Email lừa đảo mạo danh

Tram Ho

I. Tóm tắt

Trong thời đại tiên tiến hiện nay, phần lớn dân số trên toàn thế giới hiện đang sử dụng email. Radicati đã xả thông tin được làm mới vào giữa năm 2019 cho thấy rằng tất cả số lượng khách hàng email động đã tăng lên 3,9 tỷ. [1]

Một mối đe dọa mạng lớn cho mọi doanh nghiệp là lừa đảo mạo danh dựa trên email nhắm mục tiêu nhân sự quan trọng. Chương trình này liên quan đến tội phạm mạng bắt chước các chủ doanh nghiệp và giám đốc điều hành thông qua việc sử dụng email lừa đảo. Tội phạm thường đóng vai trò là nhân viên ở các vị trí có thẩm quyền và yêu cầu nạn nhân thực hiện chuyển tiền, thanh toán hóa đơn hoặc gửi dữ liệu nhạy cảm cho kẻ tấn công.

II. Giới thiệu

CNN tiết lộ rằng thẩm phán của Shark Shark Tank, Barbara Corcoran đã báo cáo gần 4.000.000 đô la thiệt hại do lừa đảo qua email mạo danh lừa đảo nhân viên của cô vào năm 2020. Gần 30.000 người báo cáo là nạn nhân của loại lừa đảo này vào năm ngoái. Khoản lỗ $ 5 triệu đô la, theo Báo cáo Tội phạm Internet năm 2018 của FBI. [2] Dựa trên những vấn đề đó, tài liệu này nhằm cung cấp một nghiên cứu chi tiết về cuộc tấn công Email Lừa đảo. Nó bao gồm tất cả các chủ đề cần thiết để hiểu loại lừa đảo này. Bằng chứng về khái niệm sẽ giúp hình dung cách thức và lý do cuộc tấn công xảy ra và sau đó, nó sẽ hướng dẫn khán giả về cách ngăn chặn và truy nguyên email đáng ngờ.

III. Webmail vs Email Client

Để hiểu được chất bên dưới, trước tiên chúng ta cần hiểu rõ về phác thảo của các loại email cơ bản trong quá trình lưu trữ thông tin. Về cơ bản, email được chia thành 2 loại là Email dựa trên web và Email hoặc Email Client trên máy tính để bàn.

Cái đầu tiên là Email dựa trên Web. Thông thường bạn có thể nhận ra nếu bạn đã từng bắt đầu sử dụng Gmail, Hotmail, Yahoo hoặc tài khoản email khác, rất có thể bạn đã sử dụng webmail. Với webmail, bạn lướt qua và gửi email thông qua trình duyệt internet và giao diện trực tuyến. Thật vậy, webmail cho phép bạn truy cập email của mình từ bất kỳ trình duyệt internet nào, trên bất kỳ tiện ích nào, miễn là bạn được liên kết với Internet. Một trong những nhược điểm của nó là khách hàng không có manh mối nơi thông tin của họ bị bỏ đi.

Cái tiếp theo là Email Client. Nếu bạn sử dụng một chương trình như Microsoft Outlook, Windows Live Mail, Mozilla Thunderbird hoặc Apple Mail để xử lý các thư của bạn, tại thời điểm đó bạn đã sử dụng một ứng dụng email. Ứng dụng email là một phần mềm được cài đặt trên máy tính của bạn. Nói cách khác, để sử dụng ứng dụng email khách để truy cập email tên miền của bạn, trước tiên bạn sẽ cần cài đặt phần mềm ứng dụng email trên máy tính của mình. Khi bạn đã cài đặt ứng dụng email, bạn sẽ cần phải định cấu hình nó để nó biết nơi lấy email của bạn. Các cấu hình cơ bản bao gồm thiết lập địa chỉ email tên miền, tên người dùng, mật khẩu, máy chủ thư đến và cổng đến. Sau đó, bạn sử dụng phần mềm này để tải email từ máy chủ về máy tính và từ đó bạn có thể đọc email gửi. Vì vậy, bạn không cần phải căng thẳng về bảo mật thông tin. Mặt khác, điều này có thể được xem như là một trở ngại bây giờ và một lần nữa, đặc biệt khi nó được sử dụng trong các kỳ thi hình sự, bằng chứng sẽ không được thu thập từ máy chủ.

IV. Máy chủ SMTP

Máy chủ SMTP (Giao thức chuyển thư đơn giản) là một ứng dụng có vai trò cơ bản là gửi, nhận, cũng như chuyển thư hoạt động giữa người gửi và người nhận email.

Một máy chủ SMTP sẽ có một địa chỉ có thể được đặt bởi ứng dụng thư khách hoặc ứng dụng mà bạn đang sử dụng và thường được định dạng là smtp.serveraddress.com . (Ví dụ: địa chỉ máy chủ SMTP của Gmail là smtp.gmail.com Bạn cũng có thể tìm thấy địa chỉ máy chủ SMTP của mình trong phần tài khoản hoặc cài đặt của ứng dụng thư khách.)

Tại thời điểm bạn gửi email, máy chủ SMTP sẽ tạo email của bạn, chọn máy chủ nào sẽ gửi thư đến và chuyển thư đến máy chủ đó. Nhà cung cấp dịch vụ hộp thư đến của người nhận, chẳng hạn như Gmail hoặc AOL sau đó tải xuống thư và đặt nó vào hộp thư đến của người nhận.

Trước khi đi vào cách thức hoạt động của một hệ thống email, chúng ta phải trải nghiệm các phân đoạn bên trong của hệ thống đó. Bên dưới sẽ là một phân đoạn của máy chủ SMTP.

Tác nhân người dùng thư (MUA): MUA là một ứng dụng PC mà bạn liên kết, thay vì máy chủ email, vận chuyển email. Một phần ứng dụng ứng dụng thư khách giao tiếp trực tiếp với máy khách cuối để đến máy chủ thư để đọc, soạn và gửi email. Phân đoạn này bên trong hệ thống Giao thức chuyển thư đơn giản (SMTP) chịu trách nhiệm tạo thư email để chuyển sang Đại lý chuyển thư (MTA). Các thể hiện của MUA là Thunderbird, MS Outlook, phần mềm Zimbra Desktop … Các giao diện webmail như Gmail và Yahoo! Ngoài ra được coi là MUA.

Đại lý gửi thư (MSA): Một chương trình máy chủ nhận thư từ MUA, kiểm tra mọi lỗi và chuyển nó sang MTA được hỗ trợ trên một máy chủ tương tự. Nó sử dụng ESMTP, một biến thể của Giao thức chuyển thư đơn giản (SMTP), như được chỉ ra trong RFC 6409 [3]. MTA thừa nhận thư tiếp cận của khách hàng, trong khi MSA thừa nhận thư gửi đi của khách hàng.

Đại lý chuyển thư (MTA): MTA còn được gọi là chuyển tiếp thư, chịu trách nhiệm chuyển email đến từ máy chủ thư của người gửi đến máy chủ thư của người nhận thư của người dùng cuối hoặc đích. Để chi tiết, một ứng dụng máy chủ nhận thư từ MSA hoặc từ một MTA khác. Nó sẽ khám phá (thông qua các máy chủ tên và DNS) bản ghi MX từ vùng DNS của miền người nhận để biết cách chuyển thư. Sau đó, nó chuyển thư (với SMTP) sang một MTA khác (được gọi là chuyển tiếp SMTP) hoặc, nếu đã đạt được máy chủ của người nhận, đến MDA. Các thể hiện của MTA là Postfix, Exim, Sendmail, qmail, …

Đại lý chuyển phát thư (MDA): Một chương trình máy chủ nhận thư từ MTA của máy chủ và lưu nó vào hộp thư. MDA còn được gọi là LDA (Đại lý giao hàng địa phương). Một ví dụ là Dovecot, chủ yếu là máy chủ POP3 và IMAP cho phép MUA lấy thư, nhưng cũng bao gồm một MDA lấy thư từ MTA và gửi nó đến hộp thư của máy chủ.

Hộp thư (Maildir / mbox): Lưu trữ thư của máy chủ. Maildir là một cách lưu trữ email. Nó thường được ưa thích hơn mbox.

SMTP: Giao thức được MUA sử dụng để gửi email đến MSA. Cổng SMTP được đề xuất để gửi thư (từ MUA đến MSA) là cổng 587, sử dụng mã hóa TLS.

IMAP / POP3: Giao thức POP và IMAP được sử dụng để tìm nạp email từ hộp thư của máy chủ người nhận đến MUA người nhận. POP3 xóa các email từ máy chủ sau khi chúng được tải xuống. IMAP thường được ưa thích hơn vì nó duy trì tất cả các thông báo email trên máy chủ, cho phép quản lý hộp thư bởi nhiều ứng dụng email.

Bản ghi trao đổi thư (bản ghi MX): Về cơ bản, Bộ trao đổi thư (MX) đóng vai trò là một hướng dẫn để email đến máy chủ thư của bạn. Cụ thể, bản ghi MX trong DNS chỉ định máy chủ nào chịu trách nhiệm chấp nhận địa chỉ email thay mặt cho một tên miền. Tên máy chủ từ bản ghi MX phải ánh xạ tới một hoặc nhiều bản ghi địa chỉ (A hoặc AAAA) trong DNS và không được trỏ đến bất kỳ bản ghi CNAME nào.

