Когда дело доходит до фишинговых писем, все знают о заголовке адреса «От» электронной почты, независимо от того, было ли оно отправлено с исходного домена. Но что, если заголовок «От» можно подделать так, чтобы он выглядел так, как будто он пришел с легитимного сервера? Это будет представлять серьезную угрозу для организации.

Поддельная электронная почта может быть использована для;

1. Отправьте электронные письма сотрудникам с просьбой сбросить пароль

2. Отправлять электронные письма сотрудникам с вредоносными вложениями

3. Направлять пользователей на вредоносные веб-сайты для кражи учетных данных.

Пользователи могут стать жертвами таких атак, поскольку большинство пользователей не знают, как проверять заголовки электронной почты, например, прошло ли электронное письмо проверки SPF, DKIM и DMARC.

Как отправить поддельное электронное письмо;

Существует несколько способов отправки поддельных электронных писем, здесь я расскажу вам об одном из них.

Прежде всего, вы должны создать для себя smtp-сервер.

Вы можете создать бесплатный smtp-сервер по этой ссылке;

https://www.sendinblue.com/

После создания учетной записи перейдите в smtp & api и скопируйте учетные данные в блокнот.

Запустите следующий сценарий PHP, чтобы отправить поддельное письмо.

<?php
$email = '[email protected]';
$subject = 'Congratulations!!';
$body = 'Dear Employee, Congratulations!! You have recieved a bonus of $10000 for this month. click the link below to claim the bonus';
$headers = array(
'From: Info <[email protected]>',
'X-Mailer: PHP/' . phpversion()
);
mail($email, $subject, $body, implode("\n", $headers));
print('mail sent')
?>

Настройте $email, $subject, $body и $headers в соответствии с вашими потребностями.

Вы можете запустить этот скрипт в редакторе кода, я использовал vscode.

Примечание: для запуска вам понадобится пакет компилятора php

Получите потокобезопасный пакет отсюда;

https://windows.php.net/download/

Установите и добавьте PHP в PATH.

После установки перейдите по пути установки PHP и найдите файл php.ini.developement

Переименуйте его в php.ini и отредактируйте файл php.ini следующим образом:

Note: You will need to remove the ‘;’ to uncomment the values.

extension=curl
extension=gd
extension=imap
extension=mbstring
extension=openssl
extension=pdo_mysql

и прокрутите вниз, пока не найдете раздел «[почтовая функция]».

Укажите следующий путь для отправки почты, которая поставляется вместе с установкой xampp.

sendmail_path = C:\xampp\sendmail\sendmail.exe

И перейдите к пути отправки почты и отредактируйте файл sendmail.ini следующим образом:

smtp_server= add the smtp server that you have created previously
smtp_port= 587
auth_username= give the username from the smtp server
auth_password= give the password from the smtp server

После успешного выполнения скрипта я получу письмо с адреса электронной почты, которое выглядит как настоящее электронное письмо.

Как идентифицировать поддельную электронную почту;

  • Иногда злоумышленник изменяет законные домены, такие как [email protected], на [email protected], которые легко идентифицировать.
  • Если какие-либо ссылки присутствуют, наведите указатель мыши на ссылки, чтобы увидеть, является ли пункт назначения законным.
  • Чтобы увидеть, присутствуют ли какие-либо вложения, которые выглядят вредоносными

Как предотвратить поддельные электронные письма;

  1. Настройте протокол аутентификации SPF.
  2. Настроить проверку DKIM
  3. Настроить проверки DMARC

Мы можем настроить DMARC для доставки почты тремя различными способами, если срабатывает проверка DMARC на сбой.

  1. Режим только для отчетов (p=none). Этот режим называется политикой мониторинга, поскольку он дает представление только о том, кто отправляет электронную почту от имени домена, и не влияет на доставляемость.
  2. Режим карантина (p=quarantine): поддельная электронная почта будет помещена в карантин и будет доставлена ​​в папку "Спам" или "Нежелательная почта" почтового ящика пользователя, если проверка DMARC не пройдена.
  3. Режим отклонения (p=reject): сервер назначения отклоняет сообщение электронной почты, и оно не будет доставлено пользователю. Этот режим полностью снизит влияние спуфинга.

Некоторая электронная почта, отправленная непосредственно из источника после компрометации smtp-сервера, в этом случае только анализ заголовка электронной почты не может определить, является ли электронная почта законной, поскольку проверки SPF, DKIM и DMARC пройдены.

если вы знаете другие способы отправки поддельных электронных писем, не стесняйтесь комментировать.

если вам понравилась эта статья, пожалуйста, дайте мне пару аплодисментов и не забудьте также подписаться на меня.

найди меня на YouTube;



FrosKyG
обучение и образование в области кибербезопасностиwww.youtube.com