Terwijl technologieën zich snel ontwikkelen, doen virtuele bedreigingen en aanvallen dat ook. Nieuwe vormen van op e-mail gebaseerde bedreigingen krijgen vorm, met een hogere mate van intensiteit en schaal. Een belangrijk voorbeeld van een recent ontdekte e-mailbedreiging wordt belicht in een gedetailleerde studie van Researchgate - bekend als BreakSPF, dat misbruik maakt van bestaande kwetsbaarheden in een van de meest gebruikte e-mailverificatieprotocollen, het Sender Policy Framework (SPF). Wat vooral verontrustend is aan dit nieuwe type bedreiging, is dat het op grote schaal schade kan aanrichten en miljoenen domeinen tegelijk in gevaar kan brengen.
Wat is BreakSPF-aanval - De nieuwe truc van hackers
BreakSPF is een nieuw aanvalskader dat SPF-controles omzeilt om te proberen e-mail te spoofen. Domeinen met permissieve SPF-configuraties zijn bijzonder kwetsbaar voor dit soort aanvallen. BreakSPF maakt gebruik van het feit dat veel organisaties gedeelde e-mailinfrastructuren gebruiken, of deze nu worden geleverd door cloud e-mail service providers, proxy's of content delivery networks (CDN's) met gedeelde IP pools. De breed gedefinieerde IP-bereiken in SPF-records van deze gedeelde e-mailinfrastructuren creëren een vruchtbare bodem voor hackers en aanvallers om actie te ondernemen.
BreakSPF-aanval vs. andere op e-mail gebaseerde bedreigingen
De meeste traditionele e-mail spoofing of phishing aanvallen proberen e-mailbeveiliging te omzeilen door middel van social engineering of malware. BreakSPF, daarentegen, richt zich op het SPF mechanisme zelf, gebruik makend van het systeem dat is ontworpen om je te beschermen tegen e-mail spoofing pogingen. Anders gezegd, terwijl gewone, traditionele e-mailspoofing- of phishingaanvallen kunnen worden geblokkeerd door SPF- of DKIM-controles, kunnen actoren in een BreakSPF-aanval deze verificatiecontroles omzeilen, waardoor gespoofde e-mails gemakkelijk de mailbox van nietsvermoedende ontvangers kunnen bereiken.
Hoe BreakSPF werkt: SPF-controles omzeilen
Volgens de conferentieverslag van Researchgate"51,7% van de domeinen heeft SPF-records die meer dan 65.536 (216) IP-adressen bevatten." Zo'n groot bereik is niet alleen gevaarlijk, maar ook volledig onnodig omdat de meeste e-maildomeinen niet zoveel IP-adressen nodig hebben. Te veel geneste, overweldigend grote SPF-records kunnen leiden tot een situatie waarin SPF-opzoeklimieten mogelijk worden overschreden. Dit kan hackers in staat stellen om door de bestaande beveiligingsprotocollen heen te glippen. Dit komt omdat, wanneer het SPF record te complex is en de SPF lookup limiet wordt overschreden, de beschermingslaag niet langer het werk doet waarvoor het oorspronkelijk bedoeld was.
Zo werkt de aanval: een aanvaller identificeert een populair domein (zoals example.com) dat een kwetsbare SPF-configuratie heeft, wat betekent dat het SPF-record een groot aantal IP-adressen toestaat. De aanvaller gebruikt openbare diensten die toegang bieden tot IP-adressen binnen dit toegestane bereik. Vervolgens sturen ze gespoofde e-mails vanaf deze IP-adressen naar de slachtoffers. Omdat de SPF-validatie het IP-adres van de afzender controleert en als legitiem beschouwt (omdat het binnen het SPF-record van het domein valt), passeren de gespoofde e-mails de SPF- en DMARC-controles. Het resultaat is dat de slachtoffers echt lijkende e-mails ontvangen die de standaardmaatregelen voor e-mailverificatie hebben omzeild.
De belangrijkste elementen in deze aanval zijn:
- Het doeldomein heeft een SPF-record met te permissieve IP-bereiken.
- De aanvaller controleert genoeg publieke infrastructuur om IP-adressen te selecteren die zijn opgenomen in dat SPF-record.
- De aanvaller kan gespoofde e-mails versturen zonder geavanceerde mogelijkheden zoals DNS spoofing of het wijzigen van DNS entries.
