Kako provjeriti autentičnost mailova?

Kako provjeriti autentičnost mailova?

Sofisticirana prijevara u kojoj je Saša Cvetojević ostao bez 3800 eura zbog uplate na krivi IBAN poslužila je kao povod za razgovor s Infigo IS-ovim stručnjakom za računalnu sigurnost Bojanom Ždrnjom.

Više o navedenoj prijevari može se pronaći ovdje, a Ždrnju smo upitali kako se sve može manipulirati mailovima, kako se zaštititi od prijevara sličnih nedavnoj te kako znati da je neki mail autentičan, odnosno poslan s prave email adrese.

Postoje slučajevi različite sofisticiranosti. U jednostavnijem slučaju napadač dođe do sadržaja nekih mailova koje koristi za izradu takvih phishing ili scam mailova. Oni se onda šalju lažiraju i šalju žrtvi. Ovisno o tome kako su podešeni mail serveri to može biti lakše ili teže. No, čak i u slučaju da je sve idealno podešeno postoji alternativa - napadač može zakupiti domenu koja sliči onome što želi lažirati i to iskoristiti.

U sofisticiranijim slučajevima - a vjerojatno je i ovo bio takav slučaj, napadači zapravo dođu do pristupa mailboxu - pogađanjem passworda žrtve, hakiranjem ili na neki drugi način - i onda čitaju mail kroz dulji period. Kad vide da je nešto interesantno ubacuju se u sami thread i mijenjaju mailove. Kako imaju pristup mailboxu, bilo žrtve koja će platiti novce ili od osobe ili tvrtke s kojima imaju korespondenciju, lako mogu vidjeti stil pisanja, signature u mailu pa često čak i ugovore i slično te to iskoristiti za izradu vrlo uvjerljivih mailova kojima često traže plaćanje na drugi račun - oko čega treba biti vrlo sumnjičav i uvijek provjeriti. Mi u Infigo IS-u ovakve stvari znamo provjeravati u našim penetracijskim testovima.

Kako se zaštititi protiv ovakvih situacija?

Sama zaštita maila je zapravo dosta nezgodna - mail i SMTP protokol koji se koristi je oduvijek problematični što se toga tiče. Kao prvo, SMTP poslužitelji svake firme trebali bi biti tako konfigurirani da ne dozvoljavaju primanje maila koji se predstavlja kao da stiže od njih. Da bi se spriječilo lažiranje od neke treće strane (npr. netko lažira slanje maila u moje ime) potrebno je dobro postaviti Sender Policy Framework (SPF) zapise, kao i koristiti DKIM i DMARC mehanizme - no sve ove metode zaštite zapravo pokušavaju donekle ograničiti slanje lažiranih mailova i nisu stopostotna zaštita. Uostalom, napadač uvijek može registrirati domenu koja je slična onoj koju napada.

Svakako je potrebno maksimalno zaštititi pristup mailu. Tu preporučujem, ako je ikako moguće, uvođenje dvofaktorske autentikacije (2FA) te redovitu provjeru spajanja na mailbox - primjerice slanjem logova u SIEM i analizom od kuda se spajaju korisnici, koliko je to moguće.

Za korisnike - lažirane mailove je na žalost najčešće teško detektirati. To se može vidjeti pregledom zaglavlja, što je tehnički izazovno za prosječnog korisnika. Često napadači naprave gramatičke i slične greške pa to može malo pomoći, ali naravno to isto ništa ne garantira.

Bolja zaštita uključila bi još digitalne potpise, što isto tehnički predstavlja problem, s obzirom da su relativno kompleksni Konačno bih dodatno preporučio oprez te, u slučaju da je nešto sumnjivo, a pogotovo kada se rade plaćanja, uvijek provjeru nekim drugim kanalom - telefonom, SMS-om, messengerima i slično. Manja je šansa da napadač nadgleda i može modificirati dva kanala.

ZSIS je izdao solidan dokument o zaštiti maila (PDF), no to će pomoći samo administratorima i tehnički vrlo dobro educiranim ljudima i ne rješava stvari stopostotno jer uvijek mogu registrirati sličnu domenu

- - - IZDVOJITE MINUTU I PODRŽITE REP.HR - - -

Ako redovito posjećujete rep.hr, vjerojatno ste svjesni da objavljujemo niz članaka koji sadrže zanimljive i društveno korisne informacije. Nastojimo ukazati na nepravilnosti i prevare, promovirati uspjehe informatičara na natjecanjima, predstaviti nove projekte i inicijative i pružiti niz drugih informacija. Iako portal ima određene marketinško-prodajne aktivnosti, proizvodnja takvog sadržaja košta i - kao i drugim medijima - dodatni izvor prihoda pomogao bi u daljnjem rastu i razvoju. Brojni portali uveli su proteklih mjeseci zaključavanje članaka i pretplatu, a mi smo se odlučili za opciju dobrovoljnih priloga za koje se izdaju računi.

Podržati nas možete već s pet kuna, na što trebate potrošiti manje od minute. Dovoljno je izabrati sličicu s jednim od ponuđenih iznosa, a nakon toga u novom prozoru izabrati način plaćanja. Radi jednostavnosti i brzine plaćanja, podržane su mobilne aplikacije KEKS Pay, Aircash i Settle te kriptovalute. Uplata se realizira putem partnerske tvrtke Neoinfo i sustava mobilepaymentsgateway.com Sustav za plaćanja je trenutnu u testnoj fazi te se ispričavamo ako u početku bude nekih nesavršenosti. Ako uočite nekakav nedostatak ili vas zanima više informacija o sustavu možete nas kontaktirati na info@rep.hr

Izaberite iznos podrške: