لزوم ایمن سازی سازمان‌ها در برابر Email spoofing یا جعل ایمیل

آذر ۴, ۱۳۹۹

شرکت باگدشت با ارزیابی امنیتی و ارایه مشاوره امنیتی نسبت به اگاهی رسانی ایمن سازی موضوع اسپوفینگ ایمیل‌های سازمانی به سازمان‌های دارای همکاری اقدام نمود و در این مقاله بصورت عمومی لزوم ایمن سازی سرورهای ایمیل سازمانی را ارایه نموده است.

۱. مقدمه:

اسپوفینگ یا حمله جعل ، عبارت است از اینکه هر شخص، شرکت، وب‌سایت و یا سرور ایمیلی با جعل عنوان یا تغییر هویت، قصد کلاه‌برداری از کاربر و یا انتشار اخبار ناموثق را داشته باشد. اسپوفینگ درواقع موقعیتی است که در آن، مهاجم خود را با عنوان شخص دیگری معرفی کرده و یا با جعل اطلاعات، موفق به دسترسی به اطلاعات و یا اعلام اخبار غیرواقعی از سوی افراد شناخته شده می‌شود که البته این دسترسی از نظر قانونی غیر مجاز است. برای کسب اطلاعات بیشتر همراه باگدشت باشید.

۲. جعل ایمیل :

مجموعه تکنیک‌ها و روش‌هایی که با استفاده از آنها می‌توان یک ایمیل را جعل کرده تا بتوان کاربر را به مسیر مورد نظر جهت به سرقت بردن اطلاعات هدایت کرد. در این روش، با استفاده از ایجاد تغییر در نام نویسنده ایمیل و محتوای موجود در آن سعی دارند تا کاربر را فریب داده و وی را مجاب به ارسال اطلاعات شخصی و یا اجرای اقدامات مورد نظر مهاجم نمایند. در واقع استفاده از آدرس ایمیل جعلی و یکسان با آدرس ایمیل واقعی در قسمت from ایمیل ارسال شده باعث می‌شود که کاربر هیچ شکی در خصوص جعلی بودن ایمیل نکند. درون ایمیل نیز انواع لینک‌های جعلی و هرزنامه‌ها قرار داده شده تا به سرعت اطلاعات کاربر کپی برداری و ارسال گردد.

در نگاه اول Email Spoofing یا جعل ایمیل مشکل بزرگی به نظر نمی‌رسد ولی با بررسی اجمالی آمار کلاه‌برداری از این طریق متوجه به اهمیت این موضوع می‌شویم. در سال ۲۰۱۷ نزدیک به ۳۰.۰۰۰ ایمیل جعلی فرستاده شد. در سال ۲۰۱۵ هکرها با فرستادن ایمیل جعلی به کارمندان Sony Pictures حساب کاربری کارمندان این شرکت را در تمام شبکه‌های اجتماعی را در اختیار گرفتند. هکرها با ساختن ایمیل جعلی و قرار دادن یک لینک از کارمندان درخواست وارد کردن رمزعبور و حساب کاربری شرکت را کردند. در نهایت هکرها توانستند ۱۰۰ ترابایت از اطلاعات این شرکت را سرقت کنند. اطلاعات سرقت شده شامل جدیدترین محصولات سونی بود و بیش از ۱۰۰ میلیون دلار به شرکت Sony Pictures خسارت وارد کرد.

۱.۲. روش‌های جعل ایمیل:

این نوع از حملات به روش‌های مختلفی رخ می‌دهند. به‌عنوان مثال، مهاجم می‌تواند از آدرس IP جعلی برای رسیدن به اهداف خود کمک بگیرد. همچنین، یک مهاجم ممکن است ایمیل‌های جعلی ارسال کند یا وب‌سایت‌های جعلی به‌منظور جذب کاربران و به دست آوردن نام ورود به سیستم، کلمه عبور، اطلاعات حساب کاربران و.. راه‌اندازی کند. پس اسپوفینگ روشی است برای هکرهای کلاه سیاه تا عملیات کلاه‌برداری خود را مخفی کرده و آن را طبیعی جلوه دهند.

هدف نهایی جعل ایمیل ، بازکردن ایمیل ارسال شده توسط مهاجم و انجام عملیات مدنظر مهاجم توسط دریافت کننده ایمیل است. اثر این حملات متفاوت است که می‌توان از یک مزاحمت ساده برای قربانی تا ایجاد لینک به صفحه جعلی برای سرقت اطلاعات بانکی کاربر و یا انتشار اخبار و ادعای کذب برای ایجاد اختشاش در سازمان نام برد.

۳. دلایل جعل ایمیل :

اگرچه هدف اصلی اجرای این حملات در سال‌های گذشته حملات فیشینگ بوده است ولی در حال حاضر علی الخصوص با اجرای امور بصورت برخط و دورکاری و ارتباط فیزیکی کمتر کارکنان سازمان با یکدیگر، راه نفوذ دیگری برای جلب اعتماد در سازمان‌ها توسط مهاجمین شناسایی شده است که شامل:

هویت فرستنده ایمیل مخفی شود: از این طریق به راحتی هویت فرستنده ایمیل مخفی می‌شود.
اجتناب از فهرست هرزنامه: در این حالت هدف فرستنده ایمیل، ارسال ایمیل در ابعاد وسیع است و یا به اصطلاح Spamming را اجرا می‌کند. پس برای اینکه ایمیل‌های فرستاده شده مسدود نشود، فرستنده باید مرتبا آدرس ایمیل را عوض بکند.
جعل هویت فرستنده ایمیل: در این حالت گیرنده ایمیل به آدرس ایمیل دریافتی اطمینان دارد. بنابراین مهاجم آدرس ایمیل را جعل می‌کند.
جعل ایمیل سازمانی مانند بانک‌‌ها: مهاجم با جعل آدرس ایمیل بانک کاربر قربانی به صفحه دلخواه هدایت می‌کند و کاربر قربانی اطلاعات بانکی خود را در اختیار مهاجم قرار می‌دهد.
از بین بردن شهرت شرکت: برای مثال، فردی از روی خصومت شخصی از جانب مدیرعامل شرکت به افراد یا سازمان‌های دیگر، ایمیل نامربوط یا حتی توهین آمیز ارسال کند.
استفاده غیر مجاز از هویت حقیقی افراد: برای مثال از طرف ایمیل قربانی درخواست اطلاعات بانکی ارسال کند.

شکل ۱:نمونه ایمیل سرور آسیب پذیر که می‌توان از هر آدرس ایمیل سازمان به هر شخص دلخواه ایمیل ارسال نمود

در شکل یک نمونه ایمیل جعل شده آورده شده است که دارای مشخصات زیر است:

Multiple SPF record
v =spf1 a mx ip4:x.x.x.0/24 ip4:x.x.x.0/24 mx:mx1.x.ir mx:mx2.x.ir –all
v=spf1 a mx ip4: x.x.x.x/32 mx:mx1.x.ir -all
No DMARC record
No DKIM record

۴. محافظت در برابر جعل ایمیل :

اگر پروتکل ایمیل SMTP (Simple Mail Transfer Protocol) فاقد فرایند احرازهویت باشد، مهاجم به راحتی آدرس فرستنده اصلی را جعل می‌کند. بنابراین، بسیار از شرکت‌های ارائه دهنده سرویس‌های ایمیل قسمت Spam ایجاد کرده‌اند. این بخش ایمیل‌های که فرایند‌های استاندارد حفاظت از ایمیل را رعایت نمی‌کنند در این قسمت ذخیره می‌کند. فرایند‌های احرازهویت ایمیل شامل:

۱.۴. SPF

روش SPF به شما اجازه می‌دهد اطلاعات فرستنده یا فرستنده‌های اصلی ایمیل را روی دامنه خود تعریف کنید و تمام میل سرورها از روی آن اطلاعات می‌توانند هویت واقعی فرستنده ایمیل را شناسایی کنند. بنابراین ایمیل‌های ارسال شده توسط میل سرورها بررسی می‌شوند اگر اطلاعات فرستنده با موارد مطرح شده در SPF مطابقت داشت ایمیل دریافت می‌گردد در غیر این صورت ایمیل به نام ایمیل جعلی یا اسپم شناسایی خواهد شد. هر رکورد SPF دارای نسخه است و در حال حاضر این عدد v=spf1 است. سوییچ‌های متغیر SPF با نام directives شناخته می‌شوند و مشخص می‌کنند در صورتیکه فرستنده ایمیل موارد تعریف شده شما نباشد چه واکنشی صورت پذیرد که در ادامه آورده شده است.

توضیح	نتیجه	پارامتر
این پارامتر بصورت پیش‌فرض اجرا شده و تمامی ایمیل‌ها را ارسال میکند	Pass	+
این پارامتر یک کانال غیرمجاز برای عدم ارسال ایمیل تعریف می‌کند	Fail	–
این پارامتر یک کانال غیرمجاز برای عدم ارسال ایمیل تعریف می‌کند ولی گیرنده این موضوع را برای تست استفاده می‌نماید	SoftFail	–
این پارامتر در خصوص ایمیل‌هایی که معتبر بودن آن‌ها توضیحی عنوان نشده است گیرنده آن ایمیل را دریافت می‌کند	Neutral	?

به منظور تکمیل واکنش directives پارامتر دیگری به عنوان مثال v=spf1 mx –all تعریف می‌شود که به عنوان مکانیزم که حالات مختلف هریک از مفاهیم بالا را ارایه می‌دهد.

