от Dan Goodin
04 Фев 2024

"Эксперт в прокси и VPN. Будучи сертифицированным специалистом по кибербезопасности, Дэн охватывает самые разные темы - от утечки данных до фишинга. Делится ли он новостями или результатами собственных исследований, его контент всегда наводит на размышления и дает ценные инсайты."

Человек указывает на email-иконку
SMTP smuggling — хакеры изобрели новый вид email-спуфинга

Новый год — новые риски. Что касается 2024-го, можно уже с уверенностью сказать, что один из таких рисков — это новый вид email-спуфинга, так называемый SMTP smuggling. Хакеры разделяют вредоносные электронные письма на две части, чтобы те прошли проверку безопасности. Этот хитрый трюк обманывает систему, заставляя её доставлять поддельные сообщения прямо в ваш электронный почтовый ящик, в обход SPF, DKIM и DMARC.

Подробнее о SMTP Smuggling: Как это устроено

SMTP smuggling — это довольно сложно устроенная атака. Хакер создаёт электронное письмо и вносит изменения в заголовки SMTP — те самые фрагменты кода, которые указывают серверу, откуда письмо пришло и куда направляется. Хакер вставляет сюда дополнительные команды, чтобы обмануть сервер получателя и заставить его обработать одно письмо как два.

Вот как это происходит. Письмо попадает на сервер. Тот введён в заблуждение командами в заголовке SMTP и разделяет письмо на две части. Первая часть — приманка, с ней всё в полном порядке. Она проходит все проверки безопасности, не вызывая подозрений. Вторая часть содержит вредоносный “груз”. Проскользнув мимо защиты вроде SPF, DKIM и DMARC, она попадает в почтовый ящик пользователя.

Трюк удаётся благодаря тому, что серверы по-разному интерпретируют последовательность разделения писем. Хакеры делают так, что сервер отправителя видит сообщение как единое целое, в то время как сервер получателя воспринимает его как два отдельных сообщения. В результате вредоносное письмо обходит стандартные меры безопасности, и попадает туда, куда и было задумано.

Узнай, как бизнесы защищают свои данные с помощью онлайн-сканеров.

Кто наиболее уязвим?

Как стало известно, SMTP-серверы крупных платформ, таких как Microsoft, GMX и Cisco, уязвимы для SMTP smuggling. Хакеры могут запускать фишинговые атаки, обходя вышеупомянутые меры безопасности.

Microsoft и GMX уже приняли меры по устранению обнаруженных уязвимостей в своих SMTP-серверах. Cisco тем временем не считает возможность атаки уязвимостью. Дело в том, что функцию, благодаря которой атака становится возможной, можно отключить. Достаточно изменить режим обработки CR и LF на «Reject» (вместо «Clean»). Это можно сделать в настройках Listener.

Как защититься?

Иконка email на экране
Правильная настройка SMTP сервера может защитить вас от SMTP smuggling

Эксперты называют три метода защиты от SMTP smuggling.

  • Правильная настройка и регулярные обновления

Убедитесь, что конфигурации вашего SMTP-сервера актуальны, и что они правильно настроены для безопасной обработки SMTP-команд. А именно, они должны корректно интерпретировать последовательности окончания данных.

  • Дополнительные меры email-безопасности

Используйте инструменты, которые предлагают расширенные функции защиты, включая возможность обнаружения и блокировки SMTP smuggling. В идеале, нужны инструменты, которые могли бы проводить глубокий анализ заголовков и содержимого электронных писем.

  • Многоуровневые меры безопасности

Не полагайтесь всецело на SPF, DKIM и DMARC. Сочетайте их с дополнительными мерами безопасности, такими как защита конечных точек и системы обнаружения вторжений.

Мы используем файлы cookie на нашем сайте, чтобы обеспечить вам наилучшее качество просмотра.Продолжая просматривать сайт, вы соглашаетесь с этим использованием. Более подробную информацию о том, как мы используем файлы cookie, см. в Политике конфиденциальности.

Понятно

Мы добавили этот прокси в список сравнения