Super-phishing: mistrzowskie oszukanie zabezpieczeń e-mail w programach pocztowych

Do tej pory większość użytkowników żyło w przekonaniu, że wysłana wiadomość elektroniczna kanałem e-mail jest niezmienna – odbiorca otrzyma taką samą treść, jaka została wysłana przez adresata. Dzisiaj wszyscy powinni wziąć poprawkę na bezpieczne protokoły komunikacji, ponieważ nawet takie standardy jak SMIME oraz PGP nie są w stanie zabezpieczyć wiadomości przed podmianą, którą zaprezentowali pracownicy firmy Mimecast.

Opracowana metoda ROPEMAKER (akronim Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risk) potrafi zmienić w treści wiadomości np. link hiperłącza:


Wysłana wiadomość z adresem URL: avlab.pl/dobry


Otrzymana wiadomość z adresem avlab.pl/zly

ROPEMAKER daje sposobność manipulowaniem nie tylko linkami. Możliwa jest zamiana całej zawartości tekstu:


Po lewej z pozoru pusta wiadomość przed wysłaniem. Po prawej otrzymana wiadomość.


Pusta wiadomość po lewej w rzeczywistości wygląda tak. Wyświetlenie źródła ujawnia kod HTML, CSS oraz znaki ASCII.

W jaki sposób jest to możliwe? Poprzez manipulację tego, co widać w warstwie, której nie widać. A dokładnie rzecz ujmując, dzięki załadowaniu zdalnej zawartości HTML i CSS:


Na pewno każdy to zna – programy pocztowe pytają, czy zezwolić na załadowanie zdalnej zawartości.

W jaki sposób wykorzystać ROPEMAKER w ataku?

W tej metodzie nie jest potrzebny bezpośredni dostęp do skrzynki pocztowej, nie zastosowano też ataku MiTM (chociaż w ataku MiTM da się wykorzystać ROPEMAKER). Udana modyfikacja treści wiadomości e-mail możliwa jest na skutek załadowania zdalnego kodu CSS – bardziej atrakcyjna wizualnie poczta zawierająca dynamiczne treści i hiperłącza zwiększa ryzyko udanego ataku phishingowego. Jednak w tym przypadku phishing to niedowartościowujące określenie oszukania pracownika lub użytkownika, bo pomimo podpisu elektronicznego lub zaszyfrowania wiadomości protokołem PGP, adresat otrzymuje zafałszowaną treść.

Zaprezentowana metoda oszustwa daje cyberprzestępcom do ręki karabin Gatlinga, podczas gdy wcześniej mieli do dyspozycji tylko jednostrzałowe pistolety.

ROPEMAKER'a można wykorzystać w tych samych phishingowych lub spear-phishingowych atakach, które znaliśmy do tej pory, dokładając zaprezentowaną metodę manipulowaniem zawartości e-mail. W efekcie otrzymujemy wybuchową mieszankę socjotechniki. Najgorsze jest to, że ROPEMARKER nie jest exploitem, nie jest też luką, ani błędem w zabezpieczeniach. To po prostu mistrzowskie oszukanie, a właściwie prawidłowe wykorzystanie funkcji klientów pocztowych, które ostrzegają użytkownika przed załadowaniem zdalnej zawartości.

ROPEMARKER przetestowano na klientach: Outlook, Thunderbird oraz Apple Mail. Jego zastosowanie ogranicza tylko kreatywność cyberprzestępców. Chociaż firma Mimecast nie zanotowała tej metody w prawdziwych atakach (a ma pod sobą kilkadziesiąt tysięcy biznesowych klientów, którzy miesięcznie otrzymują miliardy e-maili), to tak samo jak z exploitami EternalBlue od NSA – niedługo możemy być świadkami zaobserwowania ROPEMARKER'a w phishingowych atakach na podobną skalę, co ransomware WannaCry. Co więcej, badacze sugerują, że napastnicy do wyświetlania zdalnej zawartości mogą eksperymentować ze skalowalną grafiką wektorową (SVG) oraz z tagami <embed>, a także <iframe>.

Co na to Microsoft i inni zainteresowani? Właściwie nic. Wszyscy jak jeden mąż twierdzą, że wystarczy zablokować wyświetlanie zdalnej zawartości. W przypadku nadawców spoza zaufanej listy jest to jeszcze zrozumiałe. Jednak co zrobić, jeśli nadawcą jest znajomy lub pracownik, który w dodatku szyfruje e-mail w taki sposób, że mamy pewność co do jego autentyczności? Jeszcze nie znaleziono na to metody, ale ograniczone zaufanie do podpisanych i zaszyfrowanych wiadomości należy sobie wyrobić jak najszybciej.




Komentarze

Obrazek użytkownika Zdzich

Z dokumentu źródłowego:
"Common browser-based email clients such as Gmail, Outlook. com, and icloud.com were found not to be susceptible to the ROPEMAKER exploit."
Zachęcam zatem do używania web'owych klientów poczty. :-)

Obrazek użytkownika Adrian Ścibor

#1 To fakt. Ale wiesz. Zachęcać sobie można. Jednak program pocztowy to duża wygoda: lepsze tworzenie tekstu, zarządzanie kontaktami, przeszukiwanie wiadomości, szyfrowanie wiadomości, lokalne reguły filtrowania, itp. Jeśli osoba korzysta z poczty w "domowych warunkach", sporadycznie do usuwania spamu, to może nie widzieć różnicy. Do kontaktów z klientami nie wyobrażam sobie korzystania z webowego klienta. To by była istna katorga. Z punktu widzenia home user jest jak jest, ale weź tu obsługuj pocztę, jeśli masz dziesiątki maili dziennie, na które musisz odpisywać lub sam tworzyć dłuższe wiadomości i chcesz korzystać np. ze sprawdzania pisowni w różnych językach, seryjnej korespondencji, chcesz przy tworzeniu maila mieć firmową stopkę (to akurat da się zrobić w większości web-kont). Co więcej, obsłuż przez przeglądarkę dwie lub więcej skrzynek pocztowych. Lepiej będzie przez przeglądarkę? No po prostu nie ma o czym dyskutować :) Domowe a firmowe zapotrzebowanie (w zależności od rodzaju biznesu), to całkiem różne światy. W dodatku masz też wynalazek IMAP, więc synchronizacja z każdym urządzeniem jest jak najbardziej dostępna.

Dodaj komentarz