Czym są ataki DKIM Replay i jak się przed nimi chronić?

Blog

W ataku DKIM replay atakujący może ponownie wysłać wiadomość z podpisem DKIM do wielu odbiorców, wykorzystując reputację oryginalnej domeny.

przez Ahona Rudra

Czas czytania: 5 min
Czym są ataki DKIM Replay i jak się przed nimi chronić?
Spis treści-

DKIM jest kluczowym aspektem uwierzytelniania wiadomości e-mail, który wykorzystuje kryptografię w postaci podpisów cyfrowych do podpisywania wiadomości wysyłanych z domeny. To z kolei gwarantuje, że wiadomości e-mail pochodzące z autoryzowanego źródła nie zostaną zmienione przed dotarciem do zamierzonego odbiorcy, ograniczając w ten sposób zagrożenia związane z podszywaniem się. 

W ataku DKIM replay atakujący przechwytuje legalną wiadomość e-mail z podpisem DKIM, a następnie wielokrotnie wysyła ją do zamierzonego odbiorcy lub innego celu bez wprowadzania jakichkolwiek zmian w treści wiadomości lub podpisie. Celem tego ataku jest wykorzystanie zaufania ustanowionego przez sygnaturę DKIM aby odbiorca uwierzył, że otrzymuje wiele kopii tej samej legalnej wiadomości.

Kluczowe wnioski

  1. DKIM wykorzystuje podpisy kryptograficzne do weryfikacji, czy wiadomości e-mail nie zostały zmienione podczas przesyłania.
  2. Atak typu replay DKIM polega na ponownym wysłaniu zaufanej wiadomości e-mail w celu nakłonienia odbiorcy do uwierzenia, że jest to nowa, legalna wiadomość.
  3. Atakujący mogą wykorzystać DKIM, używając domen o wysokiej reputacji do podszywania się pod zaufane źródła wiadomości e-mail.
  4. Zapobieganie atakom typu replay DKIM obejmuje takie strategie, jak nadpisywanie nagłówków i regularna rotacja kluczy DKIM.
  5. Edukowanie odbiorców wiadomości e-mail na temat DKIM i wdrażanie ograniczeń szybkości może pomóc w ograniczeniu ryzyka ataków typu replay.

Czym jest atak DKIM Replay Attack? 

Atak typu replay DKIM to cyberatak, w którym podmiot stanowiący zagrożenie przechwytuje wiadomość e-mail, która została podpisana i zaufana przy użyciu DKIM, a następnie ponownie wysyła lub "odtwarza" tę samą wiadomość e-mail, aby oszukać odbiorcę, że jest to nowa, godna zaufania wiadomość, mimo że może być zmieniona lub szkodliwa.

Przed omówieniem anatomii ataku typu replay DKIM i omówieniem strategii łagodzenia skutków, omówmy, jak działa DKIM: 

Uprość bezpieczeństwo z PowerDMARC!

15-dniowy trialZamów demo

Jak DKIM uwierzytelnia e-maile?

DKIM (DomainKeys Identified Mail) to metoda uwierzytelniania wiadomości e-mail, która pomaga weryfikować autentyczność wiadomości e-mail i wykrywać próby fałszowania wiadomości e-mail i phishingu. DKIM dodaje podpis cyfrowy do wiadomości e-mail na serwerze wysyłającym, a podpis ten może zostać zweryfikowany przez serwer pocztowy odbiorcy, aby upewnić się, że wiadomość nie została zmodyfikowana podczas przesyłania.

DKIM działa poprzez wykorzystanie następujących procesów: 

1. Podpisywanie wiadomości: Gdy wiadomość e-mail jest wysyłana z domeny korzystającej z DKIM, wysyłający serwer pocztowy generuje unikalny podpis kryptograficzny dla wiadomości. Podpis ten opiera się na treści wiadomości e-mail (nagłówek i treść) oraz niektórych określonych polach nagłówka, takich jak adres "Od" i pole "Data". Proces podpisywania zazwyczaj wymaga użycia klucza prywatnego.

