Открыть сервис

Email-спуфинг

Email-спуфинг (от англ. spoofing — подделка, мистификация) — это вид кибератаки, при котором злоумышленник подделывает заголовки электронного письма, чтобы сделать его похожим на отправленное от доверенного отправителя (например, коллеги, банка, государственного учреждения или известного сервиса). Основная цель — ввести получателя в заблуждение, заставить его открыть вложение, перейти по ссылке, перевести деньги или раскрыть конфиденциальные данные. Данная техника является одним из наиболее распространённых методов социальной инженерии и фишинга.

Механизм работы

Email-спуфинг возможен из-за особенностей протокола SMTP (Simple Mail Transfer Protocol), который был разработан в 1980-х годах и не предусматривал встроенных механизмов аутентификации отправителя. В SMTP поле «From» (от кого) является частью тела письма, а не обязательным атрибутом соединения. Сервер отправки может указать любой адрес в этом поле, и большинство почтовых серверов, не настроенных должным образом, примут и доставят такое письмо.

Основные этапы атаки

  1. Выбор цели и жертвы. Злоумышленник выбирает получателя (жертву) и отправителя, которому жертва доверяет (например, генеральный директор компании, служба поддержки банка, налоговая инспекция).
  2. Подделка заголовка. С помощью почтового клиента, скрипта или специализированного сервиса атакующий формирует письмо, указывая в поле «From» подставной адрес. Часто подделываются и другие поля, такие как «Reply-To» (адрес для ответа), чтобы перенаправить ответ атакующему.
  3. Отправка. Письмо отправляется через любой почтовый сервер, который не проверяет подлинность домена отправителя. Часто используются открытые ретрансляторы (open relay) или скомпрометированные серверы.
  4. Доставка. Почтовый сервер получателя проверяет базовые параметры (например, наличие домена в DNS), но, не имея механизмов верификации, принимает письмо и доставляет его в папку «Входящие» жертвы.
  5. Реализация цели. Жертва, видя знакомый адрес, выполняет требуемое действие: переводит деньги, вводит пароль на поддельном сайте, открывает вредоносное вложение.

Виды и техники спуфинга

Хотя основная цель — подделка адреса отправителя, существуют разные уровни и методы атаки.

1. Подделка домена отправителя (Domain Spoofing)

Самый распространённый тип. Атакующий использует домен, который выглядит как настоящий, но отличается на один символ (например, @c0mpany.com вместо @company.com), или полностью подделывает адрес, если домен не защищён.

2. Подделка имени отправителя (Display Name Spoofing)

В поле «Имя отправителя» указывается имя доверенного лица (например, «Иван Иванов, генеральный директор»), а в поле «Email» — произвольный, часто несуществующий адрес. Многие почтовые клиенты по умолчанию показывают только имя, что вводит пользователя в заблуждение.

3. Подделка обратного адреса (Return-Path / Envelope From)

Технически более сложная атака, при которой подделывается не только видимый адрес, но и адрес, используемый серверами для возврата писем (bounce). Это позволяет обойти некоторые базовые проверки.

4. Подделка с использованием легитимных сервисов

Атакующий может использовать форму обратной связи на реальном сайте компании или подписаться на рассылку от имени жертвы. В этом случае письмо приходит с настоящего сервера, что делает его практически неотличимым от легитимного.

Методы защиты (аутентификация электронной почты)

Для борьбы с email-спуфингом были разработаны три основных стандарта, которые администраторы почтовых доменов должны внедрять на своих серверах.

SPF (Sender Policy Framework)

SPF — это запись в DNS (Domain Name System), которая указывает, какие IP-адреса имеют право отправлять почту от имени данного домена. Получающий почтовый сервер проверяет IP-адрес отправляющего сервера по SPF-записи домена отправителя. Если адрес не совпадает, письмо может быть отклонено или помечено как спам.

Ограничения: SPF проверяет только конверт письма (Return-Path), а не заголовок «From». Это делает его уязвимым для некоторых видов атак.

DKIM (DomainKeys Identified Mail)

DKIM использует криптографическую подпись. Отправляющий сервер подписывает определённые заголовки письма (включая «From») с помощью закрытого ключа. Получающий сервер получает открытый ключ из DNS-записи домена отправителя и проверяет подпись. Если подпись не совпадает или отсутствует, письмо считается подозрительным.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC — это политика, которая объединяет SPF и DKIM. Владелец домена публикует в DNS запись, которая указывает, что делать с письмами, не прошедшими проверку SPF или DKIM. Возможные действия:

  • none (p=none): только мониторинг, письма доставляются.
  • quarantine (p=quarantine): помечать такие письма как спам.
  • reject (p=reject): полностью отклонять письма.

DMARC также позволяет получать отчёты о том, кто пытается отправлять письма от имени домена, что помогает выявлять атаки.

Примеры атак и последствия

Email-спуфинг является основой для многих громких киберпреступлений.

Бизнес-компрометация (BEC — Business Email Compromise)

Один из самых дорогостоящих видов атак. Злоумышленник, выдавая себя за руководителя компании (CEO) или финансового директора (CFO), отправляет письмо бухгалтеру с требованием срочно перевести крупную сумму на «новый счёт» подставного партнёра. По данным ФБР, ущерб от BEC-атак исчисляется миллиардами долларов ежегодно.

Фишинг и вишинг

Поддельные письма от имени банков, платёжных систем (например, «Сбербанк», «Яндекс.Деньги») или госуслуг («Госуслуги») с просьбой подтвердить пароль или перейти по ссылке для «разблокировки аккаунта». Ссылка ведёт на поддельный сайт, где пользователь вводит свои данные, которые затем используются для кражи денег.

Распространение вредоносного ПО

Письмо от имени IT-отдела компании с вложением «обновления программного обеспечения» или «важного документа». Вложение содержит троян или программу-шифровальщик.

Критика и ограничения защиты

Несмотря на существование SPF, DKIM и DMARC, полная защита от email-спуфинга не гарантирована.

  1. Сложность внедрения. Многие организации, особенно малые и средние предприятия, не настраивают эти протоколы или делают это с ошибками.
  2. Человеческий фактор. Даже при идеальной технической защите, пользователь может быть обманут подделкой имени отправителя или социальной инженерией.
  3. Слабые места в цепочке. Если скомпрометирован легитимный почтовый сервер или аккаунт, письма будут проходить все проверки.
  4. Несовместимость. Некоторые почтовые сервисы и списки рассылки могут нарушать подписи DKIM при пересылке писем.

Интересные факты

  • Самый первый случай массового email-спуфинга был зафиксирован в 1990-х годах, когда спамеры начали подделывать обратные адреса, чтобы избежать блокировки.
  • Протокол SMTP, лежащий в основе электронной почты, был описан в 1982 году в RFC 821, когда об интернет-безопасности задумывались мало. Он не предусматривал никакой аутентификации.
  • В 2016 году хакеры, используя BEC-атаку, похитили более 100 миллионов долларов у компании Google и Facebook (продукт Meta, признанной экстремистской и запрещённой в РФ), выставив поддельные счета от имени азиатского производителя электроники (Quanta Computer).

Источники

  • RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email.
  • RFC 6376: DomainKeys Identified Mail (DKIM) Signatures.
  • RFC 7489: Domain-based Message Authentication, Reporting and Conformance (DMARC).
  • «Отчёт о расследовании нарушений безопасности данных» (Verizon Data Breach Investigations Report, DBIR) за 2023 год.
  • Материалы ФБР (FBI IC3) по компрометации деловой электронной почты (BEC).
  • Статья «Email Spoofing» в технической документации Google Workspace и Microsoft 365.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →