intéressant

Comment les spammeurs usurpent votre adresse e-mail (et comment vous protéger)

La plupart d'entre nous connaissons le spam quand nous le voyons, mais voir un email étrange d'un ami - ou pire de nous-même - dans notre boîte de réception est assez déconcertant. Si vous avez vu un email qui semble provenir d'un ami, cela ne signifie pas qu'il a été piraté. Les spammeurs usurpent constamment ces adresses, et ce n'est pas difficile à faire. Voici comment ils le font et comment vous pouvez vous protéger.

Les spammeurs usurpent des adresses électroniques depuis longtemps. Il y a des années, ils obtenaient des listes de contacts à partir de PC infectés par des logiciels malveillants. Les voleurs de données d'aujourd'hui choisissent leurs cibles avec soin et les chargent avec des messages qui semblent provenir d'amis, de sources de confiance ou même de leur propre compte.

Il s'avère que spoofer de vraies adresses e-mail est étonnamment facile, et explique en partie pourquoi le phishing est un tel problème. Ingénieur système, aspirant CISSP et lecteur de Goldavelez.com, Matthew nous a expliqué son fonctionnement, mais nous a également pris par surprise en envoyant un courrier électronique à Goldavelez.com parmi les adresses de courriel d'autres rédacteurs de Goldavelez.com. Bien que nous sachions que c'était possible - nous avions tous déjà reçu du spam -, il était plus déconcertant de le faire. Nous lui avons donc expliqué comment il l'avait fait et ce que les gens pouvaient faire pour se protéger.

Un peu d'histoire: pourquoi les adresses e-mail sont si facilement falsifiées

Aujourd'hui, le problème de spam est résolu pour la plupart des fournisseurs de messagerie, du moins à leur propre satisfaction. Gmail et Outlook disposent d'algorithmes puissants et sophistiqués de capture du spam et de puissants outils de filtrage. Au début des années 2000, ce n'était pas le cas. Le spam était toujours un énorme problème que les serveurs de messagerie n’avaient pas encore à traiter sérieusement, et encore moins de développer des outils avancés à gérer.

En 2003, Meng Weng Wong a proposé aux serveurs de messagerie de "vérifier" que l'adresse IP (le numéro unique identifiant un ordinateur sur Internet) envoyant un message était autorisée à envoyer un courrier au nom d'un domaine spécifique. C'est ce qu'on appelle le formulaire d'expéditeur autorisé (renommé "Sender Policy Framework" en 2004), et Matthew explique comment cela fonctionne:

Chaque fois qu'un message électronique était envoyé, le serveur de messagerie destinataire comparait l'adresse IP d'origine du message avec l'adresse IP répertoriée dans l'enregistrement SPF de l'hôte de cette adresse électronique (partie «@ exemple.com».).

Si les deux adresses IP correspondent, le courrier électronique pourrait alors être transmis au destinataire souhaité. Si les adresses IP ne correspondent pas, l'e-mail sera alors signalé comme spam ou totalement rejeté. La tâche de décider du résultat était entièrement entre les mains du serveur de réception.

Au fil des ans, les enregistrements SPF ont évolué (le dernier RFC a été publié en avril 2014) et la plupart des domaines sur Internet possèdent des enregistrements SPF (vous pouvez les rechercher ici).

Lorsque vous enregistrez un domaine, vous enregistrez également un certain nombre d'enregistrements DNS qui l'accompagnent. Ces enregistrements indiquent au monde les ordinateurs à qui parler en fonction de ce qu’ils souhaitent faire (courrier électronique, Web, FTP, etc.). L’enregistrement SPF en est un exemple et, dans l’idéal, il permettrait de s’assurer que tous les serveurs de messagerie sur Internet sachent que les personnes envoyant des courriers électroniques depuis, par exemple, @ Goldavelez.com, sont en réalité des ordinateurs autorisés.

Cependant, cette méthode n’est pas parfaite, ce qui explique en partie pourquoi elle n’a pas complètement percé. Les enregistrements SPF nécessitent une administration: il s'agit d'une personne qui ajoute de nouvelles adresses IP et supprime les anciennes, ainsi que du temps nécessaire pour que l'enregistrement se propage sur Internet chaque fois qu'une modification est apportée. (: Nous avions précédemment lié les contrôles SPF aux adresses IP des utilisateurs, lorsque la technologie est réellement utilisée par les hôtes mailhosts pour vérifier que le serveur par lequel un message passe est un expéditeur autorisé pour le compte d'un domaine donné, et non que le serveur utilisé est autorisé à envoyer le message. Désolé pour la confusion, et merci aux commentateurs qui l'ont signalé!) La plupart des entreprises utilisent de toute façon une version souple de SPF. Au lieu de risquer les faux positifs en bloquant le courrier utile, ils implémentent "hard" et "soft" en échec. Les hôtes de messagerie ont également assoupli leurs restrictions sur le sort des messages qui échouent à cette vérification. En conséquence, le courrier électronique est plus facile à gérer pour les entreprises, mais le phishing est facile et pose un gros problème.

Puis, en 2012, un nouveau type d'enregistrement a été introduit, conçu pour fonctionner aux côtés de SPF. Il s'appelle DMARC, ou authentification, rapport et conformité de messages basés sur un domaine. Après une seule année, il est étendu pour protéger un grand nombre de boîtes aux lettres grand public (bien que le 60% auto-proclamé soit probablement optimiste.) Matthew explique les détails:

Le DMARC se résume à deux indicateurs importants (bien qu’il y en ait 10 au total) - l’indicateur "p", qui indique aux serveurs de réception comment traiter les courriels potentiellement frauduleux, soit en les rejetant, en les mettant en quarantaine ou en les transmettant; et l'indicateur "rua", qui indique aux serveurs de destination où ils peuvent envoyer un rapport sur les messages ayant échoué (généralement une adresse électronique dans le groupe de sécurité de l'administrateur du domaine). L’enregistrement DMARC résout la plupart des problèmes liés aux enregistrements SPF en allégeant le fardeau de décider comment répondre au destinataire.

Le problème est que tout le monde n'utilise pas encore DMARC.

Cet outil pratique vous permet d'interroger l'enregistrement DMARC de n'importe quel domaine. Essayez-le sur quelques-uns de vos favoris (gawker.com, whitehouse.gov, redcross.org, reddit.com). Remarquez quelque chose? Aucun d'entre eux n'a publié de notices DMARC. Cela signifie que tout hôte de messagerie qui essaie de se conformer aux règles de DMARC n'aurait aucune instruction sur la façon de gérer les e-mails en échec SPF et les laisserait probablement passer. C’est ce que Google fait avec Gmail (et Google Apps), et c’est pourquoi les faux messages peuvent parvenir à votre boîte de réception.

Pour prouver que Google est attentif aux enregistrements DMARC, consultez l'enregistrement DMARC de facebook.com - l'indicateur "p" indique aux destinataires qu'ils doivent rejeter les e-mails et envoyez un rapport à ce sujet au maître de poste de Facebook. Essayez maintenant de simuler un email de facebook.com et envoyez-le à une adresse Gmail - il ne sera pas envoyé. Examinons maintenant l’enregistrement DMARC de fb.com - cela indique qu’aucun courrier électronique ne doit être rejeté, mais qu’un rapport doit néanmoins être effectué. Et si vous le testez, les emails de @ fb.com seront envoyés.

Matthew a également noté que le "postmaster report" n'était pas une blague. Lorsqu'il a tenté d'usurper un domaine avec un enregistrement DMARC, son serveur SMTP a été bloqué en moins de 24 heures. Lors de nos tests, nous avons constaté la même chose. Si un domaine est correctement configuré, ils mettront fin à ces messages spoofés rapidement, ou du moins jusqu'à ce que le spoofer utilise une adresse IP différente. Cependant, un domaine qui n'a pas d'enregistrement DMARC est un jeu équitable. Vous pourriez les usurper pendant des mois sans que personne qui les envoie ne le remarque - il appartiendrait au fournisseur de messagerie destinataire de protéger leurs utilisateurs (en signalant le message comme spam en fonction du contenu ou en fonction de l'échec de la vérification SPF du message. )

Comment les spammeurs usurpent-ils des adresses électroniques?

Les outils nécessaires pour usurper les adresses électroniques sont étonnamment faciles à obtenir. Tout ce dont vous avez besoin est d’un serveur SMTP en état de marche (c’est-à-dire un serveur pouvant envoyer des courriers électroniques) et du logiciel de messagerie adéquat.

Tout bon hébergeur vous fournira un serveur SMTP. (Vous pouvez également installer SMTP sur un système que vous possédez, le port 25 - le port utilisé pour le courrier électronique sortant, est généralement bloqué par les FAI. C'est précisément pour éviter le type de malware par courrier électronique que nous avons vu au début des années 2000.) blague sur nous, Matthew a utilisé PHP Mailer. C'est facile à comprendre, facile à installer et il possède même une interface Web. Ouvrez PHP Mailer, composez votre message, insérez les adresses "de" et "à", puis cliquez sur envoyer. Du côté du destinataire, ils recevront dans leur boîte de réception un email qui semble provenir de l'adresse que vous avez entrée. Matthew explique:

L'e-mail aurait dû fonctionner sans problème et semble provenir de quiconque de votre choix. Il y a très peu de choses pour indiquer que cela ne venait pas de leur boîte de réception, jusqu'à ce que vous visualisiez le code source de l'e-mail (option "Afficher l'original" dans Gmail). [note ed: voir l'image ci-dessus]

Vous remarquerez que l'e-mail «logiciel» a échoué lors de la vérification SPF, mais il est quand même arrivé dans la boîte de réception. Il est également important de noter que le code source inclut l'adresse IP d'origine de l'e-mail. Il est donc possible que l'e-mail puisse être suivi si le destinataire le souhaite.

Il est important de noter à ce stade qu’il n’existe toujours pas de norme concernant la manière dont les hôtes de messagerie traiteront les échecs SPF. Gmail, l'hôte avec lequel j'ai effectué l'essentiel de mes tests, a autorisé les courriels. Outlook.com n'a toutefois pas envoyé un seul e-mail falsifié, qu'il soit logiciel ou non. Mon serveur Exchange d'entreprise les a laissés entrer sans problème et mon serveur domestique (OS X) les a acceptés, mais les a marqués comme spam.

C'est tout ce qu'on peut en dire. Nous avons survolé quelques détails, mais pas beaucoup. Le plus gros inconvénient ici est que si vous cliquez sur répondre sur le message usurpé, tout ce qui est renvoyé va au propriétaire de l'adresse - pas au spoofer. Cela n’a aucune importance pour les voleurs, car les spammeurs et les phishers espèrent juste que vous cliquerez sur des liens ou ouvrir des pièces jointes.

Le compromis est clair: étant donné que SPF n'a jamais vraiment fonctionné comme prévu, vous n'avez pas besoin d'ajouter l'adresse IP de votre appareil à une liste ni d'attendre 24 heures à chaque voyage ou de vouloir envoyer un courrier électronique à partir de votre nouveau smartphone. . Cependant, cela signifie également que le phishing reste un problème majeur. Le pire, c'est que tout le monde peut le faire.

Que pouvez-vous faire pour vous protéger?

Tout cela peut sembler mystérieux ou faire l’affaire de quelques spams peu pratiques. Après tout, la plupart d’entre nous connaissons le spam quand nous le voyons, si jamais nous le voyons. Mais la vérité est que pour chaque compte où ces messages sont marqués, il y en a un autre où ils ne le sont pas et les courriels de phishing parviennent dans les boîtes de réception des utilisateurs.

Matthew nous a expliqué qu'il avait l'habitude de falsifier des adresses avec des amis pour les blaguer et leur faire peur, comme si le patron était en colère contre eux ou si la réceptionniste avait envoyé un courriel pour leur dire que leur voiture était remorquée, mais s'était rendu compte que cela fonctionnait trop bien, même en dehors du réseau de l'entreprise. Les messages usurpés sont passés par le serveur de messagerie de la société, avec des photos de profil, le statut de la messagerie instantanée de l'entreprise, des informations de contact automatiquement saisies, etc., tous ajoutés utilement par le serveur de messagerie et donnant tous un aspect légitime au courrier électronique usurpé. Lorsque j'ai testé le processus, il ne me restait plus beaucoup de travail avant de voir mon propre visage me regarder dans ma boîte de réception, ou celle de Whitson, ou même d'Adam Dachis, qui n'a même plus d'adresse de messagerie Goldavelez.com.

Pire encore, la seule façon de dire que le courrier électronique ne provient pas de la personne à qui il ressemble est de creuser dans les en-têtes et de savoir ce que vous recherchez (comme nous l'avons décrit plus haut). C'est un défi de taille, même pour la technologie. -savvy parmi nous - qui a le temps pour cela au beau milieu d'une journée de travail bien remplie? Même une réponse rapide au courrier électronique usurpé ne ferait que créer de la confusion. C'est un moyen idéal de provoquer un peu de chaos ou de cibler des individus pour les amener à compromettre leur propre PC ou à renoncer à leurs informations de connexion. Mais si vous voyez quelque chose qui est même un peu suspect, vous avez au moins un outil supplémentaire dans votre arsenal.

Donc, si vous souhaitez protéger vos boîtes de réception contre des messages comme celui-ci, vous pouvez procéder de différentes manières:

  • Augmentez vos filtres anti-spams et utilisez des outils comme Priority Inbox . Définir vos filtres anti-spam un peu plus forts peut, selon votre fournisseur de messagerie, faire la différence entre un message qui échoue lors de son contrôle SPF dans le spam et votre boîte de réception. De même, si vous pouvez utiliser des services tels que la boîte de réception prioritaire de Gmail ou le VIP d'Apple, vous laissez essentiellement le serveur de messagerie déterminer les personnes importantes pour vous. Si une personne importante est usurpée, vous l'obtiendrez quand même.
  • Apprenez à lire les en-têtes de message et à suivre les adresses IP . Dans cet article, nous avons expliqué comment faire pour détecter la source du spam. C'est une bonne compétence. Lorsqu'un courrier suspect arrive, vous pouvez ouvrir les en-têtes, consulter l'adresse IP de l'expéditeur et voir si elle correspond aux courriers précédents de la même personne. Vous pouvez même effectuer une recherche inversée sur l'adresse IP de l'expéditeur pour voir où elle se trouve - ce qui peut être informatif ou non, mais si vous recevez un e-mail de votre ami de l'autre côté de la ville originaire de Russie (et qu'ils ne voyagent pas), vous sais que quelque chose se passe.
  • Ne jamais cliquer sur des liens inconnus ou télécharger des pièces jointes inconnus . Cela peut sembler une évidence, mais tout ce qu'il faut, c'est qu'un employé d'une entreprise voit un message de son supérieur hiérarchique ou d'un autre de l'entreprise lui demandant d'ouvrir une pièce jointe ou de cliquer sur un lien Google Docs amusant pour dévoiler l'intégralité du réseau de l'entreprise. Beaucoup d’entre nous pensent que nous sommes au-dessus d’être trompés de la sorte, mais cela arrive tout le temps. Faites attention aux messages que vous recevez, ne cliquez pas sur les liens dans les courriels (allez directement sur le site Web de votre banque, de votre câblodistributeur ou sur un autre site Web et connectez-vous pour trouver ce qu'ils veulent voir) et ne téléchargez pas les pièces jointes des courriels. ne pas attendre explicitement. Maintenez l'antimalware de votre ordinateur à jour.
  • Si vous gérez votre propre courrier électronique, effectuez un audit pour voir comment il répond aux enregistrements SPF et DMARC . Vous pourrez peut-être interroger votre hébergeur à ce sujet, mais il n'est pas difficile de vérifier vous-même en utilisant la même méthode d'usurpation que nous avons décrite ci-dessus. Vous pouvez également consulter votre dossier de courrier indésirable. Vous y verrez peut-être des messages de votre part ou de la part de personnes que vous connaissez. Demandez à votre hôte Web s'ils peuvent modifier la configuration de votre serveur SMTP ou envisagez de basculer les services de messagerie vers quelque chose comme Google Apps pour votre domaine.
  • Si vous possédez votre propre domaine, archivez les enregistrements DMARC . Matthew explique que vous avez le contrôle sur votre degré d'agressivité, mais découvrez comment archiver des enregistrements DMARC et mettre à jour les vôtres avec votre registraire de domaine. Si vous ne savez pas comment, ils devraient pouvoir vous aider. Si vous recevez des messages usurpés sur un compte d'entreprise, informez-en votre entreprise. Ils ont peut-être une raison de ne pas classer les enregistrements DMARC (Matthew a expliqué qu'ils ne le pouvaient pas car ils avaient des services externes à envoyer à l'aide du domaine de la société - quelque chose de facile à corriger, mais ce type de réflexion fait partie du problème), mais au moins vous leur faites savoir.

Comme toujours, le lien le plus faible en matière de sécurité est l’utilisateur final. Cela signifie que vous aurez besoin de garder vos capteurs BS à fond vers le haut chaque fois que vous recevez un courrier électronique auquel vous ne vous attendiez pas. Renseignez-vous. Gardez votre logiciel anti-malware à jour. Enfin, gardez un œil sur de tels problèmes, car ils continueront d’évoluer tout en luttant contre le spam et le phishing.