Эксперт указывает на незащищенность метода E-mail аутентификации DKIM
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Эксперт указывает на незащищенность метода E-mail аутентификации DKIM

Олег Иванов 03 Октября 2017 - 12:04
...
Эксперт указывает на незащищенность метода E-mail аутентификации DKIM

Эксперт выяснил, насколько уязвимым является DKIM (метод E-mail аутентификации, разработанный для обнаружения подделывания сообщений, пересылаемых по email). Оказалось, что в некоторых случаях содержимое почты может быть изменено без аннулирования ЭЦП DKIM, что серьезно подрывает доверие, которое должно быть у подписи.

Также специалистам удалось выяснить, что DKIM легко сломать, заставив получателя думать, что письмо подделано, хотя это на самом деле не так. Таким образом, появляются некоторые бреши, которые можно использовать в массовых спам-кампаниях.

Например, спамеры часто любят придавать своим письмам вид легитимных, отправленных известными компаниями, такими, например, как Amazon, Apple, DHL, банками и другими финансовыми организациями. Целью такой маскировки всегда является попытка украсть учетные данные пользователя. Проще говоря, фишинг.

Именно поэтому в последние годы были разработаны несколько технологий, призванных обнаруживать так называемые спуфинг-атаки. Основными такими технологиями, используемыми на практике, являются SPF, DKIM и DMARC.

Изучив подробнее механизм работы DKIM, исследователи пришли к выводу, что отсутствие защищенных дефолтных настроек в сочетании со сложностью и уязвимостью стандарта MIME позволяют изменять важную информацию в электронных письмах, включая тему. С помощью этой уязвимости можно добавлять в письмо вредоносные вложения.

Эксперт приводит в пример реализацию веб-почты GMail и AOL, где подпись DKIM охватывает только последнюю строку темы, если она содержит несколько строк. Таким образом, злоумышленник может легко изменить этот объект, не влияя на действительность ЭЦП DKIM.

Пример реализации

Возьмем простое письмо:

DKIM-Signature: v=1; h=from:to:cc:subject:content-type; ...
    From: <dkim-test@chksum.de>
    To: knurrt.hase@gmail.com
    Subject: 20170920:1755 - good
    Content-type: multipart/mixed; boundary=foo
    Date: Wed, 20 Sep 2017 17:55:18 +0200
    --foo
    Content-type: text/plain
    some text
    --foo—

Почтовый клиент Thunderbird с установленным плагином DKIM получает визуализацию следующим образом:

Но если добавить в поля Subject и Content-Type дополнительные данные:

Subject: Urgent Update at http://foo
    Content-type: multipart/mixed; boundary=bar
    DKIM-Signature: v=1; h=from:to:cc:subject:content-type; ...
    From: <dkim-test@chksum.de>
    To: knurrt.hase@gmail.com
    Subject: 20170920:1755 - good
    Content-type: multipart/mixed; boundary=foo
    Date: Wed, 20 Sep 2017 17:55:18 +0200
    --foo
    Content-type: text/plain
    some text
    --foo—

Тема изменится, тело письма пропадет, однако оригинальная подпись DKIM все еще успешно подтверждена.

Эксперт советует трезво оценивать риски, связанные с использованием DKIM, так как в реальных случаях реализации он не обеспечивает ожидаемого уровня защищенности.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая афера: дипфейки и фейковые сайты обманывают семьи бойцов СВО
Екатерина Быстрова 19 Сентября 2025 - 09:08
МошенничествоДипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи F6
Новая афера: дипфейки и фейковые сайты обманывают семьи бойцов СВО

Специалисты выявили новую схему обмана, рассчитанную на участников спецоперации, ветеранов и их семьи. Злоумышленники создают сайты, внешне копирующие благотворительные фонды. На этих ресурсах обещают «поддержку» — якобы выплаты до 500 тысяч рублей ежемесячно в рамках несуществующей инвестиционной программы.

Чтобы придать видимость правдоподобия, аферисты заявляют, что программа «создана по приказу президента» и что «участники уже получают выплаты». На сайтах размещают фальшивые отзывы, в том числе видеодипфейки, где реальные кадры бойцов озвучены чужими голосами.

Потенциальным жертвам предлагают вложить от 50 тысяч рублей и обещают доходность «от 21% в месяц». На сайтах размещают «калькулятор прибыли» и форму для заявки, где нужно указать имя и телефон. После этого жертве звонит «персональный менеджер» из кол-центра мошенников.

 

На деле цель схемы — получить деньги и персональные данные. Пользователю могут предложить установить вредоносное приложение «для открытия вклада» или отправить сканы документов «для верификации». В результате злоумышленники получают полный контроль над устройством и доступ к банковским счетам.

Эксперты отмечают, что такие атаки могут быть как целевыми, так и массовыми. Некоторые сайты-двойники уже индексируются в поисковых системах, а домены связаны с другими схемами инвестмошенничества.

Подобные аферы с «поддержкой бойцов и их семей» фиксируются с 2022 года. Мошенники используют разные сценарии: от фейковых выплат и приложений до общения в мессенджерах под видом волонтёров. Часто они действуют в долгую — общаются в соцсетях месяцами, чтобы войти в доверие, и только потом присылают ссылки на поддельные сайты.

Как не попасться на уловку:

  • не верьте обещаниям больших и лёгких выплат;
  • проверяйте информацию о господдержке только на официальных сайтах;
  • внимательно относитесь к доменам сайтов, используйте сервисы проверки;
  • не переходите по подозрительным ссылкам, даже если их прислал знакомый;
  • никогда не делитесь паролями, кодами из СМС и данными карт;
  • не переводите деньги незнакомым людям;
  • при сомнениях советуйтесь с близкими.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Сайт ЦИК и Госуслуги упали 14 сентября из-за аварии в сети Ростелекома
Новость
Сайт ЦИК и Госуслуги упали 14 сентября из-за аварии в сети Р...
В 2025 году 50% фишинга и 32% скама пришлись на ретейл-сектор
Новость
В 2025 году 50% фишинга и 32% скама пришлись на ретейл-секто...
Обратные звонки стали самой популярной уловкой мошенников
Новость
Обратные звонки стали самой популярной уловкой мошенников

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.