شرکت باگدشت با ارزیابی امنیتی و ارایه مشاوره امنیتی نسبت به اگاهی رسانی ایمن سازی موضوع اسپوفینگ ایمیلهای سازمانی به سازمانهای دارای همکاری اقدام نمود و در این مقاله بصورت عمومی لزوم ایمن سازی سرورهای ایمیل سازمانی را ارایه نموده است.
۱. مقدمه:
اسپوفینگ یا حمله جعل ، عبارت است از اینکه هر شخص، شرکت، وبسایت و یا سرور ایمیلی با جعل عنوان یا تغییر هویت، قصد کلاهبرداری از کاربر و یا انتشار اخبار ناموثق را داشته باشد. اسپوفینگ درواقع موقعیتی است که در آن، مهاجم خود را با عنوان شخص دیگری معرفی کرده و یا با جعل اطلاعات، موفق به دسترسی به اطلاعات و یا اعلام اخبار غیرواقعی از سوی افراد شناخته شده میشود که البته این دسترسی از نظر قانونی غیر مجاز است. برای کسب اطلاعات بیشتر همراه باگدشت باشید.
۲. جعل ایمیل :
مجموعه تکنیکها و روشهایی که با استفاده از آنها میتوان یک ایمیل را جعل کرده تا بتوان کاربر را به مسیر مورد نظر جهت به سرقت بردن اطلاعات هدایت کرد. در این روش، با استفاده از ایجاد تغییر در نام نویسنده ایمیل و محتوای موجود در آن سعی دارند تا کاربر را فریب داده و وی را مجاب به ارسال اطلاعات شخصی و یا اجرای اقدامات مورد نظر مهاجم نمایند. در واقع استفاده از آدرس ایمیل جعلی و یکسان با آدرس ایمیل واقعی در قسمت from ایمیل ارسال شده باعث میشود که کاربر هیچ شکی در خصوص جعلی بودن ایمیل نکند. درون ایمیل نیز انواع لینکهای جعلی و هرزنامهها قرار داده شده تا به سرعت اطلاعات کاربر کپی برداری و ارسال گردد.
در نگاه اول Email Spoofing یا جعل ایمیل مشکل بزرگی به نظر نمیرسد ولی با بررسی اجمالی آمار کلاهبرداری از این طریق متوجه به اهمیت این موضوع میشویم. در سال ۲۰۱۷ نزدیک به ۳۰.۰۰۰ ایمیل جعلی فرستاده شد. در سال ۲۰۱۵ هکرها با فرستادن ایمیل جعلی به کارمندان Sony Pictures حساب کاربری کارمندان این شرکت را در تمام شبکههای اجتماعی را در اختیار گرفتند. هکرها با ساختن ایمیل جعلی و قرار دادن یک لینک از کارمندان درخواست وارد کردن رمزعبور و حساب کاربری شرکت را کردند. در نهایت هکرها توانستند ۱۰۰ ترابایت از اطلاعات این شرکت را سرقت کنند. اطلاعات سرقت شده شامل جدیدترین محصولات سونی بود و بیش از ۱۰۰ میلیون دلار به شرکت Sony Pictures خسارت وارد کرد.
۱.۲. روشهای جعل ایمیل:
این نوع از حملات به روشهای مختلفی رخ میدهند. بهعنوان مثال، مهاجم میتواند از آدرس IP جعلی برای رسیدن به اهداف خود کمک بگیرد. همچنین، یک مهاجم ممکن است ایمیلهای جعلی ارسال کند یا وبسایتهای جعلی بهمنظور جذب کاربران و به دست آوردن نام ورود به سیستم، کلمه عبور، اطلاعات حساب کاربران و.. راهاندازی کند. پس اسپوفینگ روشی است برای هکرهای کلاه سیاه تا عملیات کلاهبرداری خود را مخفی کرده و آن را طبیعی جلوه دهند.
هدف نهایی جعل ایمیل ، بازکردن ایمیل ارسال شده توسط مهاجم و انجام عملیات مدنظر مهاجم توسط دریافت کننده ایمیل است. اثر این حملات متفاوت است که میتوان از یک مزاحمت ساده برای قربانی تا ایجاد لینک به صفحه جعلی برای سرقت اطلاعات بانکی کاربر و یا انتشار اخبار و ادعای کذب برای ایجاد اختشاش در سازمان نام برد.
