Techniky obrany před phishingem
Phishing ve všech svých formách je stále více využívanou technikou útočníků. Ti se snaží vzbudit důvěru příjemců e-mailů tak, aby byl jejich e-mail přijat a příjemce aktivoval přílohu, proklikl odkaz nebo vykonal jinou akci. Vynalézavost a pečlivost útočníků je stále větší a tím je těžší a těžší takového podvržené e-maily odhalit. Jaké máme technické možnosti odhalit phishing? A kolik toho dokáže odhalit sám uživatel?
SMTP protokol byl navržen jako jednoduchý a otevřený, nikdo asi nepředpokládal jeho rozšíření a masivní užívání i po desítkách let. Pomocí SMTP protokolu lze odeslat e-mail s libovolnou adresou odesílatele. A proto je jednou ze základních taktik útočníků zfalšování adresy odesílatele tak, aby se e-mail tvářil jako legitimně odeslaný z dané společnosti a její domény. Zde máme hned několik technologií, které nám mohou napomoci v odhalení takto upraveného e-mailu.
SPF (Sender Policy Framework)
Můžeme využít technologii SPF (Sender Policy Framework) a otestovat, zda daný e-mail byl odeslán z legitimní IP adresy tak, jak je v SPF záznamu uloženo. SPF záznam je textový záznam v DNS pro danou doménu a definuje IP adresy, jež jsou oprávněny odesílat e-maily pro danou doménu. Každý příjemce si může tyto povolené adresy ověřit. Problém této technologie je ten, že ji bohužel nevyužívá 100 % domén, udává se hodnota mezi 50 a 60 %. Druhý problém je, že využívá informaci z obálky zprávy a nijak již nepracuje s hlavičkou a obsahem e-mailu.
DKIM (DomainKeys Identified Mail)
DKIM vznikl spojením dřívějších návrhů DomainKeys od Yahoo a Identified Internet Mail od Cisco Systems a jeho autoři dbali na co největší jednoduchost a minimální dopad na poštovní systém. Jedná se o formu elektronického podpisu – v e-mailu se projeví přidanou hlavičkou DKIM-Signature, zbytek mailu je beze změny, což zaručí kompatibilitu i se systémy bez podpory DKIM. Výhodou je, že DKIM podpis může přidávat libovolná součást poštovního systému, nemusí to tedy být klient odesílatele, ale například poštovní server nebo e-mailová brána. Stejně tak ověření provádí přijímající mailový server nebo brána.
DKIM obsahuje hash celého těla mailu i hlaviček a je zašifrován privátním klíčem odesílate. V hlavičce DKIM-signature je též uvedeno, jak získat veřejný klíč pro ověření. Což je většinou jeho umístěním v DNS textovém záznamu _domainkey u příslušné domény.
DKIM podpis neověřuje osobu toho, kdo e-mail odeslal, ale garantuje, že byl odeslán v té podobě, v jaké je přijat, a to systémem toho, kdo má přístup k privátnímu klíči z dané domény. Otázkou samozřejmě je, jak moc věříme podepisujícímu.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
Technologie DMARC je postavena na dříve popsaných technologiích SPF a DKIM. Vychází z adresy odesílatele uvedené v hlavičce „From“ a snaží se ověřit, zda byl e-mail skutečně odeslán z uvedené domény. Pokud bylo splněno SPF nebo je přítomen validní DKIM podpis, pak e-mail považuje za důvěryhodný. Definuje dále politiku pro neúspěšné e-maily a umožňuje též nastavit zpětnou vazbu. DMARC záznam je opět záznam typu TXT v doméně odesílatele, tentokrát pod názvem _dmarc
Výše uvedené metody identifikují podvržené e-maily, které nemá šanci odhalit uživatel. Často však útočníci využívají vlastní domény, které mají validní SPF i DKIM záznamy, avšak pouze se podobají doméně, kterou chtějí zneužít. Jako příklad můžeme uvést falešnou doménu soqhos.com napodobující originální sophos.com. V takovýchto případech je namístě ostražitost uživatele a jeho edukace. I technika nám však může pomoci, a to například ověřování existence reverzních DNS záznamů.
Druhá linie obrany proti phishingu je aktivní filtrování malwaru, případně závadných odkazů na kompromitované stránky. Zde se nám nabízí například technologie sandboxingu, kdy je každý aktivní obsah spuštěn v různých operačních systémech a je sledována jeho aktivita. Útočníci se často snaží detekovat běh v sandboxu a upravit chování vlastního kódu (taková kybernetická dieselgate), i tyto techniky však lze odhalovat. Doplněním sandboxu může být využití strojového učení a zvláště jeho varianty Deep learning, které při vhodně nastaveném modelu a kvalitním naučení je schopno ve velmi krátké době odhalit malware při velmi nízké úrovni falešných poplachů.
Zajímavou kapitolou je využití techniky „Time of Click“, která se zaměřuje na útoky pomocí URL odkazů v e-mailech. Útočníci spoléhají na to, že tyto linky mohou být prověřovány v okamžiku doručení například e-mailovým serverem, nikoliv však v okamžiku, kdy na ně uživatel klikne. Útočník tak může nejprve rozeslat phishingové e-maily a teprve následně přesměrovat použité URL odkazy na patřičné servery tak, aby během doručování byly odkazy „čisté“. Metoda ochrany „Time of Click“ nahrazuje odkazy v e-mailech odkazem na sebe (např. e-mailovou bránu) a všechny linky tak skenuje nejen při doručení e-mailu, ale i při každém kliknutí na daný link uživatelem.
Problematika phishingu a ochrany před ním je obor velmi dynamický a takřka každý týden jsme svědky nových věcí. Důležité proto je vsadit na výrobce zabezpečení, který je schopen držet krok s dobou, a současně neustále vzdělávat uživatele, aby byli proti phishingu odolnější.
 |
Michal Hebeda Autor článku působí jako Sales Engineer ve společnosti SOPHOS. |
