Dziękujemy Państwu za wiadomości zwrotne, w których informujecie nas o swoich problemach. Wiemy, że czujecie się zagubieni i nie wiecie w jaki sposób weryfikować otrzymane listy. Cóż, prostego rozwiązania nie ma. Internet rozwija się wielokierunkowo i stanowi dziś arenę działań we wszystkich obszarach działalności człowieka. Legalnych i nielegalnych. Z naszej strony robimy wszystko co jest w naszej mocy. Skazani jednak jesteśmy na działania post factum.
Nie oznacza to jednak, że nie mamy jak się bronić. My, administratorzy bezpieczeństwa opieramy się przede wszystkim na analizie przebytej drogi przez email. I tutaj postaram się Państwu pokazać jak wielką wiedzę dostarcza nam każda otrzymana wiadomość.
Zanim jednak zaczniemy muszę wyjaśnić kilka ważnych spraw. Każda wiadomość email nadana jest z adresu nadawcy i kierowana do jednego lub więcej odbiorców – adresatów. Treść emaila składa się z trzech głównych sekcji:
historia przebytej drogi w Internecie, zapisy wykonanych operacji przez poszczególne systemy uczestniczące w transferze;
nagłówek wiadomości zawierającego adresy nadawcy i odbiorców, tytuł oraz szereg danych pomocniczych jak przykładowo unikalny identyfikator o nazwie MESSAGE_ID;
treść wiadomości
Korzystając z poczty internetowej standardowo mamy dostęp do części danych z nagłówka oraz samej treści. Czyli programy pocztowe wyświetlają nam kto jest nadawcą wiadomości, jaki jest tytuł wiadomości, ewentualnie do kogo jest adresowana oraz treść wraz z wszystkimi załącznikami. Jeśli takowe istnieją. Wszystkie inne dane standardowo są przed nami ukryte. I w większości przypadków zupełnie niepotrzebne. Jednak życie pokazuje, że czasami musimy wykazać się sprytem użytkownika i wykorzystać normalnie ukryte przed nami informacje. Dzięki nim z dużą dozą prawdopodobieństwa możemy stwierdzić czy dana wiadomość stanowi próbę zagrożenia nam. Bo jak się szybko Państwo przekonacie, rzeczywiste adresy nadawcy i odbiorców wymienione w sekcji nagłówka nijak się mają do adresów zastosowanych w komunikacji między-serwerowej. W zasadzie nie mają się w ogóle. Posiadając wiedzę o budowie protokołu pocztowego SMTP (Simple Mail Transfer Protocol) możemy wysłać wiadomość podając zupełnie inne adresy w nagłówku wiadomości niż adresy przekazane podczas transferu do serwera. Ten prosty zabieg pozwala nam przede wszystkim zaciemnić rzeczywistego nadawcę podkładając nazwę przyjazną i eliminującą naszą czujność. Oczywiście sprawa nie jest tak prosta jak tutaj piszę. Serwery internetowe wyposażone są w wiele zaawansowanych mechanizmów uniemożliwiających wiele tego typu nadużyć. Niestety nie są w stanie wyeliminować całego zagrożenia. I zdarza się, że co jakiś czas wpadnie nam niebezpieczna wiadomość.
Tyle tytułem wprowadzenia. Przechodzimy do najważniejszego, czyli pierwszej procedury kontrolnej jaką każdy użytkownik może wykonać. Jako przykład wezmę pod lupę próbę podszycia się pod operatora Państwa poczty internetowej. Nagłówek listy wygląda następująco:
Od: Administrator systemu <admin@telvinet.pl>
Temat: Twoje konto zostanie zawieszone!!!
Treść wiadomości (z wyciętym niebezpiecznym linkiem):
Drogi właścicielu konta,
Twoje konto zostanie zawieszone w ciągu 48 godzin z powodu podejrzanych działań w twojej skrzynce pocztowej, Administrator wykrył inregullat acttivites w twojej skrzynce pocztowej. PROSZĘ KLIKNIJ TUTAJ , Aby ponownie zweryfikować konto e-mail w celu uniknięcia zawieszenia konta
Z poważaniem,
Administrator poczty e-mail.
Jak widać powyżej już sama treść powinna wzmóc naszą czujność. Zanim jednak cokolwiek dalej wykonamy spróbujmy dowiedzieć się skąd wiadomość do nas dotarła. Wyświetlamy więc źródło wiadomości. W większości programów wystarczy wywołać menu „Widok” → „Źródło wiadomości”. Ukaże nam się tekst podobny do poniższego fragmentu:
X-Account-Key: account15
X-Mozilla-Keys:
Return-Path: <XXXXXXXXXXXX@domena.pl>
Received: from lmtpproxyd (frontend.internal.telvinet.pl [10.10.5.98])
by websrv15.telvinet.pl (Cyrus v2.4.16-Debian-2.4.16-4+deb7u2) with LMTPA;
Thu, 18 Oct 2018 02:26:31 +0200
X-Sieve: CMU Sieve 2.4
Received: from barracuda.telvinet.pl (barracuda.internal.telvinet.pl [10.10.5.6])
by frontend (Cyrus v2.4.16-Debian-2.4.16-4+deb7u2) with LMTPA;
Thu, 18 Oct 2018 02:26:30 +0200
Received: from localhost (wolf.telvinet.pl [91.213.96.4])
by smtp.telvinet.pl (Postfix) with ESMTP id EFB21225DBD3
for <uzytkownik@barracuda.telvinet.pl>; Thu, 18 Oct 2018 02:26:30 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at telvinet.pl
Received: from barracuda.telvinet.pl ([91.213.96.6])
by localhost (wolf.telvinet.pl [91.213.96.4]) (amavisd-new, port 10024)
with LMTP id 7q71AZoEe2vQ for href="mailto:uzytkownik@barracuda.telvinet.pl"><uzytkownik@barracuda.telvinet.pl>;
Thu, 18 Oct 2018 02:26:30 +0200 (CEST)
Received-SPF: none (domena.pl: No applicable sender policy available) receiver=barracuda.telvinet.pl; identity=mailfrom; envelope-from="xxxxxx@DOMENA.pl";
helo=mail.serwer_nadawczy.pl; client-ip=1.2.3.5
X-Greylist: from auto-whitelisted by SQLgrey-1.6.8
Received: from mail.serwer_nadawczy.pl (mail.serwer_nadawczy.pl [1.2.3.5])
by barracuda.telvinet.pl (Postfix) with ESMTP id 7DF17225DBAD
for <inny.uzytkownik@domena.pl>; Thu, 18 Oct 2018 02:26:28 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by mail.serwer_nadawczy.pl (Postfix) with ESMTP id 5C4B52E457BD;
Thu, 18 Oct 2018 02:26:03 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail.serwer_nadawczy.pl
Received: from mail.serwer_nadawczy.pl ([127.0.0.1])
by localhost (mail.serwer_nadawczy.pl [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id wo1_L_WkAC-Q; Thu, 18 Oct 2018 02:26:02 +0200 (CEST)
Received: from [10.253.202.110] (unknown [1.2.3.4])
(Authenticated sender: NAZWA@DOMENA_NADAWCY)
by mail.serwer_nadawczy.pl (Postfix) with ESMTPSA id E1C422E4509B;
Thu, 18 Oct 2018 02:14:59 +0200 (CEST)
Content-Type: multipart/alternative; boundary="===============0832335143=="
MIME-Version: 1.0
Subject: Twoje konto zostanie zawieszone!!!
To: Recipients <XXXXXXXXXXXX@domena.pl>
From: Admin <admin@telvinet.pl>
Date: Thu, 18 Oct 2018 01:14:52 +0100
Reply-To: noreply@webmaster.pl
X-Antivirus: Avast (VPS 181017-8, 10/17/2018), Outbound message
X-Antivirus-Status: Clean
Message-Id: <20181018002603.5C4B52E457BD@DOMENA_NADAWCY>
X-EsetId: 37303A2949C75B63657D65
Nas interesują linie zaczynające się słowem „Received”. Przy czym analizujemy je w kolejności odwrotnej. Schodzimy więc w dół tekstu i odnajdujemy pierwsze wystąpienie słowa „Received”. W powyższym przykładzie będzie to rekord:
Received: from [10.253.202.110] (unknown [1.2.3.4])
(Authenticated sender: NAZWA@DOMENA_NADAWCY)
by mail.serwer_nadawczy.pl (Postfix) with ESMTPSA id E1C422E4509B;
Thu, 18 Oct 2018 02:14:59 +0200 (CEST)
I już widzimy, że list został wysłany przez serwer mail.serwer_nadawczy.pl autoryzując się na prawdopodobnie przejęte dane dostępowe użytkownika NAZWA@DOMENA_NADAWCY. Widzimy więc, że niniejsza wiadomość nie może pochodzić od firmy TELVINET. W żadnym razie administrator nie wysyłałby listu korzystając z obcego konta użytkownika na obcym serwerze.
Mamy tutaj ewidentny przypadek wykorzystania skradzionego hasła do konta pocztowego. Nadawca wykorzystał istniejącego użytkownika do wysłania wiadomości celem uzyskania kolejnych danych dostępowych. W tym przypadku odbiorcy, który w swojej nieświadomości i co by nie napisać, naiwności podałby swoje hasło stając się kolejną ofiarą.