۳. دلایل جعل ایمیل :
اگرچه هدف اصلی اجرای این حملات در سالهای گذشته حملات فیشینگ بوده است ولی در حال حاضر علی الخصوص با اجرای امور بصورت برخط و دورکاری و ارتباط فیزیکی کمتر کارکنان سازمان با یکدیگر، راه نفوذ دیگری برای جلب اعتماد در سازمانها توسط مهاجمین شناسایی شده است که شامل:
- هویت فرستنده ایمیل مخفی شود: از این طریق به راحتی هویت فرستنده ایمیل مخفی میشود.
- اجتناب از فهرست هرزنامه: در این حالت هدف فرستنده ایمیل، ارسال ایمیل در ابعاد وسیع است و یا به اصطلاح Spamming را اجرا میکند. پس برای اینکه ایمیلهای فرستاده شده مسدود نشود، فرستنده باید مرتبا آدرس ایمیل را عوض بکند.
- جعل هویت فرستنده ایمیل: در این حالت گیرنده ایمیل به آدرس ایمیل دریافتی اطمینان دارد. بنابراین مهاجم آدرس ایمیل را جعل میکند.
- جعل ایمیل سازمانی مانند بانکها: مهاجم با جعل آدرس ایمیل بانک کاربر قربانی به صفحه دلخواه هدایت میکند و کاربر قربانی اطلاعات بانکی خود را در اختیار مهاجم قرار میدهد.
- از بین بردن شهرت شرکت: برای مثال، فردی از روی خصومت شخصی از جانب مدیرعامل شرکت به افراد یا سازمانهای دیگر، ایمیل نامربوط یا حتی توهین آمیز ارسال کند.
- استفاده غیر مجاز از هویت حقیقی افراد: برای مثال از طرف ایمیل قربانی درخواست اطلاعات بانکی ارسال کند.
در شکل یک نمونه ایمیل جعل شده آورده شده است که دارای مشخصات زیر است:
- Multiple SPF record
v =spf1 a mx ip4:x.x.x.0/24 ip4:x.x.x.0/24 mx:mx1.x.ir mx:mx2.x.ir –all
v=spf1 a mx ip4: x.x.x.x/32 mx:mx1.x.ir -all - No DMARC record
- No DKIM record
۴. محافظت در برابر جعل ایمیل :
اگر پروتکل ایمیل SMTP (Simple Mail Transfer Protocol) فاقد فرایند احرازهویت باشد، مهاجم به راحتی آدرس فرستنده اصلی را جعل میکند. بنابراین، بسیار از شرکتهای ارائه دهنده سرویسهای ایمیل قسمت Spam ایجاد کردهاند. این بخش ایمیلهای که فرایندهای استاندارد حفاظت از ایمیل را رعایت نمیکنند در این قسمت ذخیره میکند. فرایندهای احرازهویت ایمیل شامل:
۱.۴. SPF
روش SPF به شما اجازه میدهد اطلاعات فرستنده یا فرستندههای اصلی ایمیل را روی دامنه خود تعریف کنید و تمام میل سرورها از روی آن اطلاعات میتوانند هویت واقعی فرستنده ایمیل را شناسایی کنند. بنابراین ایمیلهای ارسال شده توسط میل سرورها بررسی میشوند اگر اطلاعات فرستنده با موارد مطرح شده در SPF مطابقت داشت ایمیل دریافت میگردد در غیر این صورت ایمیل به نام ایمیل جعلی یا اسپم شناسایی خواهد شد. هر رکورد SPF دارای نسخه است و در حال حاضر این عدد v=spf1 است. سوییچهای متغیر SPF با نام directives شناخته میشوند و مشخص میکنند در صورتیکه فرستنده ایمیل موارد تعریف شده شما نباشد چه واکنشی صورت پذیرد که در ادامه آورده شده است.
توضیح | نتیجه | پارامتر |
این پارامتر بصورت پیشفرض اجرا شده و تمامی ایمیلها را ارسال میکند | Pass | + |
این پارامتر یک کانال غیرمجاز برای عدم ارسال ایمیل تعریف میکند | Fail | – |
این پارامتر یک کانال غیرمجاز برای عدم ارسال ایمیل تعریف میکند ولی گیرنده این موضوع را برای تست استفاده مینماید | SoftFail | – |
این پارامتر در خصوص ایمیلهایی که معتبر بودن آنها توضیحی عنوان نشده است گیرنده آن ایمیل را دریافت میکند | Neutral | ? |
به منظور تکمیل واکنش directives پارامتر دیگری به عنوان مثال v=spf1 mx –all تعریف میشود که به عنوان مکانیزم که حالات مختلف هریک از مفاهیم بالا را ارایه میدهد.
توضیح | مکانیزم |
همیشه اعمال شود | all |
رکورد A مربوط به دامین دارای آدرس IP ارسال کننده است | a |
رکورد MX مربوط به دامین دارای آدرس IP ارسال کننده است | mx |
آدرس IP ارسال کننده از نوع IPv4 است و یا subnet از نوع IPv4 دارای آدرس IP ارسال کننده است | ip4 |
آدرس IP ارسال کننده از نوع IPv6 است و یا subnet از نوع IPv6 دارای آدرس IP ارسال کننده است | ip6 |
آدرس IP ارسال کننده که توسط SPF مجاز شمرده میشود مربوط به دامین دیگر است | redirect |
درخواست دیگری برای دامین مشخص شده در این مکانیزم دارای آدرس IP ارسال کننده است | include |
۲.۴. DKIM
کلید دامنه یا Domain key یک سیستم تصدیق و احراز هویت پستالکترونیک میباشد. این متد در زمان ارسال پستالکترونیک مشخصاتی از قبیل نام فرستنده، نام دامین، موضوع نامه و… را به عنوان امضای الکترونیکی در هدر پستالکترونیک (Header) قرار میدهد. بنابراین زمانی که گیرنده پستالکترونیک را دریافت، ابتدا اطلاعات را از هدر پستالکترونیک خوانده و در DNS سرور خود مجددا بررسی و از اعتبار و عدم هرزنامه بودن آن اطمینان حاصل مینماید، چنانچه مشکلی وجود نداشت آنرا به مقصد نهایی هدایت مینماید.
نیاز سازمانها برای شناسایی و تصدیق آدرسهای پستالکترونیک باعث بوجود آمدن پروتکل پیشرفتهتری به نام DKIM شد. این روش دامنه فرستنده به کمک Cryptographic Authentication بررسی میکند. سازمان مهندسی اینترنت یا Internet Engineering Task Force) IETF) پروتکل DKIM را به عنوان یک استاندارد جهانی معرفی و در حال حاضر بسیاری از سازمانها از آن برای کنترل پستهای الکترونیک خود استفاده میکنند. در این پارامتر نوع رمزنگاری و همچنین کلید عمومی همراه با هدر ایمیل ارسال میشود تا گیرنده بررسی را بر آن اساس صورت دهد.
"k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDmzRmJRQxLEuyYiyMg4suA2Sy
MwR5MGHpP9diNT1hRiwUd/mZp1ro7kIDTKS8ttkI6z6eTRW9e9dDOxzSxNuXmume60Cjbu08gOyhPG3
GfWdg7QkdN6kR4V75MFlw624VY35DaXBvnlTJTgRg/EW72O1DiYVThkyCgpSYS8nmEQIDAQAB"
۳.۴. DMARC
پروتکل DMARC که مخفف عبارت انگلیسی Domain-based Message Authentication, Reporting and Conformance است، به این معناست که فرایندی ایجاد خواهد شد که ارسال کننده و دریافتکننده با استفاده از متدهای مختلف که بر اساس SPF و DKIM میباشند، اقدام یا سیاست مورد نظر در مورد ایمیل دریافتی را انجام دهد و کمک خواهند کرد تا ایمیلهای جعلی محدود شود. این موضوع توسط پارامترهای Policy دامین و ساب دامین، آدرس ایمیل دریافت کننده لاگ ایمیلهای جعلی، آدرس ایمیل لاگ فارنزیک ایمیلهای جعلی و غیره انجام میشود.
"v=DMARC1;p=none;sp=quarantine;pct=100;rua=mailto:dmarcreports@example.com;"
نمونه ایمیل سرور امن با این توضیح که هر سازمان میبایست بنابر شرایط همکاری های تجاری و قوانین امنیتی خود نسبت به ایمن سازی پارامترهای ایمیل سرور اقدام نماید:
- SFP
v=spf1 mx –all
- DMARC
v=DMARC1; p=reject; rua=mailto:reportcollector@bugdasht.ir; ruf=mailto:reportcollector@bugdasht .ir; sp=reject; fo=1; adkim=s; aspf=s; - DKIM1;
V=DKIM1;
v=ras;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoxqYLxFzdRsSDVjXSERN
HDozgCziEsyhT4dIySuh9ha5Udt5b9F5TATeJlv9icz+ucUddlo1sNcj89NjxUU72u5c1aupT7KvvoframDTT
wfDNtNgkEWMLVV9o33O/pSLRUEPLUFOpg+c3Mc5KRaQGgtVQkw5cD7A+iIC5Giz7PQIDAQAB