Khi người gửi gửi email, SMTP đảm bảo rằng email được gửi từ máy chủ của người gửi đến máy chủ người nhận. Khi email đến máy chủ người nhận MTA của máy chủ nhận sẽ nhận email của người gửi và chuyển tiếp đến MDA địa phương. MDA sau đó viết email vào hộp thư của người nhận. Khi người nhận sử dụng MUA để kiểm tra email, MUA sẽ sử dụng POP hoặc IMAP để truy xuất thư

Để giải thích thêm, chúng tôi giả định rằng [email được bảo vệ] đã gửi email đến [email được bảo vệ] nên luồng sẽ là:

  1. MUA của người gửi bắt đầu kết nối đến máy chủ thư mail.exampleA.tst bằng giao thức SMTP (thường là Cổng TCP 25). Máy khách và máy chủ bắt đầu một cuộc trò chuyện ngắn gọn về mối quan hệ trực tuyến, trong đó phần sau kiểm tra tất cả dữ liệu liên quan đến việc truyền thông điệp (người gửi, người nhận, tên miền, v.v.). Lưu ý rằng ngôn ngữ SMTP chỉ xác định việc truyền thông điệp và không xử lý nội dung chính của nó. Sau đó, nếu tên miền nơi người nhận của bạn có tài khoản của anh ta được kết nối trực tiếp với máy chủ, email sẽ được gửi ngay lập tức. Nếu không phải như vậy, thì SMTP sẽ trao nó cho một máy chủ đến gần hơn với người nhận (trong thuật ngữ này, các đoạn này được gọi là rơle). Nếu máy chủ của người nhận ngừng hoạt động hoặc bận thì sao? Máy chủ SMTP chỉ cần thả thư xuống máy chủ dự phòng: nếu không có thư nào trong số đó, email sẽ được xếp hàng và việc gửi được định kỳ. Sau một thời gian xác định, tuy nhiên, tin nhắn được trả lại là không gửi được. Tuy nhiên, nếu không có vấn đề gì, phân đoạn cuối cùng được kiểm soát bởi POP, một giao thức khác sẽ nhận email từ máy chủ nhận và đưa nó vào hộp thư đến của người nhận.

  2. Máy chủ mail mail.exampleA.tst nhận email và biết rằng tên miền đích để gửi email đến là @ exampleB.tst . Máy chủ mail.exampleA.tst tạo một truy vấn đến máy chủ DNS để hỏi thông tin bản ghi MX của tên miền @ exampleB.tst . Giả sử rằng không có thông tin về tên miền @ exampleB.tst trong bộ đệm của máy chủ DNS.

  3. Đến lượt mình, máy chủ DNS tạo một truy vấn đệ quy đối với máy chủ DNS có thẩm quyền và tìm thông tin trong bản ghi MX của tên miền @ exampleB.tst . Thông tin này sẽ được trả về máy chủ mail.exampleA.tst. Bây giờ máy chủ mail.exampleA.tst có địa chỉ IP của máy chủ thư đích, nó sẽ gửi email trực tiếp đến máy chủ thư mail.exampleB.tst qua Internet. SMTP được sử dụng để liên lạc giữa các máy chủ thư nguồn và đích.

  4. Email đến được nhận bởi SMTP (MTA) cục bộ trên máy chủ mail.exampleB.tst. Sau khi nhận được email, nó được gửi đến MDA, sau đó được gửi đến hộp thư của người nhận được lưu trữ trên máy chủ. Máy chủ có hộp thư riêng cho mỗi người dùng.

  5. Khi người nhận kiểm tra email bằng POP hoặc IMAP, email sẽ được truy xuất từ ​​máy chủ đến máy tính của người dùng thông qua MUA. Tùy thuộc vào cấu hình MUA, email có thể được tải xuống trong máy trạm, bản sao có thể được giữ trong cả máy chủ và máy trạm hoặc email giữa máy chủ và MUA được đồng bộ hóa, tùy thuộc vào việc phân phối bạn chọn giao thức POP hoặc IMAP.

Ngoài ra, vẫn còn một cổng thư, nó đứng trước máy chủ thư, hoạt động như một tường lửa với tính năng chống lừa đảo, bảo vệ DLP (ngăn ngừa mất dữ liệu) và lọc thư nâng cao …

V. Xác thực email

Email được gửi bằng giao thức chuyển thư đơn giản SMTP. Nói chung, một máy chủ SMTP phải nói giao thức này. Các máy chủ SMTP hiện tại cũng nên xem xét các phương pháp để xác thực, chẳng hạn như DKIM và SPF. Xác minh email có lẽ là cách tiếp cận lý tưởng nhất để chuyển sang nhận máy chủ mà email bạn đang gửi là xác thực.

Email xác định tên miền (DKIM): Nó cung cấp một cách để xác thực rằng một tổ chức gửi email có quyền làm như vậy. Người gửi tạo giá trị băm MD5 của các thành phần nhất định của email (ví dụ: tiêu đề email). Người gửi tại thời điểm đó sử dụng khóa riêng (chỉ được anh ta biết) để tranh giành băm MD5 đó. Chuỗi được xáo trộn được nhúng vào thư, được gọi là chữ ký DKIM. Người gửi lưu trữ một khóa mở trong bản ghi DNS. Người nhận tìm thấy khóa chung từ DNS cho tên miền đó. Người nhận tại thời điểm đó sử dụng khóa chung này để giải mã chữ ký DKIM từ email trở lại hàm băm MD5 đầu tiên. Người nhận tạo ra một hàm băm MD5 khác từ các thành phần của email được đánh dấu bởi DKIM và so sánh nó với hàm băm MD5 đầu tiên. Nếu họ phối hợp, người thu thập nhận ra rằng:

  • Tên miền gửi email là chủ sở hữu của tên miền đó (về mặt toán học gần như không thể giả mạo chữ ký DKIM chính xác để giải mã băm MD5 ban đầu bằng khóa chung).

