Подмена электронной почты клиента

Август 10, 2022

Главная
Информатика
Подмена электронной почты клиента

Содержание

2. Who we are Специалисты отдела анализа защищенности компании «Информзащита» Telegram: @empty_jack @n0tabug Twitter: https://twitter.com/mylittlepapers
3. О чем это все SMTP уязвим by design (кэп) Данная уязвимость присутствует на клиентских приложениях: Яндекс.Почта
4. Яндекс.Почта
5. Яндекс.Почта
6. Яндекс.Почта
7. Яндекс.Почта
8. Заголовок From ishopper… - почта злоумышленника, зарегистрированная на gmail.com noreply@gmail.com – за кого злоумышленник пытается выдать
9. Заголовок From Клиентское приложение некорректно разбирает заголовок From письма -> Приложение в процессе разбора из заголовка
10. Репорт в Яндекс Статус: Fixed
11. Microsoft Outlook
12. Microsoft Outlook Подтягивается фотография и информация из Exchange
13. Outlook.com
14. Outlook Web Access (OWA)
15. Outlook for iOS
16. Outlook for iOS
17. Репорт в Microsoft Статус: Rejected
18. Ответ от вендора Thank you for contacting the Microsoft Security Response Center (MSRC). Upon investigation we
19. Mail.ru Другой вектор. Связанно с особенностью обработки заголовком приложениями
20. Mail.ru
21. Mail.ru
22. myMail
23. myMail Статус: Fixed
24. Как решить? Строгий DMARC Правило для антиспама Правильно разбирать/отображать заголовок From Выводить предупреждение о несоответствии заголовков
25. Нормально делай – нормально будет Один из примеров решения:
26. Нормально делай – нормально будет Реализована защита «из коробки» в Mozilla Thunderbird
28. Скачать презентацию

Слайд 2

Who we are
Специалисты отдела анализа защищенности компании «Информзащита»
Telegram:
@empty_jack
@n0tabug
Twitter:
https://twitter.com/mylittlepapers

Слайд 3

О чем это все
SMTP уязвим by design (кэп)
Данная уязвимость присутствует на

клиентских приложениях:
Яндекс.Почта (Android, iOS, Web)
Microsoft Outlook (iOS, OWA, Office, Android)
Mail.ru + myMail (iOS, Android)
Некоторые другие… ☺
Сложность эксплуатации: минимальная

Слайд 4

Яндекс.Почта

Слайд 5

Яндекс.Почта

Слайд 6

Яндекс.Почта

Слайд 7

Яндекс.Почта

Слайд 8

Заголовок From
ishopper… - почта злоумышленника, зарегистрированная на gmail.com
noreply@gmail.com – за кого

злоумышленник пытается выдать себя

Слайд 9

Заголовок From
Клиентское приложение некорректно разбирает заголовок From письма ->
Приложение в процессе

разбора из заголовка From удаляет последний адрес (настоящий адрес атакующего) ->
В заголовке From остается значение:
Spoof Name
Данное значение отрисовывается приложением как почта отправителя
ВАЖНО! В заголовке From письма должен присутствовать адрес из заголовка MAIL FROM

Слайд 10

Репорт в Яндекс
Статус: Fixed

Слайд 11

Microsoft Outlook

Слайд 12

Microsoft Outlook
Подтягивается фотография и информация из Exchange

Слайд 13

Outlook.com

Слайд 14

Outlook Web Access (OWA)

Слайд 15

Outlook for iOS

Слайд 16

Outlook for iOS

Слайд 17

Репорт в Microsoft
Статус: Rejected

Слайд 18

Ответ от вендора
Thank you for contacting the Microsoft Security Response Center

(MSRC). Upon investigation we have determined that this does not meet the bar for security servicing. The display of the sender message header could be forged or omitted just as easily as the from header. Additionally, while it’s true that SMTP can be easily spoofed, it’s the burden of the receiving mail provider to check the content and origin of messages. Any mail genuinely originating from Microsoft can be authenticated using SPF and DKIM, making this a failing of the mail service in not rejecting the message or sending it to a junk mail folder.

Слайд 19