it-swarm.com.de

Warum verwenden Phishing-E-Mails gefälschte E-Mail-Adressen anstelle der echten?

Ich habe gelesen, dass Sie alles in das Feld From: Einer E-Mail schreiben können.

Wenn das stimmt, warum versuchen Phishing-E-Mails mich dann mit ähnlichen Adressen wie [email protected] Zu täuschen, anstatt nur den tatsächlichen [email protected] Selbst zu verwenden?

116
JFB

Während man eine Mail mit @Amazon.com Als SMTP-Umschlag und/oder From Feld des Mail-Headers erstellen könnte, würde die Mail wahrscheinlich blockiert, da diese Domain mit Sender Policy Framework () geschützt ist - [~ # ~] spf [~ # ~]), DomainKeys Identified Mail ( [~ # ~] dkim [~ # ~]) und Domain-basierte Nachricht Authentifizierung, Berichterstellung und Konformität ( [~ # ~] dmarc [~ # ~]). Dies bedeutet, dass eine gefälschte E-Mail als solche erkannt und von vielen E-Mail-Servern abgelehnt wird. Im Gegensatz dazu ist die Verwendung einer anderen Domain, die nicht auf diese Weise geschützt ist oder die vom Angreifer geschützt, aber kontrolliert wird, erfolgreicher.

Um kurz zu erklären, was diese Technologien bewirken:

  • SPF
    Überprüft, ob die Absender-IP-Adresse für den angegebenen SMTP-Umschlag (SMTP.MAILFROM) zulässig ist. Dig txt Amazon.com Zeigt an, dass eine SPF-Richtlinie vorhanden ist.
  • DKIM
    Der Mailserver signiert die Mail. Der öffentliche Schlüssel zum Überprüfen der E-Mail wird über DNS abgerufen. Amazon verwendet DKIM, wie aus den Feldern DKIM-Signature Im Mail-Header hervorgeht.
  • DMARC
    Richtet das Feld From im Mail-Header (RFC822.From) an der Domäne der DKIM-Signatur für DKIM oder der Domäne des SMTP-Umschlags für SPF aus. Wenn ein ausgerichteter und erfolgreicher SPF/DKIM vorhanden ist, stimmt die DMARC-Richtlinie überein. Dig txt _dmarc.Amazon.com Zeigt an, dass Amazon einen DMARC-Datensatz mit der Richtlinie quarantine hat.

Weder SPF noch DKIM helfen von sich aus gegen Spoofing des Feldes From im Mail-Header. Nur die Kombination von mindestens einem davon mit DMARC schützt vor einem solchen Header-Spoofing.

178
Steffen Ullrich

Zur Ergänzung von Steffen Ullrichs Antwort beachten Sie Folgendes:

  • Historisch gesehen war es tatsächlich möglich, alles zu fälschen, was Sie wollten, niemand überprüfte, jeder vertraute jedem.
  • Mit dem Aufkommen von Spam, Phishing und anderen Betrügereien wurden jedoch SPF, DKIM und DMARC eingeführt. Mit diesen kann ein Server prüfen, ob der Absender das Recht hat, E-Mails mit einem Absender in einer bestimmten Domäne zu senden.
  • Um zu funktionieren, müssen sowohl der Absender als auch der Empfänger diese Methoden implementieren.
  • Die meisten großen E-Mail-Anbieter implementieren definitiv mindestens eine der drei Methoden auf ihrer Seite (als Empfänger), und viele Organisationen, bei denen das Risiko besteht, dass Personen versuchen, sich als sie auszugeben, implementieren mindestens eine der drei Methoden auf ihrer Seite als gut (als Absender).
  • Es gibt jedoch immer noch sowohl E-Mail-Systeme, die dies nicht überprüfen, als auch Domänen ohne die entsprechende Einrichtung.

Wenn Sie also eine Domain ohne SPF, DKIM oder DMARC finden, können Sie im Namen dieser Domain eine E-Mail senden und diese nicht sofort ablehnen. Viele E-Mail-Anbieter "vertrauen" solchen E-Mails weniger als andere, und es gibt größere Änderungen bei der Behandlung als Spam.

Ebenso können Sie E-Mails sogar "von" einer mit SPF, DKIM oder DMARC geschützten Domain an ein E-Mail-System senden, das sie nicht überprüft.

Aber auf jeden Fall möchten Sie es als Apple oder Amazon an Postfächer senden, die von Google oder Microsoft verwaltet werden, das funktioniert nicht. Und das ist der Grund, warum sie dafür andere Domainnamen verwenden.

21
jcaron
  • Der Phisher hofft möglicherweise auf Antworten, die an diese Adresse gesendet werden können.
  • Sie versuchen zu vermeiden, dass die verschiedene Frameworks , die existieren, um zu verhindern, dass gefälschte "from" -Felder von einem Menschen als authentisch wahrgenommen werden Benutzer.

Mit diesem Tool konnte ich überprüfen, dass Amazon.com hat SPF konfiguriert. Natürlich ist es auf Ihrem E-Mail-Client, DNS auf SPF zu überprüfen, aber die meisten Kunden tun dies.

16
ShapeOfMatter

Es könnte sich lohnen, den Unterschied zwischen Theorie und Praxis zu erwähnen. SMTP (Simple Mail Transfer Protocol), die Grundlage für E-Mails, verhindert Spoofing nicht wirklich. Ich denke, daher kommt dieses Zitat.

Obwohl SMTP wie bisher Teil der E-Mail ist, ist es nicht das einzige, was in der Pipeline ist. Ich bin mir zwar sicher, dass es eine vollständige Vanilla-Implementierung in freier Wildbahn gibt, aber die überwiegende Mehrheit der Menschen wird einen der wenigen "großen" Stapel verwenden, die mit vielen Extras ausgestattet sind, um diese Art von Verhalten zu stoppen.

Da das Ziel von Spam darin besteht, so viele (und leider leichtgläubigste) Personen wie möglich zu erreichen, sind die Kosten für das Herausfiltern der meisten Fälle, um die Glaubwürdigkeit einer echten Adresse zu erhalten, nicht gut. Dies gilt insbesondere dann, wenn der Betrug die Anstrengung des Teils des Betrügers beinhaltet, fortzufahren, da die Art von Person, die skeptisch genug ist, um zu bemerken, dass "[email protected]" falsch aussieht, wahrscheinlich ein Ziel ist, das Sie frühzeitig aussortieren möchten.

3
ANone