Difficoltà e-mail vecchie di decenni potrebbero consentire agli aggressori di mascherare le loro identità

difficolta-e-mail-vecchie-di-decenni-potrebbero-consentire-agli-aggressori-di-mascherare-le-loro-identita

Ormai hai speriamo di avere familiarità con il solito consiglio per evitare attacchi di phishing : non essere troppo veloce per scaricare gli allegati, non inserire password o inviare denaro da qualche parte di punto in bianco e, ovviamente, non fare clic sui collegamenti a meno che non si sappia con certezza dove effettivamente conducono. Puoi anche controllare l'indirizzo e-mail di ciascun mittente per assicurarti che ciò che assomiglia help@techcompany.com non sia davvero help@techc0mpany.net. Ma una nuova ricerca mostra che anche se controlli l'indirizzo di un mittente fino alla lettera, potresti essere ancora ingannato.

Alla conferenza sulla sicurezza di Black Hat di giovedì, i ricercatori presenteranno “maledetto “sottili imperfezioni nelle protezioni a livello di settore utilizzate per garantire che le e-mail provengano dall'indirizzo a cui si riferiscono. Lo studio ha esaminato i tre grandi protocolli utilizzati nell'autenticazione del mittente dell'e-mail — Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting and Conformance (DMARC) — e trovati 18 esempi di ciò che i ricercatori chiamano “exploit dell'evasione”. Le vulnerabilità non derivano dai protocolli stessi, ma da come diversi servizi di posta elettronica e applicazioni client li implementano. Gli aggressori potrebbero usare queste scappatoie per rendere gli attacchi di spearphishing ancora più difficili da rilevare.

“Penso di essere un utente esperto e colto e la realtà è, no, in realtà non è abbastanza, “afferma Vern Paxson, cofondatore della società di analisi del traffico di rete Corelight e ricercatore presso l'Università della California, Berkeley, che ha lavorato allo studio insieme a Jianjun Chen, ricercatore post dottorato presso l'International Computer Science Institute, e Jian Jiang, direttore senior di ingegneria presso Shape Security.

“Anche gli utenti che sono abbastanza esperti guarderanno gli indicatori che Gmail o Hotmail o altri forniscono e saranno ingannati”, dice Paxson.

Pensa a quando dai a un amico un biglietto d'auguri alla loro festa. Probabilmente scrivi solo il loro nome sull'esterno della busta e forse lo sottolinei o disegni un cuore. Tuttavia, se spedisci quella lettera, hai bisogno del nome completo e dell'indirizzo dettagliato del destinatario, di un timbro e, in definitiva, di un timbro postale con una data. L'invio di e-mail su Internet funziona in modo simile. Sebbene i servizi di posta elettronica richiedano solo di compilare i campi “A” e “Oggetto”, c'è un intero elenco di informazioni più dettagliate che vengono compilate dietro le quinte. Quelle “intestazioni” standard del settore, come sono conosciute, includono data e ora inviate e ricevute, lingua, un identificatore univoco chiamato ID messaggio e informazioni di routing.

I ricercatori hanno scoperto che manipolando strategicamente diversi campi di intestazione possono produrre diversi tipi di attacchi, che possono essere utilizzati per ingannare la persona all'altro capo di un'e-mail. “Qual è l'account che lo sta inviando e da dove viene? Non c'è molto che impone che si allineino realmente”, afferma Paxson.

Identità errata

Gli exploit 18 rientrano in tre categorie. Il primo set, chiamato attacchi “intra-server”, preda di incongruenze nel modo in cui un determinato servizio di posta elettronica estrae i dati dalle intestazioni per autenticare un mittente. Prendi il fatto che le intestazioni delle email in realtà hanno due campi “Da”, HELO e MAIL FROM. È possibile impostare diversi meccanismi di autenticazione per riconciliare questi due campi in diversi modi. Ad esempio, alcuni potrebbero essere implementati per interpretare un indirizzo e-mail che inizia con una parentesi aperta, ad esempio (wired@iscool.com, come un campo MAIL FROM vuoto, facendolo affidare invece al campo HELO per i controlli di integrità. incongruenze creano aperture per gli aggressori per impostare domini di posta elettronica strategici o manipolare le intestazioni dei messaggi in modo che si presentino come qualcun altro.

La seconda categoria si concentra sulla manipolazione di incoerenze simili, ma tra il server di posta che riceve il tuo messaggio e l'app che ti viene effettivamente visualizzata. I ricercatori hanno scoperto, ad esempio, enormi incongruenze nel modo in cui server e client diversi gestiscono le intestazioni “Da” che elencano più indirizzi e-mail o indirizzi circondati da un numero diverso di spazi. per contrassegnare tali messaggi come problemi di autenticazione, ma in pratica molti accetteranno il primo indirizzo nell'elenco, l'ultimo indirizzo nell'elenco o tutti gli indirizzi come campo Da. dove il servizio di posta elettronica atterra su quello spettro – e come è configurato il client di posta – gli attaccanti possono giocare questa progressione per inviare e-mail che sembrano provenire da un indirizzo diverso da quello che hanno realmente fatto.

I ricercatori chiamano la terza categoria “replay ambiguo”, perché include diversi metodi di dirottamento e riproposizione (o riproduzione) una e-mail legittima ricevuta da un utente malintenzionato. Questi attacchi sfruttano una qualità nota del meccanismo di autenticazione crittografica DKIM in cui è possibile ricevere un'e-mail che è già stata autenticata, creare un nuovo messaggio in cui tutte le intestazioni e il corpo sono uguali a quelli presenti nell'email originale ed essenzialmente rispedirlo, preservandone l'autenticazione. I ricercatori hanno compiuto un ulteriore passo avanti, rendendosi conto che mentre non è possibile modificare le intestazioni o il corpo esistenti se si desidera mantenere l'autenticazione, è possibile aggiungere ulteriori intestazioni e testo del corpo su ciò che è già presente. In questo modo, gli aggressori potrebbero aggiungere il proprio messaggio e l'oggetto, nascondendo il messaggio reale in un luogo oscuro, come un allegato. Quel po 'di cattiva direzione fa sembrare che il messaggio dell'attaccante provenga dal mittente originale e legittimo ed è stato completamente autenticato.

' All Sorts of Junk '

Sebbene la maggior parte delle persone utilizzi i propri account di posta elettronica senza mai controllare cosa c'è in tutte queste intestazioni nascoste, i servizi di posta elettronica offrono l'opzione. La modalità di accesso varia in base al provider di posta elettronica, ma su Gmail apri il messaggio che desideri controllare, fai clic su Altro , i tre punti verticali accanto a Rispondi nell'angolo in alto a destra, seleziona Mostra originale e l'e-mail originale non semplificata si aprirà in una nuova scheda. Il problema è che persino qualcuno che pettina tutte le intestazioni granulari potrebbe non rilevare che qualcosa non va se non sa cosa cercare.

“Ottieni ogni sorta di junk fluttuante in giro, junk legittimo nel traffico di rete che non è malevolo e tu scrivi cose per provare a gestirlo in vari modi “, afferma Paxson di Corelight. “Se vuoi puoi consegnare la posta, non lasciarla cadere sul pavimento a causa di qualcosa di sintattico più piccolo. Quindi è una corsa alla compatibilità piuttosto che al rigore. Non credo che le persone abbiano apprezzato queste interazioni erano persino lì. È quasi stupido e tuttavia molto reale. “

In tutto, i ricercatori hanno scoperto 10 provider di posta elettronica e 19 client di posta elettronica che erano vulnerabili a uno o più dei loro attacchi, tra cui Gmail di Google, iCloud di Apple, Microsoft Outlook e Yahoo Mail. I ricercatori hanno comunicato a tutte le aziende le loro scoperte e molti hanno assegnato loro ricompense di bug e risolto i problemi o stanno lavorando per risolverli. Microsoft ha detto ai ricercatori che gli attacchi che coinvolgono il social engineering non rientrano nelle vulnerabilità della sicurezza del software. Yahoo non ha ancora preso provvedimenti.

I ricercatori affermano che attualmente non hanno modo di sapere se gli aggressori hanno sfruttato queste debolezze nel corso degli anni. Nell'analizzare il proprio archivio di posta elettronica, Paxson afferma di aver visto alcuni esempi minori di alcune di queste manipolazioni, ma sembravano essere errori involontari, non attacchi dannosi.

I risultati non dovrebbero Ti chiedo di eliminare tutti i consigli che hai sentito sul phishing. È ancora importante evitare di fare clic su collegamenti casuali e controllare l'indirizzo e-mail da cui sembra provenire un messaggio. Ma la ricerca sottolinea l'inutilità della colpa delle vittime quando si tratta di attacchi di phishing. Anche quando fai tutto bene, gli attaccanti potrebbero comunque passare.


Altre fantastiche storie CABLATE