  • Các yếu tố của email được ký bởi DKIM không bị thay đổi trong quá trình (nếu không thì hàm băm MD5 ban đầu và hàm băm MD5 được tạo của người nhận sẽ không khớp). Thiếu sót của DKIM là nó chỉ có thể bảo vệ thư đã được ký, nhưng nó không cung cấp một cơ chế để chứng minh rằng thư không được ký nên đã được ký.

Truy vấn khóa DKIM cần sử dụng công cụ đào.

dig txt google._domainkey.<your_domain>

Khung chính sách người gửi (SPF): SPF cho phép miền người gửi công khai trạng thái mà máy chủ MTA (IP) có thể gửi email thay mặt.

Máy chủ nhận kiểm tra xem SPF có tồn tại trong DNS cho tên miền trong địa chỉ MAIL TỪ (còn gọi là địa chỉ người gửi phong bì) không. Nếu SPF tồn tại, người nhận sẽ kiểm tra xem địa chỉ IP của máy chủ gửi có khớp với danh sách IP trong SPF không.

Thiếu sót của SPF là nó xác nhận máy chủ khởi tạo chỉ nhìn vào tên miền trong địa chỉ MAIL TỪ, chứ không phải tiêu đề thư Từ địa chỉ. Địa chỉ MAIL TỪ là địa chỉ email mà các máy chủ nhận sử dụng để thông báo cho máy chủ gửi về các vấn đề giao hàng; nó cũng được gọi là người gửi phong bì, phong bì từ, địa chỉ thoát hoặc địa chỉ đường dẫn trở lại. Vậy đường dẫn trở lại là gì ?. Đó là địa chỉ email mà máy chủ nhận sử dụng để thông báo cho máy chủ gửi thư về các sự cố gửi, như bị trả lại. Vì vậy, một email có thể vượt qua SPF bất kể địa chỉ là giả mạo.

Chi tiết chuyên ngành chính với SPF là nó hoạt động bằng cách xem tên miền của giá trị Đường dẫn trả lại có trong tiêu đề của email. Máy chủ nhận trích xuất bản ghi SPF của tên miền và sau đó duyệt nếu IP máy chủ email nguồn được chấp thuận để gửi tin nhắn cho tên miền đó.

Máy chủ nhận xác minh SPF bằng cách kiểm tra một mục nhập TXT DNS cụ thể trong miền của bạn, bao gồm danh sách các địa chỉ IP được phê duyệt. Đây là một trong những khía cạnh quan trọng của SPF. Bằng cách sử dụng DNS, nó có thể xây dựng trên một thứ mà mọi trang web hoặc ứng dụng đã có. Mục nhập DNS đó bao gồm một số phần mà mỗi phần cung cấp thông tin khác nhau cho máy chủ.

Truy vấn bản ghi SPF cần sử dụng nslookup

nslookup -type=txt <your_domain>

Xác thực thư, báo cáo và tuân thủ dựa trên tên miền (DMARC): DMARC là một tiêu chuẩn kỹ thuật giúp bảo vệ người gửi và người nhận email khỏi spam, giả mạo và lừa đảo. DMARC cho phép một tổ chức xuất bản một chính sách xác định thực tiễn xác thực email của mình và cung cấp hướng dẫn để nhận máy chủ thư về cách thực thi chúng.

Nó được xây dựng trên đỉnh SPF và DKIM để giải quyết những thiếu sót của hai tiêu chuẩn xác thực này. DMARC cho phép thực thi xác thực DKIM hoặc SPF và xác nhận rằng địa chỉ Display From là xác thực.

Căn chỉnh tên miền bao gồm xác minh rằng địa chỉ Từ (địa chỉ được hiển thị cho người nhận cuối cùng) khớp với:

  • Đối với SPF, tên miền người gửi phong bì (MAIL TỪ).

  • Đối với DKIM, DKIM d = domain (miền ký kết được bao gồm trong tiêu đề chữ ký DKIM cùng với hàm băm được mã hóa).

DMARC dựa trên các tiêu chuẩn SPF và DKIM đã được thiết lập để xác thực email. Nó cũng cõng trên Hệ thống tên miền (DNS) được thiết lập tốt. Nói chung, quá trình xác nhận DMARC hoạt động như thế này:

  1. Quản trị viên tên miền xuất bản chính sách xác định thực tiễn xác thực email của mình và cách nhận máy chủ thư sẽ xử lý thư vi phạm chính sách này. Chính sách DMARC này được liệt kê như một phần của bản ghi DNS tổng thể của tên miền.

