Подмена почтового адреса
Подделка письма электронной почты почти от любого человека менее чем за 5 минут и способы защиты
Что такое аутентификация электронной почты?
На протяжении большей части последних 40 лет пользователям приходилось совершать прыжок веры каждый раз, когда они открывали электронную почту. Считаете ли вы, что письмо действительно приходит от того, кто указан в графе отправителя? Большинство легко ответит «да» и на самом деле очень удивится, узнав как легко подделать электронную почту почти от любого отправителя.
При создании Интернета изначально не было разработано никакой возможности проверить личность отправителя. Во время разработки основных протоколов электронной почты, затраты на вычислительную мощность, реализацию и простоту использования были уравновешены с риском мошенничества. Тяжело было предположить, что 84% всей электронной почты в будущем будут иметь вредоносную нагрузку и являться фишингом или спамом.
Результатом является то, что заголовки писем, включая поля «From: » и «Reply-to: », очень легко подделать. В некоторых случаях это так же просто, как набрать «john@company.com» в поле «From: ». Объединив это с неподозрительным содержанием, убедительной графикой и форматированием, вполне возможно обмануть людей, подумавших, что сообщение в их почтовом ящике действительно пришло от банка, ФНС, руководителя или президента США.
Приняв во внимание повсеместное распространение электронной почты, вы осознаете основу нашего нынешнего кризиса информационной безопасности. Слабость в электронной почте привела к массе фишинговых атак, направленных на то, чтобы заставить людей нажимать на вредоносные ссылки, загружать и открывать вредоносные файлы, отправлять форму W-2 (аналог 2-НДФЛ в США) или переводить средства на счета преступников.
Совсем недавно Coupa, компания из Кремниевой долины, была в центре внимания после отправки данных о заработной плате всех 625 сотрудников мошеннику. В прошлом году одна из крупнейших компаний Европы Leoni AG потеряла 45 миллионов долларов, когда сотрудник ошибочно перечислил деньги на учетную запись мошенника по причине фальшивой электронной почты. По оценкам ФБР, фишинговые атаки типа «компрометация деловой переписки» (BEC — Business Email Compromise), обходятся компаниям США в 3 миллиарда долларов в год.
На databreaches.net был составлен список фактов фишинга формы W-2. Работа над списком в этом году указывает на то, что количество случаев с 2016 года растет и на данный момент он состоит из 204 отчетов. По списку можно понять, что известны случаи кражи данных тысяч сотрудников и такой вид мошенничества является очень распространенным.
Как злоумышленник может подделать незащищенную электронную почту от почти любого человека менее чем за 5 минут
На самом деле, поддельный адрес в поле «от» — это основа и начальная стадия большинства атак. Почему стоит беспокоиться о фальсификации электронной почты с условного «company.com», когда возможно просто зарегистрировать похожий поддельный домен (например, c0mpany.com) и использовать его? Или создать учетную запись Gmail (randomaddress1347356@gmail.com), присвоить ей дружеское имя, которое выглядит как имя генерального директора компании? Потому что, на самом деле, подделать отправку письма с адреса реального человека даже проще, чем регистрировать поддельный домен или создать учетную запись Gmail.
Три простых способа
В интернете без труда можно найдите сайты, которые позволяют отправлять фейковые письма. Их десятки, вот лишь пара примеров: spoofbox.com и anonymailer.net. Многие из них бесплатны, некоторые стоят денег, позиционируются эти сервисы как законные, а основной целью использования предполагается розыгрыш друзей.
Алгоритм использования прост. Требуется лишь ввести адрес электронной почты получателя в поле «Кому:», поместить любой желаемый адрес электронной почты в поле «От:» и после создания сообщения подтвердить отправку. По условия пользовательского соглашения ответственность за ущерб полностью лежит на клиентах сервиса.
Следующий способ — это отправка с помощью командной строки UNIX. Если у вас есть компьютер с настроенной почтовой службой, достаточно ввести эту команду:
В итоге получается сообщение, в котором в поле «От» будет содержаться «any@anydomain.com». Введя строку темы и остальную часть сообщения, после нажатия Ctrl+D сообщение отправится получателю. Работостпособность этой идеи зависит от того, как настроена ваша система. Тем не менее, она работает во многих случаях.
Используя PHP, вы можете создать электронное письмо с помощью нескольких строчек очень простого кода:
Фактически, это строки кода, используемые в качестве примера в онлайн-руководстве для функции отправки почты mail() с дополнительными шапками/header.
Эти инструменты спуфинга сильно упрощены. Чтобы сделать сообщения более реалистичными, потребуется немного больше работы и, конечно, навыки социальной инженерии. Но основная техническая составляющая очень проста. Единственное, что действительно предотвращает спуфинг — аутентификация электронной почты с помощью совместного использования SPF-записи, DKIM-подписи и DMARC. Далее мы расскажем, как работают и чем отличаются эти технологии. Они не являются чем-то новым, однако, к счастью для мошенников, большинство доменов в Интернете еще не защищены. Например, только около 4% доменов .gov используют аутентификацию. Что касательно других 96%? Злоумышленники могут отправлять электронные письма под видом исходящих с почтовых ящиков этих доменов в любой момент.
Согласно источнику, одно из четырех писем с доменов .gov является мошенническим. Домены justice.gov, House.gov, Senate.gov, Whitehouse.gov, а также democrats.org, dnc.org, gop.com, rnc.org. и DonaldJTrump.com — все они могут быть легко использованы для спуфинга почтовыми мошенниками.
Способы защиты от спуфинга
Описанная выше простота использования уязвимости электронной почты без аутентификации и широкое использование этих методов как начальная стадия для крупнейших кибер-атак, акцентирует внимание IT-сообщества на необходимости использования технологий проверки подлинности почты. Внедряя аутентификацию электронной почты, вы можете гарантировать, что любой пользователь — сотрудник, клиент или партнер, получающий электронное письмо, сможет определить отправлено ли электронное письмо легитимным представителем компании. Кроме того, вы можете получить прозрачность и контроль того, кто отправляет электронную почту от вашего имени.
Важность этого резко возросла благодаря быстрому росту облачных сервисов (SaaS), более 10 000 из которых отправляют электронную почту от имени своих клиентов по теме продаж, маркетинга, поддержки клиентов, HR, бухгалтерского учета, юридических и прочих услуг. Благодаря принудительной аутентификации, вы можете заблокировать всех, кто пытается отправить письмо от вашего имени, — спамеров, фишеров и даже «серых» отправителей, которые могут быть легитимными, но не указаны вами в списке разрешенных.
Стандарты аутентефикации электронной почты позволяют почтовому серверу проверять, что электронное письмо с вашим доменом в поле «От:» было разрешено отправлять от вашего имени. До попадания сообщения в папку «Входящие» получателя, почтовый сервер может проверить:
- Используя SPF-запись, имеет ли отправляющий сервер право использовать доменное имя (или имена), указанное в заголовках сообщения?
- Если к сообщению прикреплена криптографическая DKIM-подпись, с помощью открытой версии ключа в записи DNS домена можно расшифровать заголовки входящих сообщений и узнать, действительно ли сообщение исходит от заявленного отправителя.
- Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию и проверять совпадают ли заголовки друг с другом (например, поля From: и Reply-to:). Правила включают инструкции о том, что должен сделать принимающий сервер с сообщениями, не прошедшими проверку подлинности, например, не пропускать их, помещать в папку со спамом или помечать их как потенциально опасные. Проверка подлинности по электронной почте дает владельцу домена глобальный контроль над тем, что происходит с сообщениями, отправленными от их имени кем угодно и кому угодно. Например, если вы представляете домен-отправитель почты и публикуете DMARC-запись с запросом информации, то вы будете получать от всех доменов-получателей, которые тоже поддерживают DMARC, статистику обо всех почтовых письмах, которые приходят с обратным адресом от вашего домена. Статистика приходит в XML и содержит IP-адрес каждого отправителя, который подписывается вашим доменом, количество сообщений с каждого IP-адреса, результат обработки этих сообщений в соответствии с правилами DMARC, результаты SPF и результаты DKIM
Почему необходимо совместное использование этих технологий?
В упрощенном смысле SPF позволяет создавать белый список для IP-адресов. Если почтовый сервер с IP-адресом, который отсутствует в вашем списке, пытается отправить электронное письмо с использованием вашего домена, тест проверки подлинности SPF не будет пройден. Однако, большая проблема с SPF заключается в том, что используется домен, указанный в поле Return-Path для проверки подлинности, а не поле From, который люди действительно читают.
Хуже того, злоумышленники, занимающиеся фишингом, могут настроить SPF-запись для своих собственных доменов. Затем они могут отправлять электронные письма, которые, как будет казаться, поступают от компании или бренда, которым доверяют, но домен этой компании будет отображаться в поле «От», а домен мошенника в Return-Path. Такие письма пройдут проверку подлинности SPF. Дополнительное использование DMARC, решает эту проблему, позволяя владельцу домена требовать «выравнивания», что означает, что обратные и исходящие адреса должны быть одинаковыми.
SPF-записи представляют собой текст, но синтаксис довольно сложный. Легко можно сделать опечатки, которые трудно обнаружить. При этом, они сделают SPF-запись бесполезной. Анализ SPF-записей всех 62 спонсоров конференции RSA 2017 года показал, что только 58 опубликовали SPF, при этом у 17 спонсоров конференции по кибербезопасности были ошибки в записи. Компании, которые не имеют большого опыта в IT-области, часто находят SPF еще более сложным.
Также и DKIM не особенно эффективен против мошенничества без использования DMARC. Чтобы остановить фишинг, самым важным адресом является домен в поле «От». Однако, проверка только DKIM-подписи нечего не говорит по поводу домена в этом поле. Используемый для подписи сообщения домен может полностью отличаться от домена, указанного в поле «От». Другими словами, хакеры могут создавать сообщения, которые подписываются через DKIM, используя контролируемый ими домен, но в поле «От» будет находится email вашего банка. Большинство людей не собираются копаться в заголовках всех входящих сообщений, чтобы убедиться, что данные DKIM-подписи являются легитимными. Также стоит учитывать большое количество законных почтовых служб, которые могут делать рассылки от имени отправителя и проблему сохранения секретности закрытого ключа, используемого для подписи сообщений.
Эти два ранних стандарта, хотя и важны, содержат важные пробелы. DMARC основывается на них и дополняет. DMARC значительно увеличивает доверие к электронной почте, которую вы отправляете, независимо от того, поступают ли письма от ваших собственных почтовых серверов или облачных сервисов, которым вы разрешаете отправлять электронную почту.
Основными вкладами DMARC являются:
- настройка политики, которая сообщает получающим серверам электронной почты, что делать с электронными сообщениями, которые не аутентифицируются (ничего, карантин или отказ),
- предоставление механизма отчетности.
Наличие политики и механизма обратной связи — вот что заставляет всё это работать.
Проверить, что DMARC настроен можно с помощью сервисов
→ mxtoolbox.com
→ mail-tester.com и прочих.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Емейлтрекинг
Емейлтрекинг позволяет получать подробную информацию о заявках, которые отправляют по электронной почте ваши клиенты. Когда клиент заходит на ваш сайт, он видит подменный адрес электронной почты, который закреплен за определенным рекламным источником. Если клиент отправит заявку на этот адрес, то заявка придет на ваш реальный адрес электронной почты, который вы указали в настройках емейлтрекинга. Дублирующиеся заявки будет отсеиваться после проверки на дубли.
Для чего нужен емейлтрекинг?
Когда вы увидите, сколько заявок приходит из каждого рекламного источника, вы поймете, насколько эффективны ваши маркетинговые кампании .
После этого вы сможете сократить расходы на неэффективные кампании и вложить больше денег в те кампании, которые приносят результат.
В итоге эффективность маркетинга повысится, клиенты будут совершать больше покупок, а вы — иметь больше денег.
Настройка
На странице сценариев емейлтрекинга вы можете:
- Создать новый сценарий.
- Изменить текущие сценарии.
- Скопировать один из текущих сценариев, чтобы облегчить его настройку.
- Удалить сценарий.
Сценарии емейлтрекинга
Создание нового сценария
В сценарии емейлтрекинга можно настроить гибкую обработку писем с разных подменных электронных адресов.
Пользователи пишут на определенный подменный адрес, и в зависимости от этого адреса идет обработка письма.
Настройка сценария емейлтрекинга состоит из нескольких шагов:
Шаг 1. Выберите, где будет размещен email
На сайте — для каждого посетителя
В таком случае емейлтрекинг позволит отслеживать заявки пользователей с детализацией до ключевого слова. Каждому новому посетителю сайта выдается новый подменный номер емейлтрекинга, через который предлагается оставить заявку.
При настройке динамического емейлтрекинга можно указать детализацию для конкретных рекламных источников, например, для Яндекс.Директ и Google Adwords.
Чтобы не перегружать сценарий большим количеством рекламных источников, можно исключить из работы рекламные источники, которые не нужно отслеживать.
Это поможет сделать работу емейлтрекинга более гибкой.
Использование своих адресов для подмены
Если переключатель выключен, то емейлтрекинг работает по следующей логике: клиент заходит на ваш сайт, и видит подменный адрес почты, который привязан к его визиту.
- Клиент с номером визита 112 видит адрес электронной почты example+112@mail.ru.
- Следующий клиент с номером визита 113 будет видеть подменный адрес example+113@mail.ru.
- Клиент с номером визита 114 увидит подменный адрес example+114@mail.ru.
- И так далее.
Когда клиент пишет на адрес example+112@mail.ru, письмо должно быть переадресовано example@mail.ru (или на другой адрес, с которого настроена загрузка писем на шаге 2). Этот тип переадресации поддерживается почтовыми сервисами Gmail, Mail.ru и Yandex без дополнительных настроек.
Если у вас другая почтовая система, то нужно убедиться, что она поддерживает переадресацию писем с адресов со знаком «+» на ваш основной адрес электронной почты.
Если переключатель Использовать свои адреса для подмены включен, то нужно будет указать ваши подменные адреса. Эти адреса будут показываться посетителям вашего сайта по очереди.
Подменный адрес закрепляется за посетителем:
- пока посетитель находится на сайте;
- в течение 15 минут после того, как посетитель покинул сайт.
Рекомендованное количество адресов рассчитывается исходя из количества визитов за последние 3 дня.
Со всех подменных адресов нужно настроить переадресацию на адрес почтового сервера, например demo@roistat.com. С которого затем будут загружаться письма в рамках данного сценария.
Если ваших подменных адресов не хватает, то логику работы емейлтрекинга можно перенастроить. Тогда емейлтрекинг будет работать по одному из сценариев:
- Новые посетители будут видеть подменяемую почту: example@mail.ru.
- Новые посетители будут видеть подменяемую почту с добавлением номера визита: example+112@mail.ru
На сайте — для рекламного канала
В таком случае емейлтрекинг закреплен за конкретным рекламным источником.
Использование своих адресов для подмены
Если переключатель выключен: все письма, написанные на подменяемый адрес, будут иметь источник, который заполнен выше.
Если переключатель включен: подменяемый адрес на сайте будет заменяться на ваш подменный адрес. Источник по письмам будет определяться по подменному адресу, а не по подменяемому.
С подменного адреса нужно настроить переадресацию на адрес почтового сервера, например demo@roistat.com. С которого затем будут загружаться письма в рамках данного сценария.
Другое
Используйте данную настройку, если планируете разместить email-адрес на визитках, билбордах, сторонних ресурсах (Яндекс.Карты, 2Gis)
Укажите электронный адрес, на который будут писать пользователи и источник, который должен определяться по этим письмам.
При таких настройках сценария нет необходимости использовать свой адрес для подмены. Если он всё же будет указан, то источник будет определяться по письмам на него.
Шаг 2. Настройка почтового сервера (IMAP)
На этом шаге нужно настроить почтовый сервер, из которого будут загружаться письма в рамках сценария. Все настройки сценария будут применяться к этим письмам .
В Roistat загружаются письма только из папки Входящие.
Со всех подменных адресов нужно настроить переадресацию на адрес почтового сервера, например demo@roistat.com:
Логин — адрес почты, с которого будут загружаться письма в Roistat, пароль — пароль от этой почты.
Шаг 3. Настройка интеграций
Если посетитель сайта отправил письмо, попадающее под условия сценария (пришло на нужную почту, по нужным рекламным каналам и т.д.), то это письмо можно отправить:
В CRM-систему
Будет отправлена новая заявка в вашу CRM-систему.
Укажите необходимые вам дополнительные поля, которые будут переданы, в том числе ответственного менеджера.
Для каждого сценария может быть указан один ответственный менеджер. Если необходимо распределять заявки по очереди, не добавляйте поле «Менеджер» в настройки сценария. Будет использоваться стандартное распределение ответственных, которое указано в настройках интеграции с CRM.
Объем файлов во вложении может исчисляться сотнями мегабайт. Если вы хотите добавить файлы весом в несколько гигабайт, обратитесь в службу поддержки.
В Яндекс.Метрику
Для автоматической отправки целей в Яндекс.Метрику необходимо подключить интеграцию в каталоге. В настройках сценария выберите счетчики, в которые необходимо отправлять цель и укажите идентификатор цели.
Цели, отправляемые в Яндекс.Метрику можно использовать для настройки ретаргетинговых кампаний в Яндекс.Директе.
Идентификатор цели должен совпадать во всех счетчиках Яндекс.Метрики, куда будут отправляться цели. Мы рекомендуем использовать стандартный идентификатор emailtracking.
Из-за технических особенностей Яндекс.Метрики после настройки сценария возможность отправки целей будет включена в течение суток.
Отправленные цели обрабатываются Яндекс.Метрикой и появляются в отчетах в течение суток.
Передача информации в Яндекс.Метрику доступно только для Динамического сценария емейлтрекинга.
В Google Analytics
Укажите идентификатор вашего ресурса, где будут отслеживаться цели.
Каждый сценарий позволяет отправлять цель в один счетчик Google Analytics.
Для дополнительной настройки цели вы можете поменять стандартные дополнительные параметры:
- Категория события
- Действие события
- Ярлык события
На адрес webhook-обработчика
Укажите адрес, который должен получать новые уведомление о входящей почте. С помощью webhook-уведомлений можно настроить собственную логику обработки и отправки информации о новом письме в сторонние системы.
На адрес webhook будет отправлен POST-запрос, содержащий JSON-объект, который передает следующую информацию о заявке
Пример обработчика, дополняющего лог:
Шаг 4. Настройка условий срабатывания страницы
Чтобы сценарии работали более точно, нужно настроить условия, по которым они будут срабатывать на определенных сайтах и страницах:
Введите сайты, на которых должны будут работать сценарии. Если вы ввели сайт example.com, то сценарий будет работать на всех страницах сайта (example.com/promo, example.com/contacts и т.д).
Адрес example.com нужно указать без http или https.
После того, как сценарий настроен, нажмите кнопку Включить сценарий или Сохраните сценарий, не включая его.
Просмотр истории писем
Загруженные в проект Roistat письма отображаются на закладке История :
Загруженные письма отображаются в виде таблицы:
Дата — дата и время отправки письма клиентом;
Отправитель — адрес электронной почты клиента;
Получатели — адреса электронной почты получателей;
Номер визита — номер визита из cookie roistat_visit, если он есть;
Номер сделки — номер сделки из CRM, если был установлен флажок Отправлять в CRM;
Если пользователь отправляет письмо с прикрепленным файлом, файл сохраняется на сервере Roistat, а в сделку в CRM передается ссылка на этот файл.
Тема — тема письма;
Периодичность обновления списка писем зависит от количества проектов Roistat на сервере. В среднем список писем обновляется каждые 3-15 минут.
Вы можете через окно поиска найти нужное вам письмо.
С помощью кнопки «Скачать отчет» вы можете скачать историю писем в Excel файл.
Дополнительные возможности емейлтрекинга
Получение в CRM всех писем через емейлтрекинг Roistat
Чтобы настроить отправку всех писем на проксилид или webhook, создайте статический сценарий емейлтрекинга и в разделе Рекламный источник напишите «Прямое письмо»:
После этого будут создаваться лиды с загружающихся в проект прямых писем.
Отключение емейлтрекинга на конкретных страницах сайта
Для отключения емейлтрекинга на конкретных страницах сайта, используйте JS API метод:
