Как подменить адрес отправителя электронной почты
Перейти к содержимому

Как подменить адрес отправителя электронной почты

  • автор:

Легкая подмена email отправителя

a90f6343-440b-4427-bb0a-3cf0c38897e5.png

В интернете без труда можно найдите сайты, которые позволяют отправлять фейковые письма. Их десятки, вот лишь пара примеров: spoofbox.com и anonymailer.net.

Но мы рассмотрим https://emkei.cz/ У данного сервиса присутствует возможность отправлять электронные письма с любого Email-а, добавляя вложения и шифрование. Дополнительно, присутствуют расширенные возможности отправки. Иными словами, вы можете отправить письмо с почты поддержки Google или другого сервиса.

Настройка

1. Сперва переходим на сайт https://emkei.cz/?reCAPTCHAv2 и активируем перевод страницы, если это требуется.

2. Теперь заполняем поля. Первое поле: имя отправителя. Второе поле: почта отправителя. Третья строка: принимающий адрес почты. Ну а дальше, тема письма и вложение.

Как подменить адрес почты при отправке email

Да, ты сможешь легко отправить письмо от имени Сбербанка, QIWI или, например, Apple! При правильном использовании — заработаешь много кэша.

Всем салют, дорогие друзья! На связи Golden — глава Hacker Place

За последний месяц вы написали в бота довольно много сообщений с просьбой рассказать о способах отправки сообщений от чужого имени. Что же, тема действительно интересная, поэтому я решил рассмотреть ее более подробно и поделиться всеми рабочими способами.

Напомню, что на канале уже выходила статья на эту тему: Отправляем письмо с любого Email | Пошаговый гайд . Однако, сегодня мы рассмотрим другие, более продвинутые способы подмены email адреса отправителя.

Для чего подменять email адрес?

Как правило, для фишинговых тем, так же это вполне вяжется и с другими схемами, где используется социальная инженерия. Способов применения, на самом деле, масса.

В качестве примера я бы хотел привести один из своих отчетов. Вот он, советую ознакомится после прочтения данной статьи:

    Украл биткойны у доверчивых пиндосов и заработал 4.790.210 рублей

В нем я наглядно показываю на своем примере, как подмена email адреса может привести вас к большим деньгам. Проворачивая план из отчета, я разослал фишинговые письма от лица кошелька Bitcoin Core (security@bitcoincore.org). Как вы уже догадались, это сработало и принесло мне в карман почти 4,8 млн. рублей.

Думаю, что это довольно мотивирующий пример, поэтому начнем!

Введение

Почтовый спуфинг — это подделка электронных писем от легитимных отправителей. В этой статье мы разберем спуфинг (подмену) почтового адреса, в рамках которого подделывается заголовок From письма, т.е. имя и адрес отправителя.

Протокол SMTP (Simple Mail Transfer Protocol — основной протокол передачи электронной почты в сетях TCP/IP) не предусматривает никакой защиты от спуфинга, поэтому подделать адрес отправителя довольно легко. Фактически все, что нам нужнно — инструмент, позволяющий выбрать, от чьего имени придет письмо. А им может стать и почтовый клиент, и специальная утилита или скрипт, которых в Сети немало.

Спуфинг легитимного домена (Legitimate Domain Spoofing)

Cамый простой вид спуфинга почтового адреса — спуфинг легитимного домена. Он предполагает подстановку в заголовок From реального домена организации, под которую мы маскируемся. В этом случае пользователю крайне сложно отличить поддельное письмо от настоящего.

Спуфинг отображаемого имени (Display Name Spoofing)

Отображаемое имя — это имя отправителя, которое стоит в заголовке From перед его адресом. Если речь идет о корпоративной почте, то в качестве имени отправителя обычно используется реальное имя человека, название отдела и т. д.

Многие почтовые клиенты для удобства получателя скрывают адрес отправителя и показывают в письме только отображаемое имя. Этим активно пользуются хакеры, подделывая имя, но оставляя в заголовке From свой настоящий адрес. Этот адрес зачастую даже защищен DKIM-подписью и SPF, поэтому механизмы аутентификации пропускают послание как легитимное.

Ghost Spoofing

Самый популярный и часто встречающийся вид спуфинга отображаемого имени — это Ghost Spoofing. Его суть заключается в том, что мы указываем в качестве имени не только имя человека или название компании, под которую маскируемся, но и адрес предполагаемого отправителя, как в примере на скриншоте ниже.

При этом на самом деле письмо приходит с совсем другого адреса.

AD Spoofing

AD (Active Directory) Spoofing тоже является одной из разновидностей спуфинга отображаемого имени, но в отличие от техники Ghost Spoofing не предполагает указания поддельного адреса в качестве части имени. При этом в нашем адресе, с которого рассылаются такие письма, используется имя человека, от лица которого они рассылаются.

Этот метод выглядит более примитивным по сравнению с Ghost Spoofing, однако иногда он можем использоваться по нескольким причинам. Во-первых, если почтовый агент получателя все-таки отображает содержимое заголовка From целиком, то двойной адрес отправителя вызовет у пользователя больше подозрений, чем адрес на общедоступном домене. Во-вторых, технически Ghost Spoofing легче блокировать спам-фильтрами: достаточно просто отправлять в спам письма, где в отображаемом имени отправителя содержится почтовый адрес. Запретить же все входящие письма от тезок всех коллег и контрагентов, как правило, не представляется возможным.

Спуфинг схожего домена (Lookalike domain Spoofing)

В более сложных атаках мы используем специально зарегистрированные домены, похожие на домен организации-мишени. Это требует немного больших затрат: все же найти и купить определенный домен, настроить на нем почту, подписи DKIM и SPF и аутентификацию DMARC дольше, чем просто немного изменить заголовок From. Но и распознать подделку в таком случае труднее.

Primary Lookalike

Lookalike-домены — это домены, схожие по написанию с доменами подделываемой организации, но отличающиеся от них одной или несколькими буквами. Например, письмо на скриншоте ниже отправлено с домена deutschepots.de, который очень легко перепутать с доменом немецкой почтовой компании Deutsche Post (deutschepost.de). Если перейти по ссылке в таком письме и попытаться оплатить доставку посылки, можно не только потерять 3 евро, но и слить данные своей карты.

Впрочем, при должном уровне внимательности такую ошибку можно заметить. Но бывают и случаи, когда простой внимательностью уже не обойтись.

Unicode Spoofing

Unicode Spoofing — разновидность спуфинга, в которой один из ASCII-символов в имени домена заменяется на схожий по написанию символ из диапазона Unicode.

Чтобы понять эту технику, нужно разобраться, как кодируются домены, в которых используются нелатинские символы (например, кириллица или умлауты ). Для работы с ними был создан метод преобразования Punycode , в соответствии с которым символам Unicode сопоставляются так называемые ACE-последовательности (ASCII Compatible Encoding — кодировка, совместимая с ASCII), состоящие из букв латинского алфавита, дефисов и чисел от 0 до 9. При этом многие браузеры и почтовые клиенты отображают Unicode-версию домена.

Так, например, домен:

преобразуется в:

Однако в браузере вы, скорее всего, увидите именно «касперский.рф». При этом, поскольку данная технология предусматривает частичное кодирование (кодируется не вся строка, а отдельный символ), домен может содержать и ASCII-, и Unicode-символы, и мы активно этим пользуемся.

На скриншоте выше вы видите сообщение, которое якобы отправлено с домена apple.com. Написание полностью совпадает, почтовую аутентификацию письмо прошло. Если ничего не подозревающий пользователь кликает по ссылке, он попадает на поддельный сайт и оставляет там данные своего аккаунта.

