Подмена электронной почты клиента презентация

Who we are Специалисты отдела анализа защищенности компании «Информзащита» Telegram: @empty_jack @n0tabug Twitter: https://twitter.com/mylittlepapers

Слайд 1Client-side e-mail spoofing


Слайд 2Who we are
Специалисты отдела анализа защищенности компании «Информзащита»
Telegram:
@empty_jack
@n0tabug
Twitter:
https://twitter.com/mylittlepapers







Слайд 3О чем это все
SMTP уязвим by design (кэп)
Данная уязвимость присутствует на

клиентских приложениях:
Яндекс.Почта (Android, iOS, Web)
Microsoft Outlook (iOS, OWA, Office, Android)
Mail.ru + myMail (iOS, Android)
Некоторые другие… ☺
Сложность эксплуатации: минимальная







Слайд 4Яндекс.Почта








Слайд 5Яндекс.Почта








Слайд 6Яндекс.Почта








Слайд 7Яндекс.Почта








Слайд 8Заголовок From
ishopper… - почта злоумышленника, зарегистрированная на gmail.com




noreply@gmail.com – за кого

злоумышленник пытается выдать себя







Слайд 9Заголовок From
Клиентское приложение некорректно разбирает заголовок From письма ->
Приложение в процессе

разбора из заголовка From удаляет последний адрес (настоящий адрес атакующего) ->
В заголовке From остается значение:
Spoof Name
Данное значение отрисовывается приложением как почта отправителя
ВАЖНО! В заголовке From письма должен присутствовать адрес из заголовка MAIL FROM



Слайд 10Репорт в Яндекс
Статус: Fixed


Слайд 11Microsoft Outlook


Слайд 12Microsoft Outlook
Подтягивается фотография и информация из Exchange


Слайд 13Outlook.com


Слайд 14Outlook Web Access (OWA)


Слайд 15Outlook for iOS


Слайд 16Outlook for iOS


Слайд 17Репорт в Microsoft

Статус: Rejected


Слайд 18Ответ от вендора

Thank you for contacting the Microsoft Security Response Center

(MSRC). Upon investigation we have determined that this does not meet the bar for security servicing. The display of the sender message header could be forged or omitted just as easily as the from header. Additionally, while it’s true that SMTP can be easily spoofed, it’s the burden of the receiving mail provider to check the content and origin of messages. Any mail genuinely originating from Microsoft can be authenticated using SPF and DKIM, making this a failing of the mail service in not rejecting the message or sending it to a junk mail folder.

Слайд 19Mail.ru

Другой вектор. Связанно с особенностью обработки заголовком приложениями


Слайд 20Mail.ru


Слайд 21Mail.ru


Слайд 23myMail

Статус: Fixed


Слайд 24Как решить?

Строгий DMARC
Правило для антиспама
Правильно разбирать/отображать заголовок From
Выводить предупреждение о несоответствии

заголовков

Слайд 25Нормально делай – нормально будет


Один из примеров решения:



Слайд 26Нормально делай – нормально будет


Реализована защита
«из коробки» в Mozilla Thunderbird



Слайд 27Вопросы?





Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика