6 популярных атак на почту и как от них защититься
С каждым годом email‑атак становится только больше, и для российских компаний это действительно актуальная проблема. Например, в 2020 году Россия находилась на втором месте в Европе и на пятом — в мире по количеству угроз, выявленных в email‑сообщениях
Злоумышленники применяют социальную инженерию, находят новые методы и тактики, чтобы жертвам было сложнее защититься. Мы уже рассказывали про уязвимость Microsoft Outlook, из‑за которой можно украсть учетные данные пользователя вообще без его участия: письмо попало в почтовый ящик — почта скомпрометирована. Поэтому важно соблюдать кибергигиену и не пренебрегать техническими средствами защиты.
Эта статья поможет разобраться, как обезопасить себя и бизнес от самых популярных атак на электронную почту.
Что это
Спам — это нежелательная рассылка, которую отправляют большому количеству людей. С ним точно сталкивались все. Спам нельзя назвать атакой в классическом понимании: обычно такие письма содержат назойливую рекламу, а не вредоносные вложения.
Однако из‑за спама пользователи впустую тратят время и ресурсы, потому что приходится просматривать лишние сообщения в поиске необходимых. Это раздражает и отвлекает от важных дел.
Как защититься
Для начала нужно настроить на почтовом сервере проверки DKIM/DMARC, SPF, ARC, whitelisting/blacklisting.
- DKIM (DomainKeys Identified Mail) и DMARC (Domain‑based Message Authentication, Reporting and Conformance) — это протоколы аутентификации электронной почты. DKIM проверяет подлинность отправителя с помощью криптографических ключей. DMARC позволяет владельцам доменов указывать, что делать с сообщениями, которые не прошли проверку, например отклонить или поместить в карантин. DMARC также дает возможность владельцам доменов получать отчеты об активности электронной почты в их домене, помогая им выявлять и устранять потенциальные проблемы.
- SPF (Sender Policy Framework) — это метод аутентификации электронной почты. По сути это список IP‑адресов в TXT‑записи DNS‑домена. Он определяет, каким серверам разрешено отправлять письма от имени владельца домена.
- ARC (Authenticated Received Chain) — это технология, которая позволяет проверять промежуточных отправителей. При пересылке сообщения записи SPF и DKIM становятся недействительными, поэтому сервер получателя может отметить письмо как подозрительное или отклонить. С помощью ARC каждый сервер, обрабатывающий письмо, добавляет криптографическую подпись к заголовку. Эту цепочку подписей проверяет почтовый сервер получателя, чтобы убедиться, что сообщение не изменяли и оно получено из законного источника.
- Whitelisting/blacklisting — это проверка адреса на наличие его в белом или черном списках отправителей соответственно. В белом списке обычно находятся надежные контакты, например коллеги и деловые партнеры. Сообщения от них всегда будут проходить через спам‑фильтры и попадать в почтовый ящик. Черный список позволяет блокировать отправления от внесенных в него почтовых адресов и доменов. Обычно известно, что они рассылают спам, вредоносное ПО или другой нежелательный контент. Оба списка важно регулярно обновлять, чтобы поддерживать их в актуальном состоянии.
В сети можно найти множество готовых конфигураций почтовых серверов, например Postfix. Достаточно заменить конфигурацию, конвертировать ее либо пошагово настроить почтовый сервер. У специалиста на это уйдет несколько часов.
Однако общие настройки не всегда спасают от нежелательных рассылок. Конкретно от спама защищают другие методы, например:
- лингвистический анализ текста (основывается на частоте появления отдельных слов и словосочетаний в известных спам‑письмах);
- поиск в сообщении ссылок для отписки от рассылки либо служебного заголовка List‑Unsubscribe с подобной ссылкой.
Эти и многие другие методы фильтрации спама используются в специализированных решениях по защите почты. Для полноценной самостоятельной реализации потребуется команда специалистов, а также много времени и финансовых ресурсов.
Что это
Флуд — это массовая рассылка бессодержательных сообщений, часто просто с набором символов. Электронный ящик переполняется письмами: зачастую почтовый сервис просто не в состоянии обработать такой объем трафика. К тому же, если сотрудники получают по 100 писем в секунду, они не могут находить и обрабатывать нужные. В результате может встать работа целых отделов, департаментов и подразделений.
Как защититься
Для защиты от флуда в первую очередь следует выполнить те же основные проверки, что и для спама: DKIM/DMARC, ARC, SPF. Еще стоит уделить внимание RBL и greylisting.
- RBL (realtime blackhole lists) позволяет выяснить, есть ли почтовый адрес отправителя в спам‑базах с IP‑адресами и доменными именами, которые считаются источниками нелегитимных писем. Примеры спам‑баз — FortiGuard и SolidWall. Для такой проверки можно написать собственную программу на скриптовом языке, например на Python или Ruby. И если придет письмо от ненадежного источника, оно будет отфильтровано, прежде чем попадет во входящие к пользователю.
- При использовании greylisting прием писем от новых отправителей растягивается во времени, так как сервер приостанавливает их получение и запрашивает повторную отправку письма. Это позволяет отсеять большую часть флуда, однако может привести к задержке легитимных писем от новых контактов.
Настройка greylisting немного сложнее, чем RBL: не все серверы поддерживают базовую конфигурацию этого метода защиты. Необходимо либо писать кастомные плагины, либо настраивать greylisting на основном почтовом сервере.
Этих методов достаточно для полноценной защиты от флуда.
Что это
Спуфинг — это атака, при которой злоумышленники подделывают адрес отправителя и рассылают письма от якобы надежного источника. Пользователю приходит сообщение, которое выглядит легитимным, однако внутри может быть что угодно — от фишинговых ссылок до вредоносного ПО. Получатели доверяют источнику, поэтому охотнее выполнят те действия, которых от них ожидают злоумышленники. Спуфинг относится к классу фишинговых кибератак, то есть тех, в которых применяются методы социальной инженерии.
Как защититься
Для защиты от спуфинга нужно настроить ARC‑проверку, DKIM/DMARC. Но этого часто недостаточно, поэтому важно разработать программные дополнения поведенческого и сигнатурного анализа писем для почтового сервера.
Другой вариант — использовать готовые решения по защите почты, которые отсеивают спуфинг.
Также важно обучать сотрудников кибергигиене. Спуфинг‑письмо можно выявить, просто проанализировав его HTML‑структуру. Если человек понимает, на что важно обратить внимание, его гораздо сложнее обмануть. Обученные сотрудники часто могут сами защитить себя от спуфинга.
Что это
BEC (компрометация корпоративной электронной почты), как и спуфинг, относится к фишингу. Злоумышленники связываются с отдельными сотрудниками и обманом заставляют их совершить нелегитимные действия. Атака построена на методах социальной инженерии, и распознать злой умысел очень сложно. BEC может нанести сокрушительный финансовый и репутационный удар организации.
Например, менеджеру по продажам пишет новый клиент, задает вопросы о товаре, пытается завоевать доверие. А потом предлагает перейти по ссылке и скачать реквизиты для выставления счета. Только по ссылке будет вредоносное ПО, которое заразит компьютеры организации.
В BEC‑атаках далеко не всегда используются сложные технические средства. Преступники могут просто убедить человека перевести средства, изменить счет прямого пополнения или выдать конфиденциальную информацию. В 2019 году Nikkei, японский индекс фондовой биржи, потерял около 29 миллионов долларов
Как защититься
Для защиты от атак методами социальной инженерии в первую очередь нужно позаботиться о киберграмотности сотрудников. Причем теоретических знаний недостаточно: важна практика, чтобы навык закрепился. Однако в идеале опасные сообщения вообще не должны доходить до адресата.
На помощь приходит машинное обучение: можно разработать программное дополнение для почтового сервера, которое будет проводить поведенческий анализ письма и профилирование отправителя. Такие модули контролируют структуру пакета электронной почты и проверяют последовательность действий, в которой отправитель вел переписку. Либо можно использовать готовые решения по защите электронной почты, которые уже имеют такие функции.
Что это
В таких атаках используют письма с вредоносными вложениями. Файлы обычно выглядят неподозрительно, но, если их открыть, система может пострадать, а конфиденциальные данные — утечь к злоумышленникам. Например, сотрудники HR‑отдела могут получить письмо с якобы резюме в PDF‑файле, но при его открытии загрузится SFX‑архив. Он перехватит контроль над системой и запустит зловред, шифрующий master file table жесткого диска.
Как защититься
Чтобы противостоять вредоносам, на конечные устройства нужно установить антивирусное ПО. Оно справляется с широким спектром киберугроз — от руткитов и троянов до червей и шпионского ПО. К тому же антивирус может очищать зараженные файлы и восстанавливать их первоначальный вид.
Также помогут специализированные решения по защите почты: в отличие от антивируса, они работают на внешней стороне, поэтому не тратят вычислительные ресурсы компьютера. Некоторые из них нужно развертывать и эксплуатировать силами собственного отдела кибербезопасности, другие предполагают работу на стороне сервис‑провайдера.
Как и в случае со спуфингом, не стоит пренебрегать обучением кибергигиене. Риски компрометации инфраструктуры через почту снижаются, когда сотрудники понимают, как отличить легитимное письмо от опасного. Главное — регулярно закреплять знания на практике, например в учебных атаках. Их можно организовать силами собственных отделов HR и кибербезопасности либо воспользоваться специализированными сервисами.
Что это
Программное обеспечение почтового сервера может содержать различные ошибки в коде из‑за человеческого фактора: разработчики тоже совершают промахи. Этим готовы воспользоваться злоумышленники, чтобы вывести почтовый сервер из строя или получить к нему удаленный доступ. Скомпрометированные серверы могут использоваться для атаки на другие системы или перенаправления пользователей на вредоносные сайты.
Проводятся такие атаки с помощью специальных утилит, которые используют бреши в конечном ПО. Защититься довольно сложно, и одна из причин — уязвимости нулевого дня. Это слабые места в новых версиях ПО: о них еще не знают разработчики и пользователи, но злоумышленники их уже выявили и эксплуатируют.
Как защититься
Есть три основных метода защиты от атак с использованием уязвимостей ПО сервера электронной почты.
- Настроить на межсетевом экране почтового сервера политику безопасности входящих сетевых пакетов. Например, есть некоторые типы эксплоитов, которые завязаны на большом размере сетевого пакета.
- Использовать специализированные решения по защите электронной почты, которые уже имеют встроенные проверки. Они фильтруют входящие запросы, выявляют аномалии и все, что может быть потенциально нелегитимным.
- Регулярно обновлять серверное и пользовательское ПО. Однако подходить к этому стоит максимально внимательно. Были случаи, когда разработчики встраивали в фреймворки вредоносные нагрузки, из‑за чего у пользователей возникали проблемы. Например, у некоторых из них внезапно форматировались диски. Поэтому нужно внимательно читать примечания к выпуску, следить за новостями и тестировать любое ПО на виртуальных машинах.
Вот основные меры, которые помогут защититься от атак на электронную почту:
- проверки DKIM/DMARC, ARC, SPF;
- whitelisting/blacklisting;
- greylisting;
- RBL;
- программные дополнения поведенческого и сигнатурного анализа писем для почтового сервера;
- программные дополнения для профилирования отправителя;
- политика безопасности входящих сетевых пакетов на межсетевом экране;
- антивирусное ПО;
- регулярные обновления ПО;
- обучение сотрудников киберграмотности.
Для комплексной защиты входящей и исходящей почты можно использовать специализированные решения, такие как BI.ZONE CESP. Сервис легко подключить за несколько дней, при этом обслуживанием будет заниматься команда поставщика услуги, а компании не придется выделять собственные ресурсы.