Soorten aanvallen op BreakSPF
Het verzenden van e-mail gebeurt over het algemeen via twee hoofdkanalen: HTTP-servers en SMTP-servers. Op basis hiervan wordt de BreakSPF aanval zelf door Researchgate gecategoriseerd in drie verschillende groepen:
1. Aanvallen met vaste IP-adressen
Bij aanvallen met een vast IP-adres houden aanvallers langdurige controle over specifieke IP-adressen. Als Mail Transfer Agents (MTA's) sturen ze kwaadaardige, gespoofde e-mails rechtstreeks naar de e-mailservice van het slachtoffer. Deze aanvallen maken vaak gebruik van gedeelde infrastructuur zoals cloudservers en proxyservices. Traditionele verdedigingsmechanismen tegen spam, waaronder greylisting, zijn over het algemeen niet effectief tegen aanvallen met vaste IP-adressen.
2. Dynamische IP-adresaanvallen
Bij deze methode hebben aanvallers geen controle over specifieke uitgaande IP-adressen voor elke verbinding. Ze beoordelen echter dynamisch welke domeinen het meest kwetsbaar zijn op basis van het huidige uitgaande IP-adres en krijgen zo tijdelijk controle via verschillende functionaliteiten of methoden. Omdat deze IP-adressen constant veranderen, worden traditionele IP-blacklistingmethoden weer ineffectief tegen aanvallen met dynamische IP-adressen. Terwijl de vorige methode, aanvallen met een vast IP-adres, cloudservers en proxyservices gebruikte, maken dynamische IP-adresaanvallen gebruik van openbare infrastructuur (bijv. serverloze functies, CI/CD-platforms, enz.).
3. Protocoloverschrijdende aanvallen
Bij protocoloverschrijdende aanvallen hoeven de aanvallers niet eens directe controle over IP-adressen te hebben. In plaats daarvan voegen hackers SMTP-gegevens in HTTP-datapakketten. Vervolgens sturen ze deze pakketten door naar de e-mailservice van het beoogde slachtoffer met behulp van HTTP-proxy's en CDN-exitnodes. Wanneer ze het slachtoffer aanvallen met cross-protocol aanvallen, gebruiken hackers vaak gedeelde infrastructuur (bijv. open HTTP-proxy's, CDN-services, enz.). Dit type aanval is zeer moeilijk te detecteren of te traceren omdat het op een zeer intransparante manier plaatsvindt.
De impact van BreakSPF-aanvallen
Domeinen wereldwijd kunnen gemakkelijk het slachtoffer worden van phishingaanvallen en zeer gevoelige, vertrouwelijke gegevens blootstellen aan hackers als gevolg van BreakSPF-aanvallen. Bedrijven kunnen ook hun reputatie verliezen bij de mensen die hen vertrouwden en de communicatie die van hen afkomstig is.
Veel high-profile bedrijven kunnen aanzienlijke financiële verliezen lijden en marktaandeel verliezen als gevolg van een verslechterde reputatie. Dit betekent dat BreakSPF-aanvallen zowel directe als indirecte gevolgen kunnen hebben voor de beveiliging van gegevens en privacy, maar ook voor andere aspecten van een bedrijf, zoals merkimago, verkoop en marktpositie.
Als we verder kijken dan de gevolgen op microniveau voor organisaties, kunnen we vaststellen dat dit soort massale phishingaanvallen en uitgebreide e-mailspoofing ook het vertrouwen in e-mailuitwisselingen in het algemeen zal aantasten, waardoor de vrijheid van mensen in de dagelijkse communicatie op zowel persoonlijk als professioneel vlak wordt beperkt en mensen gedwongen worden over te stappen op andere platforms. Dit kan schadelijk zijn voor bestaande gevestigde kaders en zelfs marketingcampagnes die e-mails en nieuwsbrieven gebruiken als integraal onderdeel van hun marketingstrategie.
De impact van BreakSPF aanvallen gaat dus verder dan een specifiek geografisch of categorisch gebied. Het treft individuen en bedrijven die e-mailcommunicatie gebruiken voor verschillende behoeften en doeleinden.
Hoe een aanval van BreakSPF voorkomen
Er zijn verschillende belangrijke stappen die u kunt nemen om dergelijke aanvallen op uw domein te voorkomen en uw bedrijf en werknemers te beschermen:
1. Maak SPF Records minder complex
Volgens de SPF best practices zou er slechts één SPF record moeten zijn voor een bepaald domein. Helaas komen complexe, meerdere SPF-records voor een enkel domein tegenwoordig vaak voor, omdat domeineigenaren onvoldoende aandacht besteden aan nauwkeurig SPF-beheer.
Dit leidt tot SPF-validatiefouten, waardoor zelfs legitieme e-mails vaak als spam worden gemarkeerd. Dit schaadt de deliverability van e-mail als geheel en brengt de bedrijfscommunicatie en reputatie in gevaar.