2. Publikacja klucza publicznego: Domena wysyłająca publikuje publiczny klucz DKIM w swoich rekordach DNS (Domain Name System). Ten klucz publiczny jest używany przez serwer e-mail odbiorcy do weryfikacji podpisu.

3. Transmisja wiadomości: Wiadomość e-mail, zawierająca teraz podpis DKIM, jest przesyłana przez Internet do serwera e-mail odbiorcy.

4. Weryfikacja: Gdy serwer poczty e-mail odbiorcy otrzyma wiadomość e-mail, pobiera podpis DKIM z nagłówków wiadomości e-mail i wyszukuje publiczny klucz DKIM nadawcy w rekordach DNS domeny nadawcy.

Jeśli podpis jest zgodny z treścią wiadomości e-mail, odbiorca może mieć pewność, że wiadomość e-mail nie została zmodyfikowana podczas przesyłania i że rzeczywiście pochodzi z domeny nadawcy.

5. Zaliczenie lub niezaliczenie: W oparciu o wynik procesu weryfikacji serwer odbiorcy może oznaczyć wiadomość e-mail jako zweryfikowaną przez DKIM lub nieudaną przez DKIM.

DKIM pomaga zapobiegać różnym atakom opartym na wiadomościach e-mail, takim jak phishing i spoofing, zapewniając mechanizm weryfikacji autentyczności domeny nadawcy.

Jak działają ataki DKIM Replay?

W ataku typu replay DKIM złośliwe osoby mogą wykorzystać łagodność podpisów DKIM, aby oszukać odbiorców wiadomości e-mail i potencjalnie rozprzestrzeniać szkodliwe treści lub oszustwa. 

Przeanalizujmy krok po kroku, jak działa atak typu replay DKIM:

Elastyczność podpisu DKIM

DKIM pozwala, aby domena podpisu (domena, która podpisuje wiadomość e-mail) różniła się od domeny wymienionej w nagłówku "Od" wiadomości e-mail. Oznacza to, że nawet jeśli wiadomość e-mail twierdzi, że pochodzi z określonej domeny w nagłówku "Od", podpis DKIM może być powiązany z inną domeną.

Weryfikacja DKIM

Gdy serwer odbiorcy wiadomości e-mail otrzymuje wiadomość e-mail z podpisem DKIM, sprawdza podpis, aby upewnić się, że wiadomość e-mail nie została zmieniona od czasu jej podpisania przez serwery pocztowe domeny. Jeśli podpis DKIM jest ważny, potwierdza to, że wiadomość e-mail przeszła przez serwery pocztowe podpisującej domeny i nie została zmodyfikowana podczas transportu.

Wykorzystywanie renomowanych domen

W tym momencie do gry wkracza atak. Jeśli atakującemu uda się przejąć lub włamać do skrzynki pocztowej lub utworzyć skrzynkę pocztową z domeną o wysokiej reputacji (co oznacza, że jest to zaufane źródło w oczach serwerów poczty e-mail), wykorzysta on reputację domeny na swoją korzyść.

Wysyłanie początkowej wiadomości e-mail

Atakujący wysyła pojedynczą wiadomość e-mail ze swojej domeny o wysokiej reputacji do innej kontrolowanej przez siebie skrzynki pocztowej. Ta początkowa wiadomość e-mail może być nieszkodliwa lub nawet legalna, aby uniknąć podejrzeń.

Retransmisja

Teraz atakujący może użyć nagranej wiadomości e-mail do ponownego rozesłania tej samej wiadomości do innego zestawu odbiorców, często tych, którzy nie byli pierwotnie zamierzeni przez legalnego nadawcę. Ponieważ wiadomość e-mail ma nienaruszony podpis DKIM z domeny o wysokiej reputacji, serwery e-mail są bardziej skłonne zaufać jej, myśląc, że jest to legalna wiadomość - omijając w ten sposób filtry uwierzytelniające. 

Kroki mające na celu zapobieganie atakom DKIM Replay

Strategie zapobiegania atakom typu replay DKIM dla nadawców wiadomości e-mail: 

1. Nadpisywanie nagłówków

Aby upewnić się, że kluczowe nagłówki, takie jak Data, Temat, Od, Do i DW nie mogą zostać dodane lub zmodyfikowane po podpisaniu, należy rozważyć ich nadpisanie. Zabezpieczenie to uniemożliwia złośliwym podmiotom manipulowanie tymi krytycznymi składnikami wiadomości.

2. Ustawianie krótkich czasów wygaśnięcia (x=)

Wdrożenie możliwie najkrótszego czasu wygaśnięcia (x=). Zmniejsza to okno możliwości dla ataków typu replay. Nowo utworzone domeny muszą mieć jeszcze krótszy czas wygaśnięcia niż starsze, ponieważ są bardziej podatne na ataki. 

3. Wykorzystanie znaczników czasu (t=) i Nonces

Aby dodatkowo zapobiec atakom typu replay, w nagłówkach lub treści wiadomości e-mail należy umieścić znaczniki czasu i nonces (liczby losowe). Utrudnia to atakującym ponowne wysłanie tej samej wiadomości e-mail w późniejszym czasie, ponieważ wartości uległyby zmianie.

4. Okresowa rotacja kluczy DKIM

Regularnie rotuj klucze DKIM regularnie i odpowiednio aktualizuj swoje rekordy DNS. Minimalizuje to narażenie na długotrwałe klucze, które mogą zostać naruszone i wykorzystane w atakach typu replay.

 

Strategie zapobiegania atakom powtórkowym DKIM dla odbiorców wiadomości e-mail: 

1. Wdrażanie ograniczania stawek

Odbiorcy mogą wdrożyć ograniczenie szybkości przychodzących wiadomości e-mail, aby uniemożliwić atakującym zalanie systemu powtórzonymi wiadomościami e-mail. W tym celu można ustawić limity liczby wiadomości e-mail akceptowanych od określonego nadawcy w określonych ramach czasowych.

2. Edukacja odbiorców wiadomości e-mail

Poinformuj odbiorców wiadomości e-mail o znaczeniu DKIM i zachęć ich do weryfikowania podpisów DKIM w przychodzących wiadomościach e-mail. Może to pomóc zmniejszyć wpływ potencjalnych ataków typu replay na odbiorców.

3. Środki bezpieczeństwa sieci

Wdrożenie środków bezpieczeństwa sieci w celu wykrywania i blokowania ruchu ze znanych złośliwych adresów IP i źródeł, które mogą być zaangażowane w ataki typu replay.

Jak PowerDMARC pomaga ograniczyć ataki typu replay DKIM

Aby ułatwić właścicielom domen zarządzanie kluczami DKIM, wprowadziliśmy naszą kompleksową usługę hostowane rozwiązanie DKIM rozwiązanie. Pomagamy monitorować przepływ wiadomości e-mail i praktyki podpisywania DKIM, dzięki czemu można szybko wykryć rozbieżności, jednocześnie zawsze pozostając o krok przed atakującymi.

Optymalizacja rekordów na naszym pulpicie nawigacyjnym odbywa się automatycznie, bez konieczności wielokrotnego uzyskiwania dostępu do DNS w celu ręcznej aktualizacji. Przejdź na automatyzację z PowerDMARC, wprowadzając zmiany w podpisach, obsługując wiele selektorów i rotując klucze DKIM bez konieczności ręcznej pracy. Zarejestruj się już dziś, aby skorzystać z bezpłatny okres próbny!

Latest posts by Ahona Rudra (zobacz wszystkie)
5 najbardziej rozwiniętych oszustw e-mailowych: Trendy 20242021 oszustwaCzym jest zarządzanie ciągłym narażeniem na zagrożenia (CTEM)?