Istota ataków typu Spoofing SMTP

Obecnie jedną z najgroźniejszych metod, gdyż stosowaną na masową skalę i trudną do wykrycia, jest przeprowadzanie ataków typu phishing (nazwa pochodzi od fikcyjnej postaci Briana Phisha), zwłaszcza w formie spoofing-u. Ataki typu phishing znane są od dawna i polegają na podszywaniu się pod inną osobę, bądź instytucję w celu wyłudzenia informacji lub osiągnięcia innych korzyści. Natomiast spoofing, w rozważanym zakresie, jest specyficzną formą omawianego ataku, skierowaną przeciwko użytkownikom systemów poczty elektronicznej. Warto zaznaczyć, że znane jest całe spektrum tego typu nadużyć obejmujące zarówno ataki trywialne (np. zmiana w kliencie poczty wyświetlanej nazwy użytkownika), jak i wysoce specjalizowane, które mogą pozostać niezauważone nawet przez zaawansowane systemy ochrony.

Do wyjaśnienia istoty omawianych nadużyć konieczne jest objaśnienie podstaw działania systemu poczty elektronicznej. W uproszczeniu, podczas nadawania wiadomości elektronicznej (tzw. e-mail) użytkownik wpisuje jej treść, podaje odbiorcę (pole To; adres e-mail), zaś jego klient poczty (program) uzupełnia ją o informację o nadawcy (pole From; adres e-mail). Następnie program łączy się z odpowiednim serwerem SMTP i przekazuje wiadomość opatrując ją (ponownie) informacją o nadawcy (pole MAIL FROM, adres e-mail) i odbiorcy (pole RCPT TO; adres e-mail), co stanowi tzw. kopertę. W kolejnym kroku serwer SMTP nadawcy przekazuje kopertę wraz z zawartością do serwera SMTP odpowiedniego dla adresata, a ten usuwa kopertę i dostarcza wiadomość do właściwej skrzynki poczty elektronicznej. Następnie klient poczty odbiorcy łączy się ze swoją skrzynką, pobiera znajdujące się w niej wiadomości i wyświetla je użytkownikowi w tzw. skrzynce odbiorczej (rysunek 1).

E-mail - jak to działa?

Rys 1. Uproszczony schemat wysyłania wiadomości e-mail

Łatwo zauważyć, że w opisanym procesie występuje podwójne adresowanie wysyłanej wiadomości, tj.:

  • na poziomie wiadomości (pola From i To),
  • na poziomie tzw. koperty (pola MAIL FROM oraz RCPT TO).

Dualizm ten, zaszyty bezpośrednio w założeniach systemu poczty elektronicznej (RFC 5321 i pokrewne), umożliwia wykonywanie różnorakich prób podszycia się pod nadawcę. Dla przykładu, w najprostszym, trywialnym przypadku klient zakładu ubezpieczeń niezadowolony z tempa obsługi jego sprawy może w swoim kliencie poczty zmienić opis użytkownika na np. „Dyrektor pionu BOK” (co zmieni opis zawarty w polu From) i wysłać ponaglającą wiadomość od „Dyrektora…” do pracowników BOK go obsługujących. Takie oszustwo może oczywiście zostać łatwo wykryte przez weryfikację adresu nadawcy w nagłówku wiadomości . Jednakże podczas bardziej wyrafinowanych ataków (wykonanych np. z wykorzystaniem ogólnie dostępnego narzędzia SWAKS) może zostać sfałszowana również wspomniana wartość. W tej sytuacji jedynie analiza ścieżki, którą przebyła wiadomość – poprzez sprawdzenie adresów podanych w kopercie – może zdradzić nadużycie. Jednakże nawet ta informacja może zostać zamaskowana lub sfałszowana np. podczas ataku wykorzystującego technikę NDR (jej dokładne omawiane wykracza poza ramy tego opracowania). Podsumowując należy przyjąć, że bez stosowania na poziomie instytucji zaawansowanych systemów weryfikacji nadawcy zwykły użytkownik (np. pracownik zakładu ubezpieczeń) w przypadku profesjonalnie przeprowadzonego ataku nie ma możliwości zorientowania się, że padł ofiarą nadużycia (rysunek 2).

Spoofing - przykład

Rys 1. Schemat wykonania nadużycia typu e-mail spoofing

Omawiając możliwości przeprowadzenia ataków typu spoofing warto również rozważyć ich potencjalne konsekwencje. Przyjmując, że do ofiary, np. pracownika jakiejś firmy może zostać dostarczona sfałszowana wiadomość (co zostało wykazane wcześniej) rozpatrzmy jeden przykładowy scenariusz:

Do wszystkich pracowników, w imieniu kierownika sekcji BHP, przełożonego lub innej osoby darzonej zaufaniem, zastaje wysłana prośba o zapoznanie się z nowym regulaminem BHP, który został wprowadzony po ostatniej kontroli. Wspomniany regulamin może znajdować się w załączniku lub pod wskazanym adresem URL. Należy się spodziewać, że chociaż kilku pracowników podejmie próbę zastosowania się do polecenia, choć odwołanie się do złośliwej witryny lub otworzenie załącznika może spowodować zainfekowanie ich komputerów szkodliwym oprogramowaniem. Powodzenie ataku daje agresorowi przyczółek w sieci wewnętrznej atakowanej firmy. Dzięki temu, w kolejnym kroku może dojść do wykonywania różnych operacji ubezpieczeniowych z uprawnieniami ofiary (bez względu na to z jakiego systemu wewnętrznego instytucji korzysta) przy użyciu np. narzędzi typu Remote Administration Tool (RAT). Dodatkowo po uzyskaniu takiego dostępu agresor może podjąć próbę zainfekowania (przejęcia) innych komputerów/systemów, do których jest dostęp z przejętego stanowiska. Konsekwencje wydają się oczywiste.

Na koniec warto dodać, że bazując na wynikach obserwacji serwerów SMTP, których ochroną zajmuje się MILSTAR, stwierdzamy iż liczba ataków typu spoofing stale rośnie.