2. Vermijd overschrijding van de DNS-opzoeklimiet van 10
"SPF Permerror: too many DNS lookups" is de melding die je krijgt wanneer je de DNS lookup limiet van 10 overschrijdt. Permerror wordt behandeld als een SPF-fail vanwege een permanente fout en kan er vaak voor zorgen dat de e-mail de inbox van de beoogde ontvanger niet bereikt of als verdacht wordt gemarkeerd. Dit kan ernstige problemen veroorzaken met de bezorgbaarheid van e-mails.
Er zijn verschillende stappen die je kunt nemen om te voorkomen dat je de DNS lookup limiet van 10 overschrijdt. Je kunt bijvoorbeeld onnodige "include" verklaringen en geneste IP's verwijderen door een SPF afvlakking service.
Bij voorkeur kun je je SPF-record optimaliseren met SPF macro's. Bij PowerDMARC helpen we onze klanten om elke keer foutloze SPF met onbeperkte lookups te bereiken met onze gehoste SPF oplossing die gebruik maakt van Macros integratie.
Voor meer informatie kun je ons blogbericht lezen over de noodzakelijke stappen om SPF-fout op te lossen.
3. Hiaten in protocolmisconfiguraties repareren
BreakSPF kan SPF- en DMARC-verificatie omzeilen. Het is belangrijk om hiaten of misconfiguraties in zowel SPF als DMARC adoptie te identificeren en op te lossen om te voorkomen dat aanvallers de verificatiecontroles omzeilen. Dergelijke hiaten en misconfiguraties kunnen bestaan uit onjuiste DMARC- en SPF-adoptie, gebrek aan tijdige updates of optimalisaties, enz.
4. Uw DMARC-rapporten controleren
DMARC-rapportage inschakelen voor je domeinen en er goed op letten kan je ook helpen bij het opsporen van problemen en misconfiguraties in de bestaande e-mailverificatieprotocollen. Deze rapporten bieden je een schat aan informatie die kan leiden tot de detectie van verdachte IP-adressen.
5. Uw DMARC-beleid afdwingen
DMARC moet niet alleen worden gecombineerd met SPF en DKIM, maar moet ook worden ingezet met strikte beleidsregels zoals DMARC Reject om een al te permissief beleid te vermijden. Het DMARC geen-beleid biedt geen bescherming tegen cyberaanvallen. Het moet alleen worden gebruikt in de beginfase van e-mailauthenticatie (d.w.z. de controlefase).
Als je dit beleid echter ook na de eerste controlefase blijft volgen, kan dit ernstige beveiligingsproblemen veroorzaken, omdat het je domein kwetsbaar maakt voor cyberaanvallen. Dit komt doordat zelfs als DMARC faalt voor je e-mail, de e-mail onder het geen-beleid nog steeds wordt afgeleverd in de inbox van de ontvanger, vaak met kwaadaardige inhoud.
6. Versterking van havenbeheer
Het versterken en verbeteren van het poortbeheer voor clouddiensten zal ook helpen om aanvallers te stoppen met misbruik van IP's in de cloud. Clouddiensten zijn een veelvoorkomende bron van cyberaanvallen. Dit komt doordat de cloud vaak wordt gebruikt als opslagplaats voor belangrijke, gevoelige gegevens, waardoor het een aantrekkelijk doelwit is voor hackers. Bovendien kunnen cloudaanvallen ook leiden tot datalekken, want zodra de hackers toegang weten te krijgen tot het cloudaccount, kunnen ze meteen alle gegevens zien en stelen.
Dus hoewel het hebben van al uw gegevens in één gecentraliseerd cloudplatform voordelen met zich meebrengt, kan het ook zeer gevaarlijk zijn voor uw online beveiliging. Daarom zijn proactieve maatregelen zoals gegevensversleuteling, inbraakdetectie en strikte toegangscontrole van het grootste belang om de beveiliging van uw cloudservices en uw bedrijf als geheel te verbeteren.
Samenvattend
Hebt u hulp en advies nodig bij de juiste toepassing van uw e-mailverificatieprotocollen? PowerDMARC is er om u te helpen!
De gebruikelijke beheerde SPF-service van PowerDMARC - PowerSPF PowerSPFbiedt een uitgebreide reeks gehoste SPF beheer- en optimalisatieoplossingen voor bedrijven van over de hele wereld, die u helpen BreakSPF en vele andere SPF-gerelateerde fouten en problemen te voorkomen. Verbeter de beveiliging van uw domein - neem vandaag nog contact op met PowerDMARC en geniet van gemoedsrust wanneer u digitaal communiceert!
- SPF-afvlakking: Wat is het en waarom heb je het nodig? - 26 november 2024
- Introductie van DKIM2: de toekomst van e-mailbeveiliging - 20 november 2024
- BreekSPF-aanvallen: Wees hackers te slim af en bescherm uw e-mail - 13 november 2024