Technologie ewoluują i rozwijają się w szybkim tempie, podobnie jak wirtualne zagrożenia i ataki. Kształtują się nowe formy zagrożeń opartych na wiadomościach e-mail, o wyższym stopniu intensywności i skali. Jeden z ważnych przykładów niedawno odkrytego zagrożenia opartego na wiadomościach e-mail został podkreślony w szczegółowym badaniu przeprowadzonym przez Researchgate - znany jako BreakSPF, który wykorzystuje istniejące luki w jednym z najczęściej używanych protokołów uwierzytelniania wiadomości e-mail, Sender Policy Framework (SPF). To, co jest szczególnie niepokojące w tym nowym typie zagrożenia, to fakt, że może ono powodować szkody na masową skalę i zagrażać milionom domen jednocześnie.
Czym jest atak BreakSPF - nowa sztuczka hakerów
BreakSPF to nowa struktura ataku, która omija kontrole SPF w celu próby spoofingu wiadomości e-mail. Domeny z permisywnymi konfiguracjami SPF są szczególnie podatne na tego rodzaju ataki. BreakSPF wykorzystuje fakt, że wiele organizacji korzysta ze współdzielonych infrastruktur poczty e-mail, niezależnie od tego, czy są one dostarczane przez dostawców usług poczty e-mail w chmurze, serwery proxy czy sieci dostarczania treści (CDN) ze współdzielonymi pulami IP. Szeroko zdefiniowane zakresy IP w rekordach SPF tych współdzielonych infrastruktur poczty e-mail tworzą podatny grunt dla hakerów i atakujących.
Atak BreakSPF a inne zagrożenia oparte na poczcie e-mail
Większość tradycyjnych ataków typu spoofing lub phishing próbuje ominąć zabezpieczenia poczty elektronicznej za pomocą inżynierii społecznej lub złośliwego oprogramowania. Z drugiej strony, BreakSPF atakuje sam mechanizm SPF, wykorzystując sam system zaprojektowany do ochrony przed próbami spoofingu wiadomości e-mail. Innymi słowy, podczas gdy podstawowe, tradycyjne ataki typu spoofing lub phishing mogą być blokowane przez kontrole SPF lub DKIM, w ataku BreakSPF aktorzy zagrożeń mogą ominąć te kontrole weryfikacyjne, umożliwiając sfałszowanym wiadomościom e-mail łatwe dotarcie do skrzynek pocztowych niczego niepodejrzewających odbiorców.
Jak działa BreakSPF: Omijanie kontroli SPF
Według Researchgate"51,7% domen ma rekordy SPF zawierające więcej niż 65 536 (216) adresów IP". Tak duży zakres jest nie tylko niebezpieczny, ale także całkowicie niepotrzebny, ponieważ większość domen e-mail nie wymaga tak wielu adresów IP. Nadmiernie zagnieżdżone, zbyt duże rekordy SPF mogą prowadzić do sytuacji, w której limity wyszukiwania SPF są potencjalnie przekraczane. Może to umożliwić hakerom prześlizgnięcie się przez istniejące protokoły bezpieczeństwa. Dzieje się tak dlatego, że gdy rekord SPF jest zbyt złożony, a limit wyszukiwania SPF zostaje przekroczony, warstwa ochronna nie spełnia już swojego pierwotnego zadania.
Atak działa w następujący sposób: atakujący identyfikuje popularną domenę (taką jak example.com), która ma podatną konfigurację SPF, co oznacza, że jej rekord SPF zezwala na szeroki zakres adresów IP. Atakujący korzysta z usług publicznych, które zapewniają dostęp do adresów IP w tym dozwolonym zakresie. Następnie wysyła sfałszowane wiadomości e-mail z tych adresów IP do ofiar. Ponieważ walidacja SPF sprawdza adres IP nadawcy i postrzega go jako legalny (ponieważ mieści się w rekordzie SPF domeny), sfałszowane wiadomości e-mail przechodzą kontrole SPF i DMARC. W rezultacie ofiary otrzymują autentycznie wyglądające wiadomości e-mail, które ominęły standardowe środki uwierzytelniania poczty elektronicznej.
Kluczowe elementy tego ataku obejmują:
- Domena docelowa ma rekord SPF z nadmiernie permisywnymi zakresami IP.
- Atakujący kontroluje wystarczającą ilość infrastruktury publicznej, aby wybrać adresy IP zawarte w tym rekordzie SPF.
- Atakujący może wysyłać fałszywe wiadomości e-mail bez konieczności korzystania z zaawansowanych funkcji, takich jak fałszowanie DNS lub modyfikowanie wpisów DNS.
