto di inviare posta con un mittente in un determinato dominio.
  • Per funzionare, richiedono che sia il mittente che il destinatario implementino questi metodi.
  • La maggior parte dei grandi provider di posta elettronica implementerà sicuramente almeno uno dei 3 metodi dalla loro parte (come ricevente) e molte organizzazioni a rischio di avere persone che cercano di impersonarli implementeranno almeno uno dei 3 metodi anche dalla loro parte (come mittente).
  • Tuttavia, ci sono ancora entrambi i sistemi di posta elettronica che non controllano nessuno dei due e domini senza la configurazione appropriata.

Quindi se trovi un dominio senza SPF, DKIM o DMARC, potresti inviare e-mail per conto di quel dominio e non essere rifiutato a titolo definitivo. Molti provider di posta elettronica "si fideranno" di tali messaggi di posta meno di altri e subiranno modifiche maggiori per essere gestiti come spam.

Allo stesso modo, è possibile inviare messaggi di posta anche "da" un dominio protetto con SPF, DKIM o DMARC a un sistema di posta elettronica che non lo controlla.

Ma sicuramente, se vuoi inviarlo come Apple o Amazon alle caselle di posta gestite da Google o Microsoft, questo non vincerà " t lavoro. E questo è il motivo per cui usano altri nomi di dominio per questo.

Tieni presente che solo DMARC impedisce lo spoofing dell'indirizzo From:, poiché SPF e DKIM non lo fanno: DKIM può consentire al mittente, facoltativamente, di dimostrare di essere il proprietario di quel dominio, ma non può aiutare il destinatario a controllare il dominio nel campo From: seuna firma DKIM non è presente.
ShapeOfMatter
2019-03-05 22:33:11 UTC
view on stackexchange narkive permalink
  • Il phisher potrebbe sperare di ottenere risposte da inviare a quell'indirizzo.
  • Stanno cercando di evitare i vari framework esistenti per prevenire ha falsificato i campi "da" per essere percepiti come autentici da un utente umano.

Utilizzando questo strumento sono stato in grado di controllare che amazon .com non ha SPF configurato. Ovviamente è sul tuo client di posta elettronica per controllare il DNS per SPF, ma i client della maggior parte delle persone lo fanno.

SPF non protegge l'intestazione "Da:", ma il * mittente della busta *.
E * non * è il client di posta elettronica che controlla SPF;è il server di posta elettronica di ricezione.
Vado chiaro: ho creato queste protezioni per me stesso _ una volta_, e a questo punto non sono sicuro del motivo per cui dodici persone hanno votato per favore la mia risposta.
ANone
2019-03-06 23:13:44 UTC
view on stackexchange narkive permalink

Potrebbe valere la pena notare la differenza tra teoria e pratica. L'MTP (Simple Mail Transfer Protocol), che è la base della posta elettronica, non previene realmente lo spoofing. Penso che sia da lì che provenga questa citazione.

Tuttavia, mentre SMTP fa parte della posta elettronica come lo è ora, non è l'unica cosa in cantiere. Sebbene siano sicuro che ci siano alcune implementazioni completamente vanigliate di questo in natura, la stragrande maggioranza delle persone utilizzerà uno dei pochi stack "grandi", che vengono forniti con molti extra per fermare questo tipo di comportamento.

Poiché l'obiettivo dello spamming è raggiungere il maggior numero di persone (e purtroppo più credulone) possibile: il costo di filtrare la maggior parte dei casi per ottenere la credibilità di un indirizzo reale non è buono. Ciò è particolarmente vero se la truffa comporta uno sforzo da parte del truffatore per procedere poiché il tipo di persona abbastanza scettica da notare che "service@amaz0n.com" sembra sbagliato è probabilmente un obiettivo che si desidera eliminare presto.

Penso che il punto sul volere solo voti facili sia buono.C'è una tendenza a farlo deliberatamente anche nel contenuto del messaggio.È stato trattato qui prima: https://security.stackexchange.com/questions/96121/why-do-phishing-emails-have-spelling-and-grammar-mistakes
Rafael Henrique
2019-03-08 20:46:49 UTC
view on stackexchange narkive permalink

James Veitch ci fa luce in questo TED Talk

Inizia il suo discorso raccontando di alcune e-mail di phishing che ha ricevuto, quella su un sudafricano luogotenente che chiede aiuto con i diamanti. L'intera storia è ridicola e, per la maggior parte di noi, assolutamente incredibile. Ma

"[...] se ci pensi, questo è in realtà piuttosto intelligente. Perché rendendo le truffe ridicole, idealmente per il truffatore, le uniche persone che risponderanno sono le persone più credulone. "

Se sei così ingenuo o distratto da interpretare erroneamente" amaz0n "come" amazon ", forse vale la pena provare ... Se noti il ​​dominio diverso , stai prestando attenzione e probabilmente è una perdita di tempo per truffatori cercare di ingannarti.

Non credo sia giusto dire "Se sei così ingenuo o distratto da interpretare male" amaz0n "come" amazon ", allora forse vale la pena provare".Non tutti sono cresciuti con la tecnologia, e questo suona molto come "Se sei troppo stupido per rendertene conto, meriti di essere agganciato".La VERA risposta al motivo per cui usano nomi di dominio simili, ma non identici, è perché non sono tecnicamente in grado di falsificare il vero nome Amazon.com.Se potessero usare "amazon.com" sono certo che lo farebbero.
Hai un errore di logica.Non è "perché sei vulnerabile, proveremo questo" ma piuttosto, "proviamo tutti e le vulnerabilità delle persone saranno esposte".
@SomeGuy l'autore


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...