توضیح	مکانیزم
همیشه اعمال شود	all
رکورد A مربوط به دامین دارای آدرس IP ارسال کننده است	a
رکورد MX مربوط به دامین دارای آدرس IP ارسال کننده است	mx
آدرس IP ارسال کننده از نوع IPv4 است و یا subnet از نوع IPv4 دارای آدرس IP ارسال کننده است	ip4
آدرس IP ارسال کننده از نوع IPv6 است و یا subnet از نوع IPv6 دارای آدرس IP ارسال کننده است	ip6
آدرس IP ارسال کننده که توسط SPF مجاز شمرده می‌شود مربوط به دامین دیگر است	redirect
درخواست دیگری برای دامین مشخص شده در این مکانیزم دارای آدرس IP ارسال کننده است	include

۲.۴. DKIM

کلید دامنه یا Domain key یک سیستم تصدیق و احراز هویت پست‌الکترونیک می‌باشد. این متد در زمان ارسال پست‌الکترونیک مشخصاتی از قبیل نام فرستنده، نام دامین، موضوع نامه و… را به عنوان امضای الکترونیکی در هدر پست‌الکترونیک (Header) قرار می‌دهد. بنابراین زمانی که گیرنده پست‌الکترونیک را دریافت، ابتدا اطلاعات را از هدر پست‌الکترونیک خوانده و در DNS سرور خود مجددا بررسی و از اعتبار و عدم هرزنامه بودن آن اطمینان حاصل می‌نماید، چنانچه مشکلی وجود نداشت آنرا به مقصد نهایی هدایت می‌نماید.

نیاز سازمان‌ها برای شناسایی و تصدیق آدرس‌های پست‌الکترونیک باعث بوجود آمدن پروتکل پیشرفته‌تری به نام DKIM شد. این روش دامنه فرستنده به کمک Cryptographic Authentication بررسی می‌کند. سازمان مهندسی اینترنت یا Internet Engineering Task Force) IETF) پروتکل DKIM را به عنوان یک استاندارد جهانی معرفی و در حال حاضر بسیاری از سازمان‌ها از آن برای کنترل پست‌های الکترونیک خود استفاده می‌کنند. در این پارامتر نوع رمزنگاری و همچنین کلید عمومی همراه با هدر ایمیل ارسال می‌شود تا گیرنده بررسی را بر آن اساس صورت دهد.

"k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDmzRmJRQxLEuyYiyMg4suA2Sy
MwR5MGHpP9diNT1hRiwUd/mZp1ro7kIDTKS8ttkI6z6eTRW9e9dDOxzSxNuXmume60Cjbu08gOyhPG3
GfWdg7QkdN6kR4V75MFlw624VY35DaXBvnlTJTgRg/EW72O1DiYVThkyCgpSYS8nmEQIDAQAB"

۳.۴. DMARC

پروتکل DMARC که مخفف عبارت انگلیسی Domain-based Message Authentication, Reporting and Conformance است، به این معناست که فرایندی ایجاد خواهد شد که ارسال کننده و دریافت‌کننده با استفاده از متدهای مختلف که بر اساس SPF و DKIM می‌باشند، اقدام یا سیاست مورد نظر در مورد ایمیل دریافتی را انجام دهد و کمک خواهند کرد تا ایمیل‌های جعلی محدود شود. این موضوع توسط پارامترهای Policy دامین و ساب دامین، آدرس ایمیل دریافت کننده لاگ ایمیل‌های جعلی، آدرس ایمیل لاگ فارنزیک ایمیل‌های جعلی و غیره انجام می‌شود.

"v=DMARC1;p=none;sp=quarantine;pct=100;rua=mailto:dmarcreports@example.com;"

نمونه ایمیل سرور امن با این توضیح که هر سازمان میبایست بنابر شرایط همکاری های تجاری و قوانین امنیتی خود نسبت به ایمن سازی پارامترهای ایمیل سرور اقدام نماید:

SFP
v=spf1 mx –all

DMARC
v=DMARC1; p=reject; rua=mailto:reportcollector@bugdasht.ir; ruf=mailto:reportcollector@bugdasht .ir; sp=reject; fo=1; adkim=s; aspf=s;
DKIM1;
V=DKIM1;
v=ras;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoxqYLxFzdRsSDVjXSERN
HDozgCziEsyhT4dIySuh9ha5Udt5b9F5TATeJlv9icz+ucUddlo1sNcj89NjxUU72u5c1aupT7KvvoframDTT
wfDNtNgkEWMLVV9o33O/pSLRUEPLUFOpg+c3Mc5KRaQGgtVQkw5cD7A+iIC5Giz7PQIDAQAB

منابع:

وبلاگ

آخرین مطالب

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.