Фейковая рассылка от налоговой - сколько будет пострадавших?
News | 17.11.2021
ДИСКЛЕЙМЕР: Данная статья не является призывом к действию, написана в образовательных целях для привлечения внимание к проблеме.
Как вы думаете - возможна ли такая ситуация в принципе?
Согласитесь было бы удобно если налоговая совершила революцию и реализовала уплату ежегодного налога на недвижимость для физических лиц посредством онлайн платежа в 3 клика, а еще и предоставила скидку в 60% всем тем кто произвел оплату онлайн.
Возможно ли это - конечно возможно, на почту пришло письмо от налоговой инспекции, с текстом, согласно которому вы попали в число людей для фокус группы и если произведете оплату в течении 2-х дней налог - получите солидную скидку. Не доверять письму из налоговой вам нет причин.
Как развивались события дальше: через 4 дня в новостных лентах начали активно публиковаться новости о массовом спуфинге от лица налоговой и о тысячах пострадавших от действий мошенников осуществивших рассылку от имени налоговой инспекции.
Возможна ли такая ситуация в принципе - конечно нет скажете вы, ведь налоговая инспекция никогда не допустила бы подобной ситуации, а мошенники не станут “нарываться” и подделывать государственную службу, ведь это вызовет масштабный резонанс.
Но так ли это? Мы решили проверить и удостоверится в невозможности осуществления вышеописанных действий. Для этого провели анализ доменных имен налоговых органов в 4-х странах СНГ на предмет наличия уязвимостей по 3-м маркерам:
Мы проверяли правильность настройки SPF, DKIM и DMARC.
1.Что такое SPF?
SPF (Sender Policy Framework) – это запись, которая обеспечивает взаимопонимание между почтовыми серверами отправителя и получателя. Она содержит информацию о том, с каких IP-адресов может рассылаться почта от вашего домена.
Одному домену соответствует одна SPF-запись.
Так, сервер получателя запрашивает SPF во время доставки сообщения. Если у отправителя есть эта запись, он передает в ней список IP-адресов, с которых может отправлять почту. Как правило, это данные одного или нескольких почтовых серверов.
Сервер получателя сверяет IP-адрес почтового сервера отправителя со списком из SPF. Если он нашел нужный IP в списке, то пропускает сообщение дальше.
Это первый маркер, который говорит о том, что это именно вы рассылаете информацию от имени своего домена.
Потому установка SPF важна для безопасного взаимодействия и повышения процента доставки вашей почты. И как показывает практика - SPF запись настроена у большинства отправителей корректно.
2.Что такое DKIM?
DKIM (DomainKeys Identified Mail) – вторая ступень защиты при передаче данных между почтовыми серверами. Это механизм, который работает через ключи шифрования. Для того, чтобы его активировать, необходимо создать два ключа: приватный и публичный.
Приватный – это ваш личный уникальный ключ, который шифрует скрытую подпись в заголовках каждого вашего письма. Она не видна для пользователей.
Публичный ключ вы вносите в ваши DNS-записи, это подпись в формате txt.
Пример публичного ключа:
Два ключа работают в связке. Когда сервер получателя видит письмо, он запрашивает ваш публичный ключ. С его помощью он расшифровывает скрытую подпись, которая подтверждает ваше авторство.
Соответственно, если DKIM у вас не установлен, многие почтовые сервера будут отклонять получение ваших писем. Это способ авторизации, который нельзя игнорировать.
3.Что такое DMARC?
DMARC (Domain-based Message Authentication, Reportingand Conformance) – третий этап защиты. Это технология, которая определяет, что делать с вашими сообщениями, если они не прошли аутентификацию с помощью SPF и DKIM. Это правило, которое вы устанавливаете для писем, отправленных от вашего имени.
Так, вы защищаете своих получателей от злоупотреблений вашей репутацией, использования вашего домена мошенниками.
Перед установкой DMARC важно убедиться, что SPF и DKIM прописаны корректно, иначе это может привести к фильтрации писем от вас.
4.Как работает механизм защит почтовых отправлений и защита от спуфинга.
Есть три основных правила, по которым работает механизм DMARC, если распознает сообщения, как подозрительные:
- Не предпринимает никаких действий;
- Помечает письмо как спам и отправляет в карантин;
- Отклоняет сообщение без доставки адресату.
Результаты с текущими настройками безопасности почтовых сервисов налоговых служб 4-х восточно-европейских стран приведены в таблице ниже:
* мы закрыли "*****" страну-расположение налогового органа у которого выявлены проблемы с безопасностью в настройках почтовых сервисов.
Выводы: возможна спуффинговая рассылка ото всех налоговых служб 4-х стран. Результат крайне неудовлетворительный.
В сети существует множество инструкций с детальной настройкой каждого из протоколов, но процедура достаточно трудоемкая и требует определенных знаний. Так же можно воспользоваться решением от компании Red Sift которое предоставит подробный чек лист по настройке.
FAQ по основным механизмам защиты ваших почтовых отправлений:
DNS-сервер - хранит информацию о домене и его IP-адресах. Внести записи SPF и DKIM (публичный ключ) в DNS можно через вашего регистратора доменного имени.
SPF – запись, где заложена информация о почтовых серверах, с которых вы отправляете сообщения. Если от вас приходят письма с других IP, нежели это указано в SPF, они не пройдут проверки на подлинность.
DKIM – механизм защиты, основанный на шифровании. Публичный ключ вносится в DNS-записи и доступен для чтения, приватный – шифрует вашу скрытую подпись в заголовках писем. Расшифровка происходит при доставке сообщений получателем.
DMARC – набор правил для писем от вашего имени, которые не прошли аутентификацию по SPF и DKIM.