Если посмотреть в заголовки этого письма (это можно сделать в большинстве почтовых клиентов для ПК), откроется совсем другая картина:

Дело тут в том, что домен аррle.com как раз подпадает под правило кодирования Unicode-символов в ASCII — первые три символа являются русскими «а» и «р». Но почтовый агент, которым было открыто письмо, для удобства пользователя преобразовал Punycode-комбинацию в Unicode и в письме отобразилось «аррle.com».

Вывод

Как вы поняли, существуют разные способы убедить получателя письма в том, что оно пришло от доверенного отправителя. Да, некоторые из них выглядят примитивными, однако позволяют нам успешно обходить почтовую аутентификацию. При этом спуфинг, как техника, используется для реализации самых разных типов атак, начиная с обычного фишинга и заканчивая продвинутыми атаками. А они, в свою очередь, могут быть одним из этапов более сложных целевых атак. Соответственно, и ущерб от спуфинга даже в рамках одной атаки может варьироваться от кражи личных данных до приостановки работы организации, потери ей репутации и многомилионных убытков. Надеюсь, что информация, которой я поделился с вами в данной статье, поможет реализовать ваши идеи и принесет много кэша. Желаю удачи!

АКАDЕМИЯ. НАБОР

Напоминаю, что прямо сейчас у нас открыт набор в Академию!

    4 курса — Безопасность, Хакинг, Вирусология, Социальная Инженерия. Более 70 лекций с новыми знаниями. Более 40 дней обучения. Собственная среда обучения.

Мы рассказываем все от А до Я и предоставляем тебе выбор, пойти туда, куда интересно тебе. Что может быть лучше, чем заниматься тем, что нравится и с каждым днём совершенствоваться? Ничего. Никакая офисная работа рядом даже не станет.

Cтоимость за все 4 курса составляет:
▫️Индивидуальное обучение – $420
▫️Групповое обучение – $240

Так же у нас есть вариант рассрочки.

▪️ Набор продлится до 10 ноября, а количество мест строго ограничено.

▪️ Если есть вопросы, пиши мне в ЛС: @golden_hpa

Email spoofing (спуфинг электронной почты)

Спуфинг электронной почты или email spoofing (от англ. spoof — обманывать, подделывать, имитировать) — это подделка адреса отправителя в электронных письмах.

Спуфинг электронной почты возможен главным образом благодаря особенностям структуры письма и отсутствию проверки служебных заголовков в основном почтовом протоколе — SMTP.

Структура электронного письма

Сообщение электронной почты состоит из следующих структурных элементов:

  • SMTP-конверт. Это элемент, в котором содержатся настоящие адреса отправителя и получателя. В почтовых клиентах он не отображается.
  • Заголовки. Это информация об отправителе, получателе, дате и теме сообщения, которая отображается в почтовом клиенте. Существует два основных заголовка, которые могут содержать адрес отправителя:
    • From — в этом поле отображается имя отправителя и адрес, с которого пришло письмо. Некоторые почтовые клиенты по умолчанию показывают только имя, на которое нужно нажать, чтобы увидеть адрес.
    • Reply-to — в этом поле содержится адрес получателя ответного письма. Он может отличаться от адреса отправителя. Большинство почтовых клиентов по умолчанию не показывают этот адрес, но позволяют настроить его отображение.

    Способы подмены адреса отправителя

    Существует несколько разновидностей спуфинга электронной почты.

    Использование схожего домена (lookalike domain). В заголовках отображается настоящий адрес отправителя, похожий на адрес организации, под которую маскируются злоумышленники. Для имитации чужого адреса, например info@example.com, атакующие могут использовать:

    • Домен первого уровня с похожим на оригинал написанием. Например, info@example.co.
    • Домен второго уровня .com для национальных доменов первого уровня. Например, info@example.com.ru.
    • Домен второго уровня, отличающийся от настоящего домена организации одним или парой символов. Например, info@exampIe.com c заглавной i вместо l.
    • Домен второго уровня, вызывающий ассоциации с компанией, письмо от которой подделывают злоумышленники. Например, info@example-support.com.
    • Название компании, письмо которой подделывают злоумышленники, в качестве имени почтового ящика. Сам ящик при этом располагается на общедоступном домене. Например, info.example@mail.ru.

    Подмена имени отправителя. В этом случае в заголовках From и Reply-to содержится реальный адрес злоумышленников, а имя отправителя подделывается. Этот вариант подмены эффективен в почтовых клиентах, которые по умолчанию отображают только имя, например в мобильных почтовых клиентах.

    В качестве имени отправителя злоумышленники могу указать:

    • Только поддельное имя (наименование, должность). В этом случае содержимое поля From будет выглядеть как Bob <alice@mail.ru>.
    • Поддельное имя с поддельным адресом электронной почты. Этот прием называется ghost spoofing. В этом случае содержимое поля From будет выглядеть так: Bob <bob@example.com> <alice@mail.ru>.

    Изменение значения полей From и Reply-to. Поскольку в протоколе SMTP не предусмотрено никаких проверок подлинности содержимого заголовков, злоумышленник может подделывать не только имя отправителя, но и адреса электронной почты в полях From и Reply-to. В этом случае у получателя практически нет возможности отличить фейковое письмо от подлинного.

    Применение спуфинга электронной почты

    Email spoofing используется как в легитимных, так и во вредоносных целях. Легитимный спуфинг нужен:

    • когда компания для определенных задач использует внешних подрядчиков, но ответы от них должны приходить клиентам с адреса компании;
    • когда компания не хочет раскрывать адреса конкретных сотрудников, переписывающихся с клиентами от имени алиаса, например sales@example.com.

    В легитимных целях применяется только полное изменение заголовков From и Reply-to.

    Возможные вредоносные цели:

    • Спам. Злоумышленники рассылают сообщения от имени известных организаций или контактов получателя.
    • Фишинг. Злоумышленники подделывают email-адреса сервисов, чтобы убедить жертву перейти на фишинговый ресурс и ввести на нем учетные данные от аккаунта в соответствующем сервисе. . Преступники притворяются сотрудниками, клиентами, партнерами или подрядчиками организации с целью вынудить реальных сотрудников перевести им деньги или выдать конфиденциальную информацию.
    • Вымогательство. Мошенник отправляет пользователю письмо от имени самого пользователя, утверждает, что взломал его почту, и требует деньги за возврат контроля над ящиком или шантажирует якобы собранной за время с момента взлома приватной информацией.

    Защита от атак типа email spoofing

    Для защиты от поддельных писем на уровне компании существует набор технологий, закрывающих уязвимости протокола SMTP:

    • Sender Police Framework (SPF) проверяет подлинность почтового сервера, с которого пришло письмо.
    • DomainKeys Identified Mail (DKIM) защищает письмо от подделки при помощи цифровой подписи.
    • Domain-based Message Authentication, Reporting and Conformance (DMARC) позволяет управлять технологиями SPF и DKIM и совершенствует их.

    Минус этих защитных технологий в том, что они применяются не во всех организациях. При этом для успешной проверки подлинности письма необходимо, чтобы технология проверки поддерживалась и отправителем, и получателем. Тем не менее организация, внедрившая SPF, DKIM и/или DMARC, может защитить от подделок как минимум внутреннюю переписку.

    Публикации на схожие темы

    Аутентификация одноразовыми кодами: преимущества и риски

    Игровая угроза: как атакуют геймеров разных возрастов

    Импортозамещение ПО для защиты почты: пять дополнительных преимуществ

    Ландшафт угроз для систем промышленной автоматизации во втором полугодии 2022

    Как подменить адрес отправителя электронной почты

    �� Подмена E-Mail адреса на любой другой


    Подмена E-Mail адреса на любой другой — Telegraph
    Самый простой способ Есть такой сайт, как deadfake, который описывает себя как «сайт, который позволяет бесплатно отправлять поддельные электронные письма всем, кто вам нравится». Или anonymailer.net. Или spoofbox.com. Их десятки. Многие из них бесплатны…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *