Зачем сверять From и Reply-To

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.292
Репутация
11.800
Реакции
61.997
RUB
50
Несложная технология, значительно повышающая эффективность почтовой защиты.

Недавно нам удалось повысить точность обнаружения целевого фишинга и атак при помощи компрометации деловой переписки (BEC) путем добавления одной маленькой и, в общем-то, банальной проверки.

Если письмо по какой-то причине вызывает у нашего почтового движка подозрение, мы сверяем домен из технического заголовка From с доменом из поля Reply-To. Смешно, но эта простая проверка позволяет отсеять значительную часть достаточно сложных атак. В этом посте рассказываем, почему это работает.

from-reply-to-check-featured.jpg

Как выявляют сложные почтовые атаки

Операторы целевых почтовых атак традиционно прикладывают значительные усилия для маскировки своих писем под легитимные. Это не те ребята, которые прикладывают к письму файл, где детектируется троян, да и фишинговые ссылки они стараются скрыть под несколькими слоями хитроумных уловок.

Поэтому защитные решения, способные выявлять письма с такими атаками, редко выносят вердикт на основании какого-то одного критерия — чаще всего они выявляют совокупность подозрительных признаков. Сверка полей From и Reply-To — это еще один из таких критериев.

Чем помогает сравнение заголовков From и Reply-To

Большая часть атакующих, даже вклиниваясь в легитимную деловую переписку, особенно не утруждает себя взломом легитимных доменов, а надеется на, так сказать, ограниченную компетентность администраторов почтовых серверов.

По факту у огромного количества доменов механизмы почтовой аутентификации типа Sender Policy Framework (SPF), и тем более Domain-based Message Authentication, Reporting and Conformance (DMARC), если и работают, то из рук вон плохо.

В лучшем случае они формально включены, но во избежание ложных срабатываний политики настроены настолько свободно, что ничем помочь не могут.

Поэтому злоумышленники (иногда даже стоящие за полноценными APT-атаками) просто берут домен атакуемой организации и ставят его в поле From или даже SMTP From. Однако поскольку при этом им нужно не просто доставить вредоносное письмо, но и получить на него прямой ответ, то в поле Reply-To они вынуждены поставить свой адрес. Обычно это какой-нибудь одноразовый почтовый ящик или адрес, расположенный на бесплатном почтовом сервисе. Что их и выдает.


Заголовки From и Reply-To в письме злоумышленников

Почему бы не проверять соответствие From и Reply-To всегда?

Вообще заголовок From далеко не всегда должен совпадать с заголовком Reply-To. Есть немало легитимных случаев, когда письмо должно посылаться одним почтовым сервером, а ответ на него ждут на совершенно другом.

Простейший вариант — разнообразные услуги по организации информационных или маркетинговых рассылок: отправляет их специализированный сервис, а реакцию от клиентов ждет заказчик. Поэтому если бы сверка From и Reply-To была включена всегда, то это приводило бы к возникновению ложных срабатываний.



 
  • Теги
    reply-to почтовая защита сверять from целевогй фишинг
  • Сверху Снизу