  2. Khi một máy chủ thư gửi đến nhận được email đến, nó sẽ sử dụng DNS để tra cứu chính sách DMARC cho tên miền có trong tiêu đề của Thư Từ Hồi (RFC 5322). Sau đó, máy chủ gửi đến kiểm tra đánh giá thông báo cho ba yếu tố chính:

  • Chữ ký DKIM của tin nhắn có xác nhận không?

  • Có phải tin nhắn đến từ các địa chỉ IP được cho phép bởi các bản ghi SPF của miền gửi?

  • Các tiêu đề trong thông báo có hiển thị tên miền phù hợp không?

  1. Với thông tin này, máy chủ đã sẵn sàng áp dụng chính sách DMARC của miền gửi để quyết định chấp nhận, từ chối hoặc gắn cờ thư email.

4 Sau khi sử dụng chính sách DMARC để xác định bố trí phù hợp cho thư, máy chủ nhận thư sẽ báo cáo kết quả cho chủ sở hữu tên miền gửi.

Truy vấn bản ghi DMARC cần sử dụng nslookup.

nslookup - type=txt _dmarc.<your_domain>

Tóm lại, DKIM, SPF và DMARC là tất cả các tiêu chuẩn cho phép các khía cạnh khác nhau của xác thực email. Họ giải quyết các vấn đề bổ sung.

  • SPF cho phép người gửi xác định địa chỉ IP nào được phép gửi thư cho một tên miền cụ thể.

  • DKIM cung cấp khóa mã hóa và chữ ký số xác minh rằng thư email không bị làm giả hoặc thay đổi.

  • DMARC hợp nhất các cơ chế xác thực SPF và DKIM thành một khung chung và cho phép chủ sở hữu tên miền khai báo cách họ muốn xử lý email từ tên miền đó nếu không kiểm tra ủy quyền.

VI. Các cơ chế của email giả mạo

Có hai kỹ thuật mạo danh bình thường cứ thỉnh thoảng được sử dụng bởi tội phạm mạng. Với mục đích minh họa, chúng ta hãy nói người của chúng ta ở vị trí có thẩm quyền mà chúng ta muốn mạo danh là Saul Goodman và địa chỉ email của anh ta là [email được bảo vệ] :

Phương pháp 1 – Giả mạo địa chỉ email: Địa chỉ email của Saul và tên của anh ta bị giả mạo trên một email đến để người gửi dường như là: Saul Goodman [email được bảo vệ] .

Phương pháp 2 – Giả mạo tên hiển thị: Chỉ tên của Saul là giả mạo, nhưng không phải là địa chỉ email: Saul Goodman [được bảo vệ bằng email] hoặc SauI Goodman [được bảo vệ bằng email] (Bởi vì trong một số phông chữ, chữ cái l l có vẻ giống với chữ cái chữ hoa là chữ I I)

Với khả năng truy cập email miễn phí trực tuyến, Phương pháp 2 là một cuộc tấn công đơn giản và công nghệ thấp phải làm. Kẻ xâm lược phát hiện ra tên của một cá nhân trong doanh nghiệp của bạn, người đang ở vị trí có thẩm quyền và sau đó đăng ký dịch vụ email miễn phí như Gmail, Outlook.com hoặc Yahoo Mail bằng tên của họ. Kẻ tấn công tại thời điểm đó sử dụng dữ liệu có thể truy cập công khai về doanh nghiệp của bạn từ các nguồn, ví dụ: LinkedIn hoặc trang web doanh nghiệp của bạn để nhắm mục tiêu các cá nhân trong liên kết của bạn.

Về mặt tích cực, nhân viên CNTT của bạn có thể thực hiện một vài thay đổi đơn giản cho dịch vụ email của bạn để bảo vệ doanh nghiệp của bạn khỏi cả Phương pháp 1 và 2 ở trên.

Hai phần sau có các hướng dẫn chi tiết thực hiện thay đổi dịch vụ thư của bạn để doanh nghiệp của bạn có thể giúp xác định và chặn các email giả mạo và giúp ngăn chặn các cuộc tấn công mạo danh. Các hướng dẫn được viết với một đối tượng kỹ thuật trong tâm trí. Nếu đây không phải là bạn, chúng tôi khuyên bạn nên gửi bài viết này cho nhân viên CNTT hoặc nhà thầu chịu trách nhiệm về dịch vụ email của bạn và yêu cầu họ thực hiện các thay đổi bên dưới.

Ngăn chặn giả mạo địa chỉ email (Phương pháp 1)

Bạn có biết rằng mỗi email có hai người gửi khác nhau? Một địa chỉ email được gọi là 'người gửi phong bì' và địa chỉ còn lại được đặt trong tiêu đề email. Cái sau được gọi là tiêu đề 'From:', thường được hiển thị bởi các ứng dụng email, như Microsoft Outlook. Thật không may, tội phạm mạng có thể giả mạo tiêu đề 'Từ:' để lừa khách hàng email hiển thị tên và địa chỉ email thuộc về doanh nghiệp của bạn.

