Client-side e-mail spoofing
Who we are
О чем это все
Яндекс.Почта
Яндекс.Почта
Яндекс.Почта
Яндекс.Почта
Заголовок From
Заголовок From
Репорт в Яндекс
Microsoft Outlook
Microsoft Outlook
Outlook.com
Outlook Web Access (OWA)
Outlook for iOS
Outlook for iOS
Репорт в Microsoft
Ответ от вендора
Mail.ru
Mail.ru
Mail.ru
myMail
myMail
Как решить?
Нормально делай – нормально будет
Нормально делай – нормально будет
Вопросы?
1.34M
Category: informaticsinformatics
Similar presentations:
: Шифры замены
: Шифры замены
Методы замены
Методы замены
Базовые сервисы интернет
Базовые сервисы интернет
Шифры простой замены
Шифры простой замены
Шифры простой замены
Шифры простой замены
Шифры сложной замены
Шифры сложной замены
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Режимы работы клиент-программы электронной почты
Режимы работы клиент-программы электронной почты
Сеть Internet
Сеть Internet
Электронная почта
Электронная почта

Подмена электронной почты клиента

1. Client-side e-mail spoofing

2. Who we are

Специалисты отдела анализа защищенности
компании «Информзащита»
Telegram:
• @empty_jack
• @n0tabug
Twitter:
• https://twitter.com/mylittlepapers
2

3. О чем это все

• SMTP уязвим by design (кэп)
• Данная уязвимость присутствует на
клиентских приложениях:
– Яндекс.Почта (Android, iOS, Web)
– Microsoft Outlook (iOS, OWA, Office, Android)
– Mail.ru + myMail (iOS, Android)
– Некоторые другие…
• Сложность эксплуатации: минимальная
3

4. Яндекс.Почта

4

5. Яндекс.Почта

5

6. Яндекс.Почта

6

7. Яндекс.Почта

7

8. Заголовок From

ishopper… - почта злоумышленника,
зарегистрированная на gmail.com
[email protected] – за кого злоумышленник
пытается выдать себя
8

9. Заголовок From

• Клиентское приложение некорректно разбирает
заголовок From письма ->
• Приложение в процессе разбора из заголовка From
удаляет последний адрес (настоящий адрес
атакующего) ->
• В заголовке From остается значение:
Spoof Name <[email protected]>
• Данное значение отрисовывается приложением как
почта отправителя
• ВАЖНО! В заголовке From письма должен
присутствовать адрес из заголовка MAIL FROM
9

10. Репорт в Яндекс

Статус: Fixed
10

11. Microsoft Outlook

11

12. Microsoft Outlook

Подтягивается фотография и информация из
Exchange
12

13. Outlook.com

13

14. Outlook Web Access (OWA)

14

15. Outlook for iOS

15

16. Outlook for iOS

16

17. Репорт в Microsoft

Статус: Rejected
17

18. Ответ от вендора

Thank you for contacting the Microsoft Security
Response Center (MSRC). Upon investigation we
have determined that this does not meet the bar for
security servicing. The display of the sender message
header could be forged or omitted just as easily as
the from header. Additionally, while it’s true that
SMTP can be easily spoofed, it’s the burden of the
receiving mail provider to check the content and
origin of messages. Any mail genuinely originating
from Microsoft can be authenticated using SPF and
DKIM, making this a failing of the mail service in not
rejecting the message or sending it to a junk mail
folder.
18

19. Mail.ru

Другой вектор. Связанно с особенностью
обработки заголовком приложениями
19

20. Mail.ru

20

21. Mail.ru

21

22. myMail

22

23. myMail

Статус: Fixed
23

24. Как решить?

• Строгий DMARC
• Правило для антиспама
• Правильно разбирать/отображать
заголовок From
• Выводить предупреждение о
несоответствии заголовков
24

25. Нормально делай – нормально будет

• Один из примеров решения:
25

26. Нормально делай – нормально будет

• Реализована защита
«из коробки» в Mozilla Thunderbird
26

27. Вопросы?

27
English     Русский Rules