Apie autorių

Kęstas Gudinavičius

IT saugumo analitikas

» Visi autoriaus pranešimai
» Rašykite autoriui

Twitter atnaujinimai

Naujas Twitter XSS pažeidžiamumas http://skeptikal.org/exploits/twitter/twitter_xss.html
Paskelbta: 2010-09-06 20:35:43

Cross-Origin CSS ataka http://bit.ly/dcvc9F, IE8 pažeidžiamumo demontracija http://bit.ly/aKLxfC
Paskelbta: 2010-09-04 12:12:32

Naujas žurnalo (IN)SECURE Magazine numeris http://bit.ly/9AqxNd
Paskelbta: 2010-09-01 15:51:51

Naujas žurnalo Hakin9 numeris http://bit.ly/a2Tsxi
Paskelbta: 2010-08-31 17:48:18

"use-after-free" tipo pažeidžiamumų išnaudojimas http://bit.ly/dglFi3
Paskelbta: 2010-08-31 09:38:12

Sekite mus Twitter – Archyvas

Elektroninio pašto siuntėjo klastojimas

Kęstas Gudinavičius, 2007-12-08 23:00:00

Šios dienos tekstas yra apie kiek kitokį el. pašto pritaikymą socialinės inžinerijos atakoms.

Socialinė inžinerija yra vienas pagrindinių įsilaužėlių ginklų, naudojamų apgaulės būdu iš aukos išgauti vertingą informaciją, tokią kaip, pavyzdžiui, įvairių sistemų prisijungimo duomenys. Norint sėkmingai įvykdyti ataką, būtina surinkti kuo daugiau informacijos apie taikinį, kruopščiai sudaryti veiksmų planą bei įvertinti nenumatytų trikdžių poveikį atakos baigčiai. Daugiausiai laiko užtrunka atakos modeliavimas, o pati ataka dažniausiai trunka žaibiškai, kadangi negalima leisti aukai susiorientuoti esamoje situacijoje.

Tarkime, jog didelės ir gerai žinomos kompanijos darbuotojas Jonas Jonaitis, kuria naują ypač slaptą produktą, kurio detalėmis elektroniniu paštu dalinasi tik su įmonės direktoriumi Petru Petraičiu. Konkurentai neriasi iš kailio ir taiko visas įmanomas priemones, kad nors akies krašteliu galėtų pamatyti būsimo produkto detales, todėl pasamdo įsilaužėlį, kuris nieko nelaukęs nutaria pasinaudoti el. pašto klastojimo ataka ir taip gauti konfidencialią informaciją. Įsilaužėlis nusiunčia užklausimą į jonas.jonaitis@korporacija.lt ir petras.petraitis@korporacija.lt elektroninio pašto adresus. Netrukus gavęs atsakymą, jis atidžiai peržiūri laiškų antraštes:

Return-Path: <jonas.jonaitis@korporacija.lt>
X-Original-To: hacker@cyberdelia.lt
Delivered-To: hacker@cyberdelia.lt
Received: from korporacija (localhost.korporacija.lt [127.0.0.1])
by cyberdelia.lt (Postfix) with ESMTP id 0A1073C665
for <hacker@cyberdelia.lt>; Sat, 8 Dec 2007 03:17:40 +0200 (EET)
Message-ID: <000f01c83938$1985cc90$1a707758@korporacija>
Reply-To: ”Jonas Jonaitis” <jonas.jonaitis@korporacija.lt>
From: ”Jonas Jonaitis” <jonas.jonaitis@korporacija.lt>
To: ”hacker” <hacker@cyberdelia.lt>
References: <3ECE0435844748C496ECC4174EBE1254@korporacija>
Subject: Re: Apklausa
Date: Sat, 8 Dec 2007 03:17:27 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”----=_NextPart_000_000C_01C83948.DBF7AE50”
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198

Return-Path: <petras.petraitis@korporacija.lt>
X-Original-To: hacker@cyberdelia.lt
Delivered-To: hacker@cyberdelia.lt
Received: from korporacija (localhost.korporacija.lt [127.0.0.1])
by cyberdelia.lt (Postfix) with ESMTP id 90F523C665
for <hacker@cyberdelia.lt>; Sat, 8 Dec 2007 03:29:32 +0200 (EET)
Reply-To: <petras.petraitis@korporacija.lt>
From: ”Petras Petraitis” <petras.petraitis@korporacija.lt>
To: ”hacker” <hacker@cyberdelia.lt>
References: <253DE49B7D7D4494A54E9436497ADE47@cyberdelia>
Subject: RE: Apklausa
Date: Sat, 8 Dec 2007 03:29:20 +0200
Message-ID: <000301c83939$c24303b0$1a707758@cyberdelia>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”----=_NextPart_000_0004_01C8394A.85CE44B0”
X-Mailer: Microsoft Office Outlook 11
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
Thread-Index: Acg5ObtlYfm3RcdzTrSdDLBfGXCqYwAAAPIg
In-Reply-To: <253DE49B7D7D4494A54E9436497ADE47@korporacija>

Labiausiai įsilaužėlį džiugina Jono Jonaičio laiško „X-Mailer“ antraštė, nes jis gerai žinojo, jog „Microsoft Outlook Express 6“ turi dizaino pažeidžiamumą, leidžiantį tam tikru būdu suklastoti „Reply-To“ antraštę. Atakos esmė yra ne šiaip suklastoti siuntėjo adresą, bet taip, kad aukai atrodys, jog atsakytas laiškas nukeliaus patikimam adresatui, o iš tikro -įsilaužėliui. Tai įmanoma, nes „Microsoft Outlook Express 6“ gautame laiške informaciją apie siuntėją, jo vardą ir el. pašto adresą, rodo tik iš „From“ antraštėje esančių duomenų, o atsakant naujos žinutės lange lauke „To:“ rodo tik „Reply-To“ antraštėje esantį vardą, pavyzdžiui, „Petras Petraitis“ <hacker@cyberdelia.lt> bus atvaizduojamas tik „Petras Petraitis“. Belieka apsimesti kompanijos direktoriumi ir paprašyti darbuotojo atsiųsti naujausias projekto detales.

Įsilaužėlis sukonfigūruoja el. pašto klientą, atkreipkite dėmesį į paryškintą lauką:

Kompanijos darbuotojas gauna laišką, kuris atrodo įprastai ir nesukelia jokio įtarimo:

Nedvejodamas darbuotojas siunčia slapto projekto medžiagą, kaip jam atrodo, kompanijos direktoriui:

Įsilaužėlis gauna projekto detales ir perduoda užsakovui. Prireiks šiek tiek laiko, kol kompanijos darbuotojas pastebės duomenų vagystę, tačiau jau bus per vėlu. Elektroninio pašto siuntėjo adreso klastojimas nėra naujiena, tačiau tekste aptarta ataka nuo įprastos skiriasi tuo, kad vykdant šią ataką įsilaužėlis turi galimybę gauti atsakymą į savo elektroninio pašto dėžutę ir toliau tęsti susirašinėjimą su auka. Paprastos elektroninio pašto siuntėjo klastojimo atakos metu yra suklastojamas tik siuntimo adresas, todėl atsakymai į tokį laišką keliauja tikrąjam siuntėjui, t.y. Petrui Petraičiui.

Vardas:
Komentaras:

Apie autorių

Komentarai