Bạn hoặc nhân viên CNTT của bạn có thể thay đổi cài đặt dịch vụ email của bạn để giúp chặn các email lừa đảo đến tổ chức của bạn và thông báo cho các dịch vụ email khác về việc một email hợp pháp đến từ bạn sẽ như thế nào. Điều này được thực hiện bằng cách thêm các bản ghi DNS, DKIM và DMARC vào tên miền của công ty bạn.

Thêm SPF, DKIM và DMARC vào bản ghi tên miền của doanh nghiệp không phức tạp như âm thanh. Trong trường hợp doanh nghiệp của bạn sử dụng Office 365 hoặc G Suite, bạn chỉ cần làm theo các hướng dẫn được nêu dưới đây cho nhà cung cấp thư của bạn.

Tạo bản ghi SPF:

  • Hướng dẫn G Suite [4]

  • Hướng dẫn Office 365 [5]

Tạo bản ghi DKIM:

  • Hướng dẫn G Suite [6]

  • Hướng dẫn Office 365 [7]

Chỉ riêng SPF không thể ngăn chặn giả mạo. Nếu không có bản ghi DMARC, tội phạm mạng vẫn có thể giả mạo địa chỉ email của doanh nghiệp của bạn vì SPF chỉ được kiểm tra đối với 'người gửi phong bì' vô hình, tuy nhiên không phải là tiêu đề 'Từ:'. Như vậy, bọn tội phạm có thể giả mạo địa chỉ email của người gửi và nó sẽ vượt qua kiểm tra SPF – và đây là lý do bạn cần bản ghi DMARC.

Cách chống giả mạo tên hiển thị (Cách 2)

Với tội phạm mạng Phương pháp 2, chỉ cần đăng ký một địa chỉ email mới với nhà cung cấp email miễn phí sử dụng cùng tên với một giám đốc điều hành từ tổ chức của bạn (ví dụ: Saul Goodman ¡ [email được bảo vệ] ). Về mặt kỹ thuật, địa chỉ email là hợp lệ, vì vậy các email được gửi từ các tài khoản này sẽ chuyển qua bộ lọc chống thư rác. Tương tự, các bản ghi SPF / DKIM / DMARC cũng sẽ không chặn các email lừa đảo này, vì địa chỉ email không bị giả mạo.

Trong tình huống này, tuyến phòng thủ đầu tiên và cuối cùng là nhân viên của bạn. Họ cần cảnh giác và sẵn sàng xác định email bằng cách sử dụng kỹ thuật giả mạo tên hiển thị. Nhân viên nên được đào tạo để xác định các email lừa đảo với tên hiển thị giả mạo và sẽ nhận được càng nhiều phương tiện trực quan càng tốt để phát hiện nếu có gì đó tắt. May mắn thay, Office 365 [8] và G Suite [9] có thể được cấu hình để giúp chống giả mạo tên hiển thị bằng cách cung cấp cho nhân viên các đầu mối trực quan.

VII. Phương pháp điều tra email

1. Phân tích tiêu đề

Siêu dữ liệu trong thư email ở dạng thông tin được kiểm soát, có nghĩa là các tiêu đề trong phần thân của thư chứa thông tin về người gửi hoặc đường dẫn mà thư đã đi qua. Một trong số này có thể được giả mạo để che giấu danh tính của người gửi. Một phân tích chi tiết về chủ đề email có thể đưa ra manh mối.

2. Chiến thuật mồi

Kiểu điều tra này chuyển thành mồi nhử và điều tra viên bằng cách nào đó sẽ gửi email bằng thẻ <img src> ', mà src sẽ là một liên kết đến máy chủ theo dõi. Khi e-mail được mở, một mục nhật ký chứa địa chỉ IP của người nhận (người gửi e-mail đang được điều tra) được ghi lại trên máy chủ HTTP của máy chủ và do đó người gửi được theo dõi. Tuy nhiên, nếu người nhận (người gửi email đang được điều tra) đang sử dụng máy chủ proxy, địa chỉ IP của máy chủ proxy sẽ được ghi lại. Nhật ký trên máy chủ proxy có thể được sử dụng để theo dõi người gửi e-mail đang được điều tra. Nếu vì lý do nào đó, nhật ký máy chủ proxy không khả dụng, các nhà điều tra có thể gửi các email chiến thuật khác có chứa a) Ứng dụng Java nhúng chạy trên máy tính của người nhận hoặc b) trang HTML với Active X Object. Cả hai đều nhằm trích xuất địa chỉ IP của máy tính nhận máy tính và gửi e-mail cho các nhà điều tra.

3. Điều tra máy chủ

Máy chủ thường sẽ lưu một bản sao của email được gửi và nhận trong nhật ký của họ. Từ đây chúng ta có thể làm sạch các thông tin cần thiết. Tuy nhiên, vì nhật ký máy chủ thường lưu trữ các bản sao email trong một khoảng thời gian giới hạn, vấn đề thời gian. Nếu họ không nhanh chóng nhận được các nhật ký cần thiết, họ sẽ bị xóa bởi máy chủ và thứ hai là số lượng bản sao mới sẽ rất nhiều, gây khó khăn cho việc điều tra.

4. Định danh nhúng phần mềm

Một số thông tin về người tạo email hoặc thông tin đính kèm có thể được bao gồm trong email do phần mềm chỉnh sửa email để lại. Thông tin này có thể được hiển thị trong tiêu đề hoặc dưới dạng nội dung MIME, chẳng hạn như Định dạng đóng gói trung lập vận chuyển (TNEF). Điều tra thông tin như vậy có thể giúp các nhà điều tra thu thập thêm bằng chứng về phía khách hàng. Cuộc điều tra có thể tiết lộ tên tệp PST, tên người dùng, địa chỉ MAC, v.v. của khách hàng đã gửi email.

5. Truy tìm email với tiêu đề

Như đã đề cập ở trên, có nhiều kỹ thuật để điều tra email, nhưng trong phần này, tôi sẽ trình bày chi tiết một kỹ thuật có thể truy xuất nguồn gốc của email dựa trên phân tích tiêu đề. Bạn có thể lấy lại địa chỉ email của mình bằng cách phân tích cẩn thận toàn bộ chủ đề của email. Tiêu đề email chứa thông tin định tuyến và siêu dữ liệu email. Đây là thông tin mà hầu hết người dùng thường bỏ qua nhưng họ đóng vai trò rất quan trọng trong việc truy tìm nguồn gốc của email. Hầu hết các ứng dụng email không hiển thị các tiêu đề email tiêu chuẩn đầy đủ vì chúng chứa đầy dữ liệu kỹ thuật hơi chuyên biệt và chỉ khiến người dùng trung bình bối rối hơn. Tuy nhiên, hầu hết các ứng dụng email đều hỗ trợ kiểm tra tiêu đề email đầy đủ:

  • Để xem tiêu đề email đầy đủ trong Gmail: Mở tài khoản Gmail của bạn, sau đó mở email bạn muốn theo dõi. Cuộn đến thanh cuộn ở góc trên cùng bên phải, sau đó chọn tùy chọn Hiển thị ban đầu.

  • Xem tiêu đề email đầy đủ trong Outlook: Bấm đúp vào email bạn muốn theo dõi, sau đó đi đến Tệp và chọn Thuộc tính. Thông tin xuất hiện trong các tiêu đề internet (tiêu đề internet).

  • Xem chủ đề email đầy đủ trong Apple Mail: Mở email bạn muốn theo dõi, sau đó di chuyển đến Xem> Tin nhắn> Nguồn thô.

Có rất nhiều thông tin được hiển thị trong một tiêu đề email đầy đủ, nhưng bạn chỉ cần chú ý đến những điều sau: Bạn đọc theo thứ tự từ dưới lên trên, từ thông tin cũ đến thông tin mới (có nghĩa là thông tin cũ nhất sẽ ở dưới cùng).

Hãy xem tiêu đề email mẫu từ tài khoản Gmail trên MakeUseOf:

Các thành phần trong tiêu đề

Dưới đây là ý nghĩa của nội dung được hiển thị trong tiêu đề Gmail đầy đủ (đọc từ dưới lên trên):

** Trả lời: ** Địa chỉ email bạn đã gửi phản hồi tới.

** Từ: ** Hiển thị người gửi tin nhắn, thông tin này rất dễ bị giả mạo.

Kiểu nội dung: Cung cấp thông tin cho trình duyệt hoặc ứng dụng email của bạn về cách diễn giải nội dung của email. Các bộ ký tự phổ biến nhất là UTF-8 (xem trong ví dụ) và ISO-8859-1.

MIME-Version: Hiển thị định dạng chuẩn mà email đang sử dụng. MIME-Phiên bản thường là 1.0 1.0.

Chủ đề: Chủ đề của nội dung email.

Tới: Người nhận dự định của email có thể hiển thị thêm địa chỉ người nhận.

Chữ ký DKIM: Thư xác định tên miền, xác thực tên miền mà email đã được gửi đến và giúp ngăn chặn gian lận email và gian lận của người gửi.

Đã nhận: Dòng Nhận được liệt kê liệt kê từng máy chủ mà email đã di chuyển trước khi được gửi đến hộp thư đến của bạn. Bạn đọc dòng Nhận được Nhận từ trên xuống dưới; Điểm mấu chốt là người tạo email.

Xác thực-Kết quả: Chứa các bản ghi kiểm tra xác thực đã được thực hiện; có thể chứa các phương thức xác thực khác nhau.

Đã nhận-SPF: Khung chính sách người gửi (SPF) tạo thành một phần của quy trình xác thực email để ngăn chặn các địa chỉ người gửi lừa đảo.

Đường dẫn trả về: Vị trí của các tin nhắn chưa được gửi hoặc bị trả lại.

Xác thực ARC – Kết quả: Chuỗi nhận được xác thực, là một tiêu chuẩn xác thực khác. lấy.

ARC-Message-Chữ ký: Ký hiệu ghi thông tin tiêu đề thư để xác thực, tương tự như DKIM.

ARC-Seal: Có thể được coi là một Dấu niêm phong cho các kết quả xác thực ARC-Message-Signature, tương tự như DKIM.

X-Nhận: Khác với Nhận Nhận Nhận ở chỗ nó được coi là thông tin không chuẩn; có nghĩa là nó có thể không phải là một địa chỉ cố định, chẳng hạn như đại lý chuyển nhượng hoặc máy chủ SMTP của Gmail.

X-Google-Smtp-Source: Hiển thị các email đang được chuyển bằng máy chủ SMTP của Gmail.

Đã gửi-Đến: Người nhận cuối cùng của email này.

Tìm địa chỉ IP gốc nơi gửi email

Để lấy lại địa chỉ email của người gửi email, trước tiên hãy chú ý đến Nhận Nhận Nhận trong tiêu đề email đầy đủ. Bên cạnh dòng Nhận nhận đầu tiên của người dùng là địa chỉ IP của máy chủ đã gửi email. Đôi khi nội dung này được hiển thị dưới dạng X-Originating-IP hoặc Original-IP.

Tìm địa chỉ IP, sau đó cuộn đến trang Hộp công cụ MX [10]. Nhập địa chỉ IP này vào hộp thoại, thay đổi phương thức tìm kiếm thành Reverse Tra cứu, sau đó nhấn enter. Kết quả tìm kiếm sẽ hiển thị rất nhiều thông tin liên quan đến máy chủ gửi.

Các công cụ hữu ích để phân tích các tiêu đề email và truy xuất địa chỉ IP Bạn có thể sử dụng một số công cụ sau để phân tích các tiêu đề email:

  • Tiêu đề thư của hộp công cụ GSuite [11]

  • Trình phân tích tiêu đề email của hộp công cụ MX [12]

  • Dấu vết tiêu đề email địa chỉ IP (có thể phân tích cả tiêu đề email và truy xuất địa chỉ email) [13]

VIII. Tóm lược

Trong các cuộc tấn công mạo danh email, giả mạo địa chỉ email và giả mạo tên người gửi là những kỹ thuật mà tội phạm mạng dựa vào. Một khi nạn nhân bị mắc bẫy, kẻ tấn công có thể lừa họ gửi thông tin nhạy cảm hoặc thanh toán cho họ. Bên cạnh đó, phân tích kỹ thuật số là một quá trình phức tạp và tốn thời gian và các trường hợp lớn đi vào ngõ cụt. Trong bài viết này, chúng tôi đã hình dung cách máy chủ thư hoạt động và đề xuất một số giải pháp bảo vệ kỹ thuật để giảm nguy cơ tấn công này, cũng thảo luận về các vấn đề chính liên quan đến việc điều tra phân tích tiêu đề của email.

IX. Người giới thiệu

[1] https://www.radicati.com/wp/wp-content/uploads/2018/12/Email-Statistic-Report-2019-2023-Exceed-Summary.pdf

[2] https://edition.cnn.com/2020/02/27/business/barbara-corcoran-email-hack-trnd/index.html

[3] https://tools.ietf.org/html/rfc6409#section-3.1

[4] https://support.google.com/a/a/33/338686? Hl = vi

[5] https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/how-office-365-uses-spf-to-prevent-spaggering?view=o365-world Worldwide #HowSPFWorks

[6] https://support.google.com/a/a/174124?hl=vi

[7] https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/use-dkim-to-validate-outbound-email?view=o365-world Worldwide

[8] https://www.securit360.com/blog/configure-warning-messages-office-365-emails-external-senders/

[9] https://support.google.com/a/a/7380041?hl=vi

[10] https://mxtoolbox.com/

[11] https://toolbox.googl OKs.com/apps/messageheader/analyzeheader

[12] https://mxtoolbox.com/EmailHeaders.aspx

[13] https://www.ip-adress.com/trace-email-address

X. Trang web hữu ích

https://sendgrid.com/blog/what-is-an-smtp-server/

https://viblo.asia/p/thu-thap-va-phan-tich-chung-cu-tu-email-924lJq7NZPM

https://blog.ironbastion.com.au/email-impersonation-scams-phishing-what-your-staff-can-do/

https://afreshcloud.com/sysadmin/mail-terminology-mta-mua-msa-mda-smtp-dkim-spf-dmarc

https://ledgeledge.ondmarc.redsift.com/en/articles/1519838-querying-spf-dkim-and-dmarc-records

https://www.sparkpost.com/resource/email-explained/dmarc-explained/

https://support.dnsimple.com/articles/dkim-record/

https://postmarkapp.com/guides/spf

https://www.campaignmonitor.com/blog/email-marketing/2019/07/email-usage-statistic-in-2019/

https://en.wikipedia.org/wiki/Message_submission_agent

Chia sẻ bài viết ngay

Nguồn bài viết : Viblo