امنیت

اینترنت و شبکه

فناوری اطلاعات

February 18, 2020
16:37 سه شنبه، 29ام بهمنماه 1398
کد خبر: 108981

همه‌چیز در مورد ایمیل‌های جعلی!

برخی‌اوقات خیلی راحت، تنها با چک کردنِ فیلدِ From می‌توان ایمیل‌های فیشینگ را شناسایی کرد. با این حال، همیشه هم شرایط به همین آسانی نخواهد بود؛ ساخت ایمیلی تقلبی طوری که هیچ جوره نتوان آن را از نسخه‌ی واقعی‌اش تشخیص داد بسیار بسیار محتمل است. اگر مهاجم بداند چطور این کار را کند، آنوقت سازمان مورد هدف حسابی به دردسر خواهد افتاد.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اکثر افراد پیش از کلیک روی لینک یا فایل آلوده که در ایمیل‌شان دریافت می‌کنند (ظاهراً از جانب رئیس‌شان و یا کلاینتی رده‌بالا فرستاده شده است) حتی یک ثانیه هم فکر نمی‌کنند و خوب البته نمی‌شود آن‌ها را مقصر دانست، خصوصاً اینکه هیچ راهی هم برای تشخیص فرق میان نسخه‌ی واقعی و جعلی وجود ندارد.  
اما سوال اینجاست چرا باید امکان ساخت ایمیلی جعلی آن هم به این ظرافت و دقت وجود داشته باشد؟ سخنرانی اندرو کنستانتینف در باب احراز هویت ایمیل برای تست‌کنندگان نفوذپذیری در سی و ششمین کنگره‌ی ارتباطات آشوب پاسخ درخوری به این سوال می‌دهد. گفته‌های کنستانتینف بینش جدیدی را در خصوص اثربخشی حفاظت در برابر کلاهبرداری ایمیل ارائه می‌دهد.
مشکل 1: ایمیل باید جاری و به روز باشد
ایمیل، روش ارتباطیِ اصلی در جهان مدرن به حساب می‌آید و هر سازمانی در عملیات‌های روزانه‌ی خود به شدت بدان متکی است. گرچه وقتی همه‌چیز راحت و روان پیش می‌رود چندان هم به این تکنولوژی فکر نمی‌کنیم با این حال اگر ناگهان بلایی سر ایمیل‌ها بیاید مطمئن باشید همه حواسشان سمت آن می‌رود. بنابراین، قابلیت اطمنیان اولویت اول هر ادمین سرور ایمیل است. صرف نظر از هر چیز دیگر، ایمیل فقط و فقط باید ارسال شده و به دست گیرنده برسد. منظور اینجا این است که سرور ایمیل هر سازمانی باید تا حد امکان با هر چیز دیگر در جهان سازگاری داشته باشد. و خوب اینجا یک مشکل وجود دارد: استانداردهای ایمیل به شدت تاریخ‌گذشته است.
مشکل 2: پروتکل ایمیل بدون هیچ احراز هویتی
پروتکل اصلی به‌کار رفته در دو ارتباطات ایمیلیِ کلاینت به سرور و سرور به سرور SMTP است. این پروتکل اولین بار در سال 1982 معرفی شد و آخرین بار در سال 2008 بروزرسانی گردید- بیش از یک دهه پیش. و درست مانند بسیاری استانداردهای دیگر، SMTP هم یک کابوس امنیتی است.
ابتدا بیایید نگاهی داشته باشیم بر اجزای تشکیل‌دهنده‌ی یک پیام ایمیل (به طور معمول):
پاکت SMTP. این بخش برای ارتباطات سرور به سرور استفاده می‌شود و هیچگاه در رایانامه‌خوان نشان داده نمی‌شود. کار آن تعیین آدرس‌های فرستنده و گیرنده است.
رایانامه‌خوان این بخش را نشان می‌دهد. اینجا همان جایی است که فیلدهای آشنای From، To، Date و Subject را که هر ایمیلی دارد پیدا خواهید کرد. 
مشکل اصلی اینجاست که این استاندارد هیچ ابزار احراز هویتی ارائه نمی‌دهد. مسئولیت فیلد آدرس فرستنده (هم در پاکت SMTP و هم در هدر) تماماً بر گردن سرور فرستنده است. بدتر اینکه، آدرس فرستنده در پاکت SMTP حتماً نباید با آنی که در هدر است تطابق داشته باشد (و کاربر فقط دومی را مشاهده می‌کند). همچنین، گرچه این استاندارد به ازای هر ایمیل یک هدر را تعیین می‌کند اما SMTP در واقع محدودیتی اعمال نمی‌کند. اگر پیامی حاوی چیزی بیش از یک هدر باشد، آنوقت رایانامه‌خوان براحتی یکی را برای نمایش به کاربر انتخاب می‌کند. خیلی هم نباید هکر حرفه‌ای‌ای بود تا این ترفندها را پیاده کرد.
پروتکل ایمیل هیچ ابزاری برای تضمین اینکه ایمیل در واقع از جانب فرستنده‌ی نشان‌داده‌شده آمده وجود ندارد.
 مشکل 3: فرستنده و گیرنده هر دو در بخش جعل ایمیل مهمند
برای پیچیده‌تر کردن بیشتر شرایط، هر ارتباط ایمیل شامل دو طرف می‌شود؛ بنابراین مشکل عدم احراز هویت در واقع خود را در قالب و مشکل زیرمجموعه نشان می‌دهد.
از طرفی، شما قطعاً دوست دارید مطمئن شوید هر ایمیلی که دریافت می‌کنید واقعاً از سوی آدرس نشان‌داده‌شده فرستاده شده است. از طرفی دیگر هم شاید بخواهید جلوی ارسال ایمیل‌هایی که ظاهراً به آدرس شما هستند توسط افراد دیگر را بگیرید. متأسفانه این استاندارد نمی‌تواند هیچیک از این مشکلات را حل کند.
هیچ تعجبی نیست که پروتکل SMTP آنقدر به کرّات مورد سوءاستفاده قرار گرفته بود که افراد شروع کردند به ابداع فناوری‌های جدید برای رفع نقایص مذکور.
حل مشکل 1: فریم‌ورک خط‌مشی فرستنده (SPF)
ایده‌ی پشتِ Sender Policy Framework بسیار ساده است: سرور دریافت‌کننده باید بتواند چک کند آیا آدرس سروری که در اصل ایمیل را فرستاده است با آدرس میل سرور واقعی (مرتبط با دامنه) مطابقت دارد یا خیر. متأسفانه به گفتن آسان است اما به عمل بسی دشوار. استاندارد SMTP ابزاری برای چنین چک کردنی ندارد، بنابراین هر روش احراز هویتی باید به موارد از پیش‌موجود افزوده شود. دریافت چنین فناوری تا مرز «استانداردی پیشنهادشده» یک دهه طول کشید. امروزه تنها حدود 55 درصد از یک میلیون سرور برتر از SPF استفاده نموده و بیشترشان نیز خط‌مشی‌های کاملاً راحت را انتخاب می‌کنند.
SPF اینجا با همچنین با کلی مشکلات دیگر مواجه می‌شود، از جمله‌ی آن می‌توان به معماری آشفته‌ای اشاره کرد که دستکاری در تنظیمات را آسان می‌کند و اجازه می‌دهد افراد مهاجم با استفاده از سایر سرورهای میزبانی‌شده روی همان آدرس راه‌هایی برای دور زدن انتخاب کنند (و کلی مشکلات دیگر که از حوصله‌ی متن خارج است). اما نقص مهلک SPF این است که تنها آدرس نشان‌داده‌شده در پاکت SMTP را چک می‌کند و فیلد From در هدر را پاک نادیده می‌گیرد- همانی که در واقع کاربر قادر به دیدنش است.
نتیجه:
SPF کمک می‌کند چک کنید ببینید ایمیلی از سرور اصلی و واقعی آمده است یا خیر.
آدرس قابل‌مشاهده برای کاربر می‌تواند تقلبی باشد.
 حل مشکل 2: DKIM
DomainKeys Identified Mail به طور متفاوتی به ایت مشکل نزدیک شده است. DKIM از حیث کریپتوگرافی با استفاده از کلیدی خصوصی که بواسطه‌ی آن امضا می‌تواند به کمک کلیدی عمومی (منتشرشده در سیستم نام دامنه) اعتبارسنجی شود، هدر پیام و بخشی از بدنه‌ی آن را امضا می‌کند.
با این حال، شایان ذکر است که DKIM قرار نیست کل متن را رمزگذاری کند. در عوض، بدان یک ضمیمه‌ی امضاشده (به طور کریپتوگرافیک‌شده‌ای) اضافه می‌کند. مشکل همینجاست. بخش رمزگذاری را سخت می‌توان اصلاح کرد اما حذف کامل امضا و ساخت پیامی تقلبی در عوض بسیار آسان خواهد بود- نتیجه‌ی کار نیز غیرقابل‌شناسایی باقی خواهد ماند.
DKIM را سخت می‌توان پیاده‌سازی کرد زیرا صدور و مدیریت کلیدهای رمزنگاری‌شده را دربردارد. همچنین، DKIM که تنظیمات اشتباه دارد می‌تواند به مهاجم این توانایی را دهد تا امضای اصلی DKIM را در پیام نگه داشته و در عین حال به طور کامل هدر و بدنه‌ی آن را تغییر دهد.
نتیجه:
DKIM به شما اجازه می‌دهد با اطمینان‌دهی به سرور دریافتی -که پیام از طریق آن برای شما آمده است- به طور دیجیتالی پیام‌ها را امضا کنید.
سخت می‌توان آن را پیاده‌سازی کرد زیرا مدیریت کلید رمزنگاری‌شده را در بردارد.
