Lỗ Hổng Email Cổ Kính Có Thể Cho Phép Kẻ Tấn Công Che Đi Bản Danh Của Họ

Hiện tại, bạn có lẽ đã quen với lời khuyên thông thường để tránh các cuộc tấn công phishing: Đừng vội vàng tải tệp đính kèm, đừng nhập mật khẩu hoặc gửi tiền đâu đó bất ngờ, và tất nhiên, đừng nhấp vào liên kết trừ khi bạn chắc chắn nó dẫn đến đâu. Bạn có thể thậm chí kiểm tra địa chỉ email của từng người gửi để đảm bảo rằng những gì trông giống như [email protected] thực sự không phải là [email protected]. Nhưng nghiên cứu mới chỉ ra rằng ngay cả khi bạn kiểm tra địa chỉ người gửi đến từng chữ cái, bạn vẫn có thể bị đánh lừa.

Tại hội nghị an ninh Black Hat vào thứ Năm, các nhà nghiên cứu sẽ trình bày các lỗ hổng "vô cùng tinh tế" trong các biện pháp bảo vệ trên ngành được sử dụng để đảm bảo rằng email đến từ địa chỉ mà họ tuyên bố. Nghiên cứu này tập trung vào ba giao thức lớn được sử dụng trong xác thực người gửi email — Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM), và Domain-Based Message Authentication, Reporting and Conformance (DMARC) — và phát hiện ra 18 trường hợp mà các nhà nghiên cứu gọi là "kỹ thuật xâm lược." Những lỗ hổng không phải xuất phát từ các giao thức mà từ cách dịch vụ email và ứng dụng client khác nhau triển khai chúng. Kẻ tấn công có thể sử dụng những kẽ hở này để làm cho cuộc tấn công spear-phishing khó phát hiện hơn.

"Tôi nghĩ mình là một người dùng thông minh, có kiến thức, và thực tế là không, điều đó thực sự không đủ," nói Vern Paxson, đồng sáng lập của công ty phân tích dữ liệu giao thông mạng Corelight và một nhà nghiên cứu tại Đại học California, Berkeley, người đã làm việc trên nghiên cứu này cùng với Jianjun Chen, một nghiên cứu viên sau tiến sĩ tại Viện Khoa học Máy tính Quốc tế, và Jian Jiang, giám đốc kỹ thuật tại Shape Security.

"Ngay cả người dùng khá thông minh cũng sẽ nhìn vào các chỉ số mà Gmail hoặc Hotmail cung cấp và bị đánh lừa," Paxson nói.

Hãy tưởng tượng khi bạn đưa cho bạn một lá bưu thiếp sinh nhật tại bữa tiệc của họ. Bạn có thể chỉ viết tên đầu tiên của họ ở phía bên ngoài phong bì, và có thể gạch chân hoặc vẽ một trái tim. Nhưng nếu bạn gửi thư thay vì đó, bạn cần tên đầy đủ và địa chỉ chi tiết của người nhận, một con tem, và cuối cùng là một dấu bưu điện có ngày tháng. Gửi email qua internet hoạt động tương tự. Mặc dù các dịch vụ email chỉ yêu cầu bạn điền vào các trường "Đến" và "Chủ đề", nhưng có một danh sách đầy đủ các thông tin chi tiết đang được điền vào phía sau. Những "đầu trang" tiêu chuẩn của ngành này, hay còn được biết đến là các trường "header," bao gồm ngày giờ gửi và nhận, ngôn ngữ, một định danh duy nhất được gọi là Message-ID, và thông tin định tuyến.

Các nghiên cứu đã phát hiện rằng bằng cách điều chỉnh chiến lược các trường tiêu đề khác nhau, họ có thể tạo ra các loại tấn công khác nhau, tất cả đều có thể được sử dụng để đánh lừa người đối diện trong một email. "Tài khoản đang gửi là gì, và nó ở đâu? Không có nhiều thứ mà áp đặt rằng chúng thực sự phù hợp," Paxson nói.

18 chiến lược tấn công được chia thành ba loại. Bộ đầu tiên, được gọi là tấn công "nội-server," săn lùng những không nhất quán trong cách một dịch vụ email cụ thể rút dữ liệu từ tiêu đề để xác thực người gửi. Chẳng hạn, tiêu đề email thực sự có hai trường "From," HELO và MAIL FROM. Các cơ chế xác thực khác nhau có thể được thiết lập để làm đồng nhất hai trường này theo cách khác nhau. Ví dụ, một số có thể được thực hiện để giải mã địa chỉ email bắt đầu bằng một dấu ngoặc mở—như ([email protected]—như một trường MAIL FROM trống rỗng, buộc nó phải dựa vào trường HELO cho kiểm tra tính toàn vẹn. Những không nhất quán như vậy tạo ra cơ hội cho những kẻ tấn công thiết lập miền email chiến lược hoặc điều chỉnh tiêu đề tin nhắn để giả mạo thành người khác.

Hạng mục thứ hai tập trung vào việc điều chỉnh những không nhất quán tương tự, nhưng giữa máy chủ thư nhận thông điệp của bạn và ứng dụng hiển thị nó cho bạn thực sự. Các nhà nghiên cứu đã phát hiện ra, ví dụ, sự không nhất quán rộng lớn trong cách các máy chủ và ứng dụng khác nhau xử lý tiêu đề "From" mà liệt kê nhiều địa chỉ email hoặc địa chỉ được bao quanh bởi số lượng dấu cách khác nhau. Dịch vụ nên đánh dấu những thông điệp như vậy có vấn đề xác thực, nhưng trong thực tế, nhiều dịch vụ sẽ chấp nhận entiếp theo như là trường From. Phụ thuộc vào nơi dịch vụ email đặt mình trên dãy này—và cách máy chủ thư được cấu hình—kẻ tấn công có thể lợi dụng điều này để gửi email trông như nó đến từ một địa chỉ khác so với thực tế.

Các nhà nghiên cứu gọi hạng mục thứ ba là "phát lại không rõ ràng," bởi vì nó bao gồm các phương pháp khác nhau để nắm bắt và tái sử dụng (hoặc phát lại) một email hợp lệ mà kẻ tấn công đã nhận được. Những cuộc tấn công này tận dụng một đặc điểm đã biết của cơ chế xác thực mật mã DKIM, nơi bạn có thể nhận một email đã được xác thực, tạo ra một tin nhắn mới mà tất cả tiêu đề và nội dung giống như chúng đã trong email gốc, và về cơ bản gửi lại nó, bảo toàn xác thực của nó. Các nhà nghiên cứu đã đưa điều này một bước xa hơn, nhận ra rằng trong khi bạn không thể thay đổi các tiêu đề hoặc nội dung hiện tại nếu muốn giữ xác thực, bạn có thể thêm các tiêu đề và nội dung văn bản bổ sung vào cái đã có. Điều này giúp kẻ tấn công thêm vào tin nhắn và dòng chủ đề của họ, ẩn tin nhắn thực sự ở một nơi hãy làm như là một tệp đính kèm. Phần làm nghịch này khiến nó trông như tin nhắn của kẻ tấn công đến từ người gửi gốc, hợp lệ và đã được xác thực đầy đủ.

Mặc dù hầu hết mọi người sử dụng tài khoản email của họ mà không bao giờ kiểm tra những gì ẩn sau các tiêu đề này, dịch vụ email vẫn cung cấp tùy chọn. Cách bạn truy cập nó thay đổi tùy thuộc vào nhà cung cấp email, nhưng trên Gmail, mở tin nhắn bạn muốn kiểm tra, nhấp vào Khác, ba chấm dọc bên cạnh Trả lời ở góc phải trên cùng, chọn Hiển thị Bản gốc, và email gốc không được đơn giản hóa sẽ mở trong một tab mới. Vấn đề là ngay cả khi ai đó điều tra tất cả các tiêu đề cụ thể, họ có thể không phát hiện ra bất kỳ điều gì không ổn nếu họ không biết phải tìm kiếm điều gì.

"Bạn nhận được mọi loại rác rưởi phơi bày, rác rưởi chính thức trong lưu lượng mạng không độc hại, và bạn viết những điều để cố gắng giải quyết nó theo cách khác nhau," Paxson của Corelight nói. "Bạn muốn gửi thư nếu có thể, đừng bỏ nó xuống đất chỉ vì một cái gì đó nhỏ bé về cú pháp. Vì vậy, đó là một cuộc đua đến tính tương thích thay vì nghiêm túc. Tôi không nghĩ mọi người đánh giá cao rằng những tương tác trường hợp cụ thể như vậy thậm chí còn tồn tại. Nó gần như ngớ ngẩn và nhưng rất thực tế."

Tổng cộng, các nhà nghiên cứu đã phát hiện 10 nhà cung cấp dịch vụ email và 19 ứng dụng email có thể bị tấn công, bao gồm Gmail của Google, iCloud của Apple, Outlook của Microsoft và Yahoo Mail. Các nhà nghiên cứu đã thông báo cho tất cả các công ty về những phát hiện của họ và nhiều công ty đã trao họ bug bounty và sửa các vấn đề hoặc đang làm việc để sửa chúng. Microsoft cho biết các cuộc tấn công liên quan đến kỹ thuật xã hội là nằm ngoài phạm vi của lỗ hổng bảo mật phần mềm. Yahoo vẫn chưa thực hiện hành động.

Các nhà nghiên cứu cho biết họ hiện không có cách nào để biết liệu kẻ tấn công có lợi dụng những yếu điểm này trong nhiều năm qua hay không. Trong việc phân tích lưu trữ email cá nhân, Paxson nói ông thấy một số ví dụ nhỏ về một số biến đổi này, nhưng dường như đó là những lỗi không cố ý, không phải là tấn công độc hại.

Các phát hiện này không nên khiến bạn quên bỏ mọi lời khuyên bạn đã nghe về lừa đảo. Vẫn quan trọng để tránh nhấp vào các liên kết ngẫu nhiên và kiểm tra địa chỉ email mà một tin nhắn dường như đã được gửi từ đó. Nhưng nghiên cứu cũng làm nổi bật sự vô ích của việc đổ lỗi cho nạn nhân khi đối mặt với các cuộc tấn công lừa đảo. Ngay cả khi bạn làm đúng mọi thứ, kẻ tấn công vẫn có thể trượt qua.

• Không có khái niệm về bí mật gia đình trong thời đại của 23andMe
• Bạn tôi bị mắc bệnh ALS. Để đối phó, anh ấy xây dựng một phong trào
• Làm thế nào bộ trưởng kỹ thuật số không tưởng của Đài Loan đã hack đại dịch
• Các chiếc áo thun Linkin Park đang là mốt ở Trung Quốc
• Làm thế nào xác minh hai yếu tố giữ cho tài khoản của bạn an toàn
• 🎙️ Nghe Get MYTOUR, podcast mới của chúng tôi về cách tương lai được hiện thực hóa. Nghe các tập mới nhất và đăng ký nhận 📩 bản tin để theo dõi tất cả các chương trình của chúng tôi
• 🏃🏽‍♀️ Muốn có các công cụ tốt nhất để có sức khỏe? Kiểm tra các lựa chọn của đội Gear của chúng tôi cho các thiết bị theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất chạy bộ), và tai nghe tốt nhất