1. Внимание!!! Не заходит на форум? Хотите сохранить доступность к нам на 99.9%? Обязательно запишите все зеркала проекта! Именно по этому мы настоятельно рекомендуем использовать онион домен для TOR-Браузера, там доступность форума будет максимальной. Ссылка для установки и все зеркала в этой темe.

    Зеркало для TOR-Браузера - http://norabizt5qqxefxy.onion

    Чистое зеркало для обычных браузеров - https://nora.holiday

    Скрыть объявление

Фильтры Gmail пропускают поддельные сообщения

Тема в разделе "СПАМ РАССЫЛКИ", создана пользователем svinka_pepa, 10 дек 2019.

  1. svinka_pepa
    off

    svinka_pepa Активно в Норе УЧАСТНИКИ

    Сообщения:
    40
    Пол:
    Мужской
    Адрес:
    2x2
    Репутация:
    8
    Глава бразильской компании Morphus Labs Ренато Марино (Renato Marinho) заметил, что, невзирая на все старания разработчиков Google, почтовые фильтры Gmail по-прежнему можно обмануть, используя обычный спуфинг.

    «Мы выяснили, что сообщения, которые вы видите в папке “Входящие” в Gmail, даже с пометкой “Важное” и якобы исходящие от одного из ваших Gmail-контактов, могут оказаться подделкой, созданной мошенниками или киберпреступниками», — пишет Марино.

    Исследователь поясняет, что в таком случае жертва не увидит никаких предупреждений от Gmail, что особенно опасно. Единственным намеком на подделку будет информация поля «Отправитель»: там можно заметить, что письмо пришло с другого сервера. Впрочем, в мобильных приложениях (iOS И Android) нет даже такой возможности.

    Марино объясняет, что проблема кроется в механике работы Simple Mail Transfer Protocol (SMTP). Так, SMTP передает такую информацию, как Mail From (обратный адрес, в случае невозможности доставки), Rcpt to (адрес получателя) и Data (команда SMTP-серверу о получении контента сообщения). Значение поля «Отправитель», как правило, эквивалентно SMTP Mail From. Марино пишет, что «задать его свободно может как человек, так и система, передав команду SMTP-серверу». По сути, атакующему нужно изменить значение поля «Отправитель» на желаемое и дело в шляпе, но такая прямая подмена вызовет срабатывание защитных механизмов Gmail.

    Исследователь рассказывает, что есть и другой способ. Атакующий может попытаться отправить спуфинговое сообщение от имени другого домена, изменив значение Mail from. Для этого можно задействовать механизм SPF (Sender Policy Framework). SPF является разновидностью записи DNS и указывает, каким почтовым серверам разрешено отправлять электронную почту от имени домена. Схему атаки можно увидеть на заглавной иллюстрации.

    Фактически атакующий должен сначала подделать адрес, выдав письмо за сообщение с ящика @gmail.com. Затем нужно задействовать SPF. Для этого почтовый сервер спамера обращается к Gmail, сообщая, что хочет доставить сообщение со своего домена, например, Im-a-spammer.com, но адрес при этом подменяется на фальшивый Gmail. Настоящий Gmail, в свою очередь, обрабатывает запрос от Im-a-spammer.com, проверяя, имеет ли сервер спамера право отправлять сообщения, что, конечно же, подтверждает спамер. В итоге в папку «Входящие» жертвы попадает письмо, якобы отправленное с адреса @gmail.com, и лишь в веб-интерфейсе почты можно заметить приписку «via [адрес домена]».

    [​IMG]

    «Во время экспериментов мы обнаружили интересный сценарий, в ходе которого Gmail обнаруживает подделанные сообщения. Это происходило, когда мы пытались подделать адрес, которого не существует в пользовательской базе Gmail. В данном случае, в отличие от других сценариев, Gmail направляет сообщение в директорию “Спам” и добавляет к нему предупреждение, гласящее, что не удалось установить, действительно ли данное письмо пришло с gmail.com», — пишет специалист.

    Эксперты Morphus Labs связались с разработчиками Google, сообщив о баге, но те ответили, что находку нельзя классифицировать как проблему с безопасностью, ведь она не влияет на конфиденциальность и сохранность пользовательских данных.

    В конце отчета Малино отмечает, что Yahoo отвергает такие поддельные послания, а Microsoft Outlook направляет их прямиком в папку «Спам».