Еженедельный розыгрыш денег Участвовать

Фильтры сервиса Gmail не отсеивают замаскированные сообщения, выдающие себя за ящики gmail.com

Дата: 13.02.2017

Ренато Марино, возглавляющий компанию из Бразилии Morphus Labs заявил, что все усилия администрации Google оказались тщетными, а поэтому фильтры по-прежнему остаются неэффективными, поддаваясь на уловки классического спуфинга. Как показывает практика, все сообщения, которые отображаются в разделе «Входящие» в системе Gmail, могут оказаться поддельными, даже если они исходят от знакомых контактов и помечены грифом «Важное». Мошенники теперь научились подделывать подобную почту для рассылки спам-сообщений.

По мнению господина Марино, потенциальная жертва даже не будет догадываться об опасности, так как перед ней не появится предупреждения о рисках. Единственным шансом определения мошенника останется строка «Отправитель», где будет указана достоверная информация о том, что письмо послано с другого сервера. В то же время, мобильные приложения на популярных операционных системах не предложат пользователю даже такой возможности.

Бразильский функционер отмечает, что недостатком системы безопасности является Simple Mail Transfer protocol, который отвечает за передачу таких данных, как «Mail From» (ответная отправка при невозможности доставки). Также он содержит сведения «RCPT to» (ящик адресата) и Data (сведения серверу о факте получения информации). Чаще всего данные поля «Отправитель» полностью совпадают с информацией SMTP Mail From. Господин Марино утверждает, что эту сведения в состоянии создать как пользователь, так и система, которая отправляет соответствующую команду серверу. Хакеру достаточно изменить информацию в поле «Отправитель» на любую другую, но в подобном случае сработает защитный фильтр Gmail.

По мнению исследователя, есть такой способ, который не вызовет подозрения у системы защиты. Злоумышленник отправляет спуфинговое письмо со стороннего домена, заменив информацию в Mail From. Чтобы реализовать такой сценарий, используется SPF (аналог записи DNS, который определяет, какие сервера входят в перечень разрешенных для отправки от имени домена). Хакеру достаточно подделать адрес, чтобы скрыть его под ширмой «@gmail.com» и использовать SPF. Далее, исходный почтовый сервер обратится к Gmail, говоря о желании доставить сообщение. Истинный Gmail обрабатывает сообщение и делает запрос спамеру на возможность использовать этот адрес для рассылки сообщений, и тот же злоумышленник подтверждает его. Поэтому пользователи получат на почту письмо, скрытое под адрес @gmail.com, но на самом деле представляющее собой очередной спам.