Rodzaje ataków typu BreakSPF
Transmisja wiadomości e-mail odbywa się zazwyczaj za pośrednictwem dwóch głównych kanałów: serwery HTTP i serwery SMTP. Na tej podstawie sam atak BreakSPF został podzielony przez Researchgate na trzy odrębne grupy:
1. Ataki ze stałym adresem IP
W atakach ze stałym adresem IP atakujący utrzymują długoterminową kontrolę nad określonymi adresami IP. Działając jako agenci transferu poczty (MTA), wysyłają złośliwe, sfałszowane wiadomości e-mail bezpośrednio do usługi e-mail ofiary. Ataki te często wykorzystują współdzieloną infrastrukturę, taką jak serwery w chmurze i usługi proxy. Tradycyjne mechanizmy ochrony przed spamem, w tym greylisting, są generalnie nieskuteczne wobec ataków ze stałym adresem IP.
2. Ataki z użyciem dynamicznych adresów IP
Korzystając z tej metody, atakujący nie mają kontroli nad konkretnymi wychodzącymi adresami IP dla każdego połączenia. Jednak dynamicznie oceniają, które domeny są najbardziej podatne na ataki w oparciu o bieżący wychodzący adres IP, a tym samym tymczasowo uzyskują kontrolę za pomocą różnych funkcji lub metod. Ponieważ te adresy IP stale się zmieniają, tradycyjne metody tworzenia czarnych list adresów IP ponownie stają się nieskuteczne w przypadku ataków z użyciem dynamicznych adresów IP. Podczas gdy poprzednia metoda, ataki ze stałym adresem IP, wykorzystywała serwery w chmurze i usługi proxy, ataki z dynamicznym adresem IP wykorzystują infrastrukturę publiczną (np. funkcje bezserwerowe, platformy CI/CD itp.).
3. Ataki między protokołami
Stosując ataki cross-protocol, atakujący nie muszą nawet mieć bezpośredniej kontroli nad adresami IP. Zamiast tego hakerzy osadzają dane SMTP wewnątrz HTTP. Następnie przesyłają te pakiety do usługi e-mail ofiary za pomocą serwerów proxy HTTP i węzłów wyjściowych CDN. Atakując ofiarę za pomocą ataków międzyprotokołowych, hakerzy często wykorzystują współdzieloną infrastrukturę (np. otwarte serwery proxy HTTP, usługi CDN itp.). Ten rodzaj ataku jest niezwykle trudny do wykrycia lub wyśledzenia, ponieważ odbywa się w bardzo nieprzejrzysty sposób.
Wpływ ataków BreakSPF
Domeny na całym świecie mogą łatwo paść ofiarą ataków phishingowych i ujawnić hakerom bardzo wrażliwe, poufne dane w wyniku ataków BreakSPF. Firmy mogą również stracić reputację wśród osób, które zaufały im i komunikacji pochodzącej od nich.
Wiele firm o wysokim profilu może ponieść znaczne straty finansowe, a także udział w rynku z powodu pogorszenia reputacji. Oznacza to, że ataki BreakSPF mogą mieć zarówno bezpośrednie, jak i pośrednie konsekwencje nie tylko dla bezpieczeństwa danych i prywatności, ale także dla innych aspektów działalności, takich jak wizerunek marki, sprzedaż i pozycja rynkowa.
Wykraczając poza wpływ na organizacje w skali mikro, możemy zauważyć, że tego rodzaju masowe ataki phishingowe i szeroko zakrojony spoofing wiadomości e-mail zmniejszą również zaufanie do wymiany wiadomości e-mail w ogóle, ograniczając swobodę ludzi w codziennej komunikacji zarówno w środowisku osobistym, jak i zawodowym, a także zmuszając jednostki do przejścia na inne platformy. Może to być szkodliwe dla istniejących ustalonych ram, a nawet kampanii marketingowych, które wykorzystują e-maile i biuletyny jako integralną część ich strategii marketingowej.
W związku z tym wpływ ataków BreakSPF będzie wykraczał poza jakikolwiek konkretny obszar geograficzny lub kategoryczny. Dotkną one zarówno osoby prywatne, jak i firmy, które wykorzystują komunikację e-mail do różnych potrzeb i celów.
Jak zapobiegać atakom BreakSPF
Istnieje kilka kluczowych kroków, które można podjąć, aby zapobiec takim atakom na domenę i chronić swoją firmę i pracowników:
1. Uczyń rekordy SPF mniej złożonymi
Zgodnie z najlepszymi praktykami SPF, dla danej domeny powinien istnieć tylko jeden rekord SPF. Niestety, złożone, wielokrotne rekordy SPF dla jednej domeny są obecnie bardzo powszechne, ponieważ właściciele domen nie zwracają wystarczającej uwagi na dokładne zarządzanie SPF.
To niewłaściwe postępowanie prowadzi do błędów walidacji SPF, w wyniku których nawet legalne wiadomości e-mail są często oznaczane jako spam. Szkodzi to dostarczalności wiadomości e-mail jako całości, zagrażając komunikacji biznesowej i reputacji.
2. Unikanie przekraczania limitu wyszukiwania DNS wynoszącego 10
"SPF Permerror: zbyt wiele wyszukiwań DNS" to komunikat, który otrzymasz po przekroczeniu limitu 10 wyszukiwań DNS. Permerror jest traktowany jako niepowodzenie SPF z powodu trwałego błędu i często może uniemożliwić dotarcie wiadomości e-mail do skrzynki odbiorczej zamierzonego odbiorcy lub oznaczyć ją jako podejrzaną. Może to spowodować poważne problemy ze wskaźnikami dostarczalności wiadomości e-mail.
