Эксперт указывает на незащищенность метода E-mail аутентификации DKIM

Олег Иванов 03 Октября 2017 - 12:04

Домашние пользователи

...

Эксперт выяснил, насколько уязвимым является DKIM (метод E-mail аутентификации, разработанный для обнаружения подделывания сообщений, пересылаемых по email). Оказалось, что в некоторых случаях содержимое почты может быть изменено без аннулирования ЭЦП DKIM, что серьезно подрывает доверие, которое должно быть у подписи.

Также специалистам удалось выяснить, что DKIM легко сломать, заставив получателя думать, что письмо подделано, хотя это на самом деле не так. Таким образом, появляются некоторые бреши, которые можно использовать в массовых спам-кампаниях.

Например, спамеры часто любят придавать своим письмам вид легитимных, отправленных известными компаниями, такими, например, как Amazon, Apple, DHL, банками и другими финансовыми организациями. Целью такой маскировки всегда является попытка украсть учетные данные пользователя. Проще говоря, фишинг.

Именно поэтому в последние годы были разработаны несколько технологий, призванных обнаруживать так называемые спуфинг-атаки. Основными такими технологиями, используемыми на практике, являются SPF, DKIM и DMARC.

Изучив подробнее механизм работы DKIM, исследователи пришли к выводу, что отсутствие защищенных дефолтных настроек в сочетании со сложностью и уязвимостью стандарта MIME позволяют изменять важную информацию в электронных письмах, включая тему. С помощью этой уязвимости можно добавлять в письмо вредоносные вложения.

Эксперт приводит в пример реализацию веб-почты GMail и AOL, где подпись DKIM охватывает только последнюю строку темы, если она содержит несколько строк. Таким образом, злоумышленник может легко изменить этот объект, не влияя на действительность ЭЦП DKIM.

Пример реализации

Возьмем простое письмо:

DKIM-Signature: v=1; h=from:to:cc:subject:content-type; ...

    From: <dkim-test@chksum.de>

    To: knurrt.hase@gmail.com

    Subject: 20170920:1755 - good

    Content-type: multipart/mixed; boundary=foo

    Date: Wed, 20 Sep 2017 17:55:18 +0200

    --foo

    Content-type: text/plain

    some text

    --foo—

Почтовый клиент Thunderbird с установленным плагином DKIM получает визуализацию следующим образом:

Но если добавить в поля Subject и Content-Type дополнительные данные:

Subject: Urgent Update at http://foo

    Content-type: multipart/mixed; boundary=bar

    DKIM-Signature: v=1; h=from:to:cc:subject:content-type; ...

    From: <dkim-test@chksum.de>

    To: knurrt.hase@gmail.com

    Subject: 20170920:1755 - good

    Content-type: multipart/mixed; boundary=foo

    Date: Wed, 20 Sep 2017 17:55:18 +0200

    --foo

    Content-type: text/plain

    some text

    --foo—

Тема изменится, тело письма пропадет, однако оригинальная подпись DKIM все еще успешно подтверждена.

Эксперт советует трезво оценивать риски, связанные с использованием DKIM, так как в реальных случаях реализации он не обеспечивает ожидаемого уровня защищенности.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 11:15

Трояны Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи F6

Новые кибершпионы охотятся за аккаунтами российских военных в Telegram

Специалисты «Эфшесть/F6» рассказали о новой кибершпионской группировке SiribClone, которая охотится за военнослужащими ВС РФ на приграничных территориях и в зоне проведения СВО. Цель у злоумышленников простая: добраться до телеграм-аккаунтов, переписки, контактов, геолокации и содержимого устройств.

По данным исследователей, следы активности группы нашли в феврале 2026 года, но первые атаки могли начаться ещё летом 2025-го.

Работают злоумышленники сразу по двум направлениям: заражают компьютеры и смартфоны шпионскими программами, а также крадут телеграм-сессии через фейковые страницы аутентификации.

Для десктопов атакующие используют вредоносную программу SiribGrabber. Её распространяли под видом архивов с якобы ведомственными документами. Позже схему обновили: злоумышленники сделали фейковый сайт движения «Бессмертный полк», где при нажатии на кнопку «Принять участие» скачивался архив с вредоносной начинкой.

Со смартфонами схема ещё грязнее. Атакующие знакомятся с военными в мессенджерах и приложениях для знакомств под видом девушек. Дальше классика социальной инженерии: посмотри приложение, давай безопасно обмениваться фото, я программист, протестируй. В итоге жертве подсовывают APK-файл Safeintim, SafeintimZ или ZafeintimZ.

На деле это не приложение для обмена фото, а шпионская программа SafeLoveStealer. Она имитирует нормальную работу, но параллельно передаёт злоумышленникам данные устройства: фото, видео, документы, геопозицию, параметры сети и Wi-Fi. Также она может записывать звук с микрофона. То есть смартфон превращается в карманного осведомителя.

Есть и второй сценарий: атакующие изображают волонтёров и предлагают заполнить форму для получения гуманитарной помощи. Финал тот же — фишинг, вредоносная программа или попытка угнать Telegram.

«Эфшесть/F6» также обнаружила фейковые страницы входа в Telegram: под облачное хранилище, сообщества, результаты анализов и другие приманки. Пользователя просят ввести номер, код и 2FA-пароль. После этого переписка фактически уходит на сторону.

Судя по найденным заметкам злоумышленников, это не случайный криминал ради галочки, а именно военный шпионаж.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!