Похожие презентации:
Подмена электронной почты клиента
1. Client-side e-mail spoofing
2. Who we are
Специалисты отдела анализа защищенностикомпании «Информзащита»
Telegram:
• @empty_jack
• @n0tabug
Twitter:
• https://twitter.com/mylittlepapers
2
3. О чем это все
• SMTP уязвим by design (кэп)• Данная уязвимость присутствует на
клиентских приложениях:
– Яндекс.Почта (Android, iOS, Web)
– Microsoft Outlook (iOS, OWA, Office, Android)
– Mail.ru + myMail (iOS, Android)
– Некоторые другие…
• Сложность эксплуатации: минимальная
3
4. Яндекс.Почта
45. Яндекс.Почта
56. Яндекс.Почта
67. Яндекс.Почта
78. Заголовок From
ishopper… - почта злоумышленника,зарегистрированная на gmail.com
[email protected] – за кого злоумышленник
пытается выдать себя
8
9. Заголовок From
• Клиентское приложение некорректно разбираетзаголовок From письма ->
• Приложение в процессе разбора из заголовка From
удаляет последний адрес (настоящий адрес
атакующего) ->
• В заголовке From остается значение:
Spoof Name <[email protected]>
• Данное значение отрисовывается приложением как
почта отправителя
• ВАЖНО! В заголовке From письма должен
присутствовать адрес из заголовка MAIL FROM
9
10. Репорт в Яндекс
Статус: Fixed10
11. Microsoft Outlook
1112. Microsoft Outlook
Подтягивается фотография и информация изExchange
12
13. Outlook.com
1314. Outlook Web Access (OWA)
1415. Outlook for iOS
1516. Outlook for iOS
1617. Репорт в Microsoft
Статус: Rejected17
18. Ответ от вендора
Thank you for contacting the Microsoft SecurityResponse Center (MSRC). Upon investigation we
have determined that this does not meet the bar for
security servicing. The display of the sender message
header could be forged or omitted just as easily as
the from header. Additionally, while it’s true that
SMTP can be easily spoofed, it’s the burden of the
receiving mail provider to check the content and
origin of messages. Any mail genuinely originating
from Microsoft can be authenticated using SPF and
DKIM, making this a failing of the mail service in not
rejecting the message or sending it to a junk mail
folder.
18
19. Mail.ru
Другой вектор. Связанно с особенностьюобработки заголовком приложениями
19
20. Mail.ru
2021. Mail.ru
2122. myMail
2223. myMail
Статус: Fixed23
24. Как решить?
• Строгий DMARC• Правило для антиспама
• Правильно разбирать/отображать
заголовок From
• Выводить предупреждение о
несоответствии заголовков
24
25. Нормально делай – нормально будет
• Один из примеров решения:25
26. Нормально делай – нормально будет
• Реализована защита«из коробки» в Mozilla Thunderbird
26