Istnieje kilka kroków, które można podjąć, aby uniknąć przekroczenia limitu 10 wyszukiwań DNS. Na przykład, można usunąć niepotrzebne instrukcje "include" i zagnieżdżone adresy IP za pomocą narzędzia spłaszczania SPF SPF.
Najlepiej jest zoptymalizować swój rekord SPF używając Makra SPF. W PowerDMARC pomagamy naszym klientom osiągnąć bezbłędny SPF z nieograniczoną liczbą wyszukiwań za każdym razem dzięki naszym hostowane rozwiązanie SPF które wykorzystuje integrację Macros.
Aby uzyskać więcej informacji, zapoznaj się z naszym wpisem na blogu na temat kroków niezbędnych do naprawić SPF Permerror.
3. Naprawianie luk w błędnych konfiguracjach protokołów
BreakSPF może ominąć weryfikację SPF i DMARC. Ważne jest, aby zidentyfikować i naprawić wszelkie luki lub błędne konfiguracje zarówno w SPF, jak i DMARC, aby uniemożliwić atakującym ominięcie kontroli weryfikacyjnych. Takie luki i błędne konfiguracje mogą obejmować nieprawidłowe przyjęcie DMARC i SPF, brak terminowych aktualizacji lub optymalizacji itp.
4. Monitorowanie raportów DMARC
Włączenie raportowania DMARC dla swoich domen i zwracanie na nie szczególnej uwagi może również pomóc w wykryciu wszelkich problemów i błędnych konfiguracji w istniejących protokołach uwierzytelniania poczty e-mail. Raporty te dostarczają wielu informacji, które mogą prowadzić do wykrycia podejrzanych adresów IP.
5. Egzekwowanie zasad DMARC
DMARC powinien być nie tylko połączony z SPF i DKIM, ale także powinien być wdrażany z rygorystycznymi politykami, takimi jak DMARC Reject, aby uniknąć zbyt permisywnych polityk. Polityka DMARC none nie zapewnia żadnej ochrony przed cyberatakami. Powinna być stosowana tylko w początkowej fazie uwierzytelniania poczty elektronicznej (tj. w fazie monitorowania).
Jednakże, jeśli nadal będziesz stosował tę politykę poza początkową, monitorującą fazą, może to spowodować poważne problemy z bezpieczeństwem, ponieważ pozostawi Twoją domenę podatną na cyberataki. Dzieje się tak dlatego, że nawet jeśli DMARC nie powiedzie się dla Twojej wiadomości e-mail, zgodnie z polityką braku, wiadomość e-mail nadal będzie dostarczana do skrzynki odbiorczej odbiorcy, często ze złośliwą zawartością.
6. Wzmocnienie zarządzania portem
Wzmocnienie i usprawnienie zarządzania portami dla usług w chmurze pomoże również powstrzymać atakujących przed nadużywaniem IP w chmurze. Usługi w chmurze są częstym źródłem cyberataków. Wynika to z faktu, że chmura jest często wykorzystywana jako miejsce przechowywania ważnych, wrażliwych danych, co czyni ją atrakcyjnym celem dla hakerów. Co więcej, ataki w chmurze mogą również prowadzić do naruszenia danych, ponieważ gdy hakerom uda się uzyskać dostęp do konta w chmurze, mogą natychmiast zobaczyć i ukraść wszystkie dane naraz.
Tak więc, chociaż posiadanie wszystkich danych na jednej scentralizowanej platformie chmurowej może mieć wiele zalet, może być również bardzo niebezpieczne dla bezpieczeństwa online. Dlatego też proaktywne środki, takie jak szyfrowanie danych, wykrywanie włamań i ścisła kontrola dostępu, mają ogromne znaczenie dla zwiększenia bezpieczeństwa usług w chmurze i całej firmy.
Podsumowanie
Potrzebujesz pomocy i porady dotyczącej prawidłowego przyjęcia protokołów uwierzytelniania poczty elektronicznej? PowerDMARC jest tutaj, aby pomóc!
Zwyczajowa zarządzana usługa SPF firmy PowerDMARC - PowerSPFoferuje szeroką gamę hostowanych rozwiązań do zarządzania i optymalizacji SPF dla firm z całego świata, pomagając zapobiegać BreakSPF i wielu innym błędom i problemom związanym z SPF. Zwiększ bezpieczeństwo swojej domeny - skontaktuj się z PowerDMARC już dziś i ciesz się spokojem podczas komunikacji cyfrowej!
- Spłaszczanie SPF: Co to jest i dlaczego jest potrzebne? - 26 listopada 2024 r.
- Przedstawiamy DKIM2: przyszłość bezpieczeństwa poczty e-mail - 20 listopada 2024 r.
- Ataki BreakSPF: Przechytrz hakerów i chroń swoją pocztę e-mail - 13 listopada 2024 r.