web-dev-qa-db-fra.com

Pourquoi les e-mails de phishing utilisent-ils de fausses adresses e-mail au lieu de la vraie?

J'ai lu que vous pouvez écrire n'importe quoi dans le champ From: D'un e-mail.

Si cela est vrai, pourquoi les e-mails de phishing essaient-ils de me piéger avec des adresses similaires comme [email protected] Au lieu d'utiliser simplement le [email protected] Lui-même?

emailphishingemail-spoofingspf
116
JFB

Alors que l'on pouvait créer un mail avec @Amazon.com en tant qu'enveloppe SMTP et/ou From champ de l'en-tête du courrier, le courrier serait probablement bloqué car ce domaine est protégé avec Sender Policy Framework ( [~ # ~] spf [~ # ~] ), DomainKeys Identified Mail ( [~ # ~] dkim [~ # ~] ), et authentification, rapport et conformité des messages basés sur le domaine ( [~ # ~] dmarc [~ # ~] ). Cela signifie qu'un courrier falsifié serait détecté comme tel et serait rejeté par de nombreux serveurs de messagerie. Contrairement à cela, utiliser un autre domaine qui n'est pas protégé de cette façon ou qui est protégé mais contrôlé par l'attaquant est plus efficace.

Pour expliquer en bref ce que font ces technologies:

  • SPF
    Vérifie si l'adresse IP de l'expéditeur est autorisée pour l'enveloppe SMTP donnée (SMTP.MAILFROM). Dig txt Amazon.com indique qu'une stratégie SPF existe.
  • DKIM
    Le serveur de messagerie signe le courrier. La clé publique pour vérifier que le courrier est récupéré à l'aide de DNS. Amazon utilise DKIM comme on peut le voir sur le DKIM-Signature champs dans l'en-tête du courrier.
  • DMARC
    Aligne le champ From dans l'en-tête du courrier (RFC822.From) avec le domaine de la signature DKIM pour DKIM ou le domaine de l'enveloppe SMTP pour SPF. S'il existe un SPF/DKIM aligné et réussi, la stratégie DMARC correspond. Dig txt _dmarc.Amazon.com montre qu'Amazon a un enregistrement DMARC avec une politique de quarantine.

Ni SPF ni DKIM par leur propre aide contre l'usurpation du champ From dans l'en-tête du courrier. Seule la combinaison d'au moins l'un d'entre eux avec DMARC protège contre une telle usurpation d'en-tête.

178
Steffen Ullrich

Pour compléter réponse de Steffen Ullrich , notez que:

  • Historiquement, il était en effet possible d'usurper tout ce que vous vouliez, personne ne vérifiait, tout le monde faisait confiance à tout le monde.
  • Cependant, avec l'augmentation du spam, du phishing et d'autres escroqueries, SPF, DKIM et DMARC ont été introduits. Ceux-ci permettent à un serveur de vérifier si l'expéditeur a le droit d'envoyer du courrier avec un expéditeur dans un domaine donné.
  • Pour fonctionner, ceux-ci nécessitent à la fois l'expéditeur et le destinataire de mettre en œuvre ces méthodes.
  • La plupart des grands fournisseurs de messagerie implémenteront certainement au moins l'une des 3 méthodes de leur côté (en tant que destinataire), et de nombreuses organisations risquant d'avoir des personnes tentant de se faire passer pour elles appliqueront au moins l'une des 3 méthodes de leur côté comme bien (en tant qu'expéditeur).
  • Cependant, il existe toujours des systèmes de messagerie électronique qui ne vérifient pas non plus et des domaines sans la configuration appropriée.

Donc, si vous trouvez un domaine sans SPF, DKIM ou DMARC, vous pouvez envoyer un e-mail au nom de ce domaine et ne pas être rejeté de manière définitive. De nombreux fournisseurs d'e-mails "font confiance" à ces e-mails moins qu'aux autres, et ils sont plus susceptibles d'être traités comme du spam.

De même, vous pouvez envoyer des e-mails même "depuis" un domaine protégé par SPF, DKIM ou DMARC vers un système de messagerie qui ne le vérifie pas.

Mais très certainement, si vous souhaitez envoyer en tant que Apple ou Amazon à des boîtes aux lettres gérées par Google ou Microsoft, cela ne fonctionnera pas. Et c'est la raison pour laquelle ils utilisent d'autres noms de domaine pour cela.

21
jcaron
  • Le phishing espère peut-être obtenir des réponses à envoyer à cette adresse.
  • Ils essaient d'éviter les divers cadres qui existent pour empêcher les champs "falsifiés" d'être perçus comme authentiques par un humain utilisateur.

En utilisant cet outil j'ai pu vérifier que Amazon.com SPF est configuré . Bien sûr, c'est sur votre client de messagerie pour vérifier DNS pour SPF, mais la plupart des clients le font.

16
ShapeOfMatter

Il pourrait être utile de noter la différence entre la théorie et la pratique. SMTP (Simple Mail Transfer Protocol), qui est la base du courrier électronique, n'empêche pas vraiment l'usurpation d'identité. Je pense que c'est de là que vient cette citation.

Cependant, bien que SMTP fasse partie du courrier électronique comme c'est le cas actuellement, ce n'est pas la seule chose dans le pipeline. Bien que je sois sûr qu'il existe une implémentation complètement vanilla de cela dans la nature, la grande majorité des gens utiliseront l'une des rares "grandes" piles, qui viennent avec beaucoup d'extras pour arrêter ce genre de comportement.

Le but du spam étant de toucher le plus de personnes (et malheureusement les plus crédules) possible: le coût d'avoir la majorité des cas filtrés afin d'obtenir la crédibilité d'une véritable adresse n'est pas bon. Cela est particulièrement vrai si l'arnaque implique des efforts de la part de l'escroc pour continuer car le genre de personne suffisamment sceptique pour remarquer que "[email protected]" semble erroné est probablement une cible que vous souhaitez éliminer tôt.

3
ANone