جعل‌کنندگان براحتی می‌توانند همینطور که دارند به نام شما ایمیلی تقلبی می‌سازند امضا را نیز پاک کنند.
برخی اشتباهات در تنظیمات می‌تواند در نهایت به پیام‌های تقلبی حاوی امضاهای واقعی DKIM بیانجامد.
  حل مشکل 3: احراز هویت پیام مبتنی بر دامنه، گزارش و مطابقت (DMARC)
با وجود نام نسبتاً طولانی‌ای که دارد (Domain-based Message Authentication)، فهم پروتکل گزارش و مطابقت (Reporting and Conformance) به مراتب از فهم SPF یا DKIM آسانتر است. در واقع افزونه‌ای از هر دو است که فاحش‌ترین غفلت‌های آن‌ها را پوشش‌دهی می‌کند.
نخست اینکه DMARC به ادمین دامنه در تعیین اینکه سرور دارد از کدام مکانیزم محافظتی (SPF، DKIM یا هر دو) استفاده می‌کند یاری می‌رساند. دوم اینکه، مشکلات SPF را نیز برطرف نموده و علاوه بر چک کردن آدرس مشخص‌شده در فیلد From هدر را (همانی که کاربر می‌تواند مشاهده‌اش کند) آدرس فرستنده در پاک SMTP را نیز مورد بازبینی قرار می‌دهد.
عیب کار اینجاست که پروتکل DMARC نسبتاً جدید است و هنوز استاندارد مناسبی به حساب نمی‌آید (RFC 7489 آن را استاندارد و یا حتی استاندارد پیشنهادی نمی‌خواند، بلکه تنها بدان لقب «اطلاعاتی» داده است) و آنطور که باید کاربرد گسترده پیدا نکرده است. بر طبق بررسی که روی 20 هزار دامنه انجام شد، تنها 20 درصد تا سال 2019 این پروتکل را اتخذ کرده بودند و 8.4 درصد نیز خط‌مشی‌های سختگیرانه‌ای داشتند. 
نتیجه:
مهمترین مشکلات مربوط به SPF و DKIM را حل می‌کند.
چون هنوز به طور گسترده‌ای کاربرد ندارد آنطور که باید از اثربخشی مفیدی برخوردار نیست.
راه‌های جلوگیری از ایمیل‌های جعلی
خلاصه بگوییم: ایمیل‌های تقلبی هنوز هم احتمال دارد وجود داشته باشند زیرا پروتکل SMTP با مختصات امنیتی در ذهن طراحی نشده بود؛ بنابراین مهاجم می‌تواند هر آدرسی از فرستنده را در ایمیل جعلی خود درج کند. در طی چند دهه‌ی اخیر، یک سری مکانیزم‌های حفاظتی‌ پدید آمدند- از جمله آن‌ها می‌توان به SPF،  DKIM و DMARC اشاره کرد. با این حال، برای اثربخش بودن این مکانیزم‌ها باید تا حد امکان توسط میل سرورها به کار روند (و به درستی پیاده‌سازی شوند). در حالت ایده‌آل، باید روی هر میل‌سرور موجود در اینترنت پیاده‌سازی شوند.
افزون بر این، به این نکته نیز توجه داشته باشید که برخی mail relay serverها ممکن است به دلیل خطاهای تنظیمات شروع کنند به افزودن چیزی به کلمات و همین می‌تواند چک DKIM را به طور اتوماتیک از کار بیاندازد. همچنین یادتان نرود که این فناوری‌ها کمک می‌کنند تا بشود با توده‌ی تهدیدات دست و پنجه نرم کرد اما به منظور محافظت کسب و کار خود در برابر حملات پیچیده‌ی ایمیل باید همچنان از راه‌حل‌های محافظتی هم در سطح ایستگاه‌های کار و هم در سطح میل‌سرور استفاده نمایید.
راهکارها:
ü دست‌کم SPF را دریافت کنید. مطمئن شوید بدرستی تنظیم شده باشد. همچنین در نظر داشته باشید مهاجمین زیرک می‌توانند SPF را دور بزنند.
ü برای محافظتی بهتر DKIM را اجرا کنید. شاید کمی سخت‌تر باشد ولی ارزشش را دارد. و دوباره بگوییم، مطمئن شوید بدرستی تنظیم شده باشد.
ü در حالت ایده‌آل، DMARC را دریافت کنید زیرا بیترِ نقایص قابل اکسپلویت در SPF و  DKIM را پوشش می‌دهد.
ü تنظیمات بخش ایمیل‌های دریافتی را نیز بررسی فرمایید.
ü از راهکارهای امنیتی که از مکانیزم‌های احراز هویت مدرن پشتیبانی می‌کنند استفاده نمایید. توصیه‌ی ما به شما Kaspersky Security for Mail Servers یا Kaspersky Security for Microsoft Office 365 است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.