이메일 스푸핑

Email spoofing
시리즈의 일부
정보 보안
vectorial version
관련 보안 카테고리
위협
방어.

전자 메일 스푸핑위조된 보낸 사람 [1]주소를 사용하여 전자 메일 메시지를 만드는 것입니다.이 용어는, 실제로 송신자가 아닌 주소로부터 송신된 전자 메일에 적용됩니다.이 주소로 송신된 메일은 반송되거나, 신원이 위조된 관계없는 상대에게 배달될 수 있습니다.마스킹된 전자 메일은 다른 주제이며, 사용자의 일반 주소가 아닌 "마스크된" 전자 메일 주소를 제공합니다. 이 주소는 공개되지 않고(예를 들어, 수집할 수 없도록), 사용자의 실제 [2]주소로 전송됩니다.

전자 메일에 사용되는 원래 전송 프로토콜에는 인증 방법이 포함되어 있지 않습니다. 이 결함으로 인해 스팸 피싱 전자 메일이 수신자를 오인하기 위해 스푸핑을 사용할 수 있습니다.최근의 대책에서는, 인터넷 소스로부터의 이러한 스푸핑은 한층 더 어려워지고 있습니다만, 그것을 없애지는 못했습니다.사내 네트워크에서는, 그 네트워크상의 동료의 컴퓨터로부터의 스푸핑 메일로부터 방어 기능을 갖춘 것은 거의 없습니다.스푸핑 이메일에 속아 넘어간 개인이나 기업은 큰 금전적 손실을 입을 수 있습니다.특히 스푸핑된 이메일은 랜섬웨어로 컴퓨터를 감염시키기 위해 자주 사용됩니다.

기술적 세부사항

SMTP(Simple Mail Transfer Protocol) 전자 메일이 전송되면 초기 연결은 다음 두 가지 주소 정보를 제공합니다.

  • MAIL FROM: - 일반적으로 수신자에게는 Return-path: 헤더로 표시되지만 최종 사용자에게는 일반적으로 표시되지 않습니다.기본적으로는 송신 시스템이 해당 주소를 대신하여 송신할 권한이 있는지 여부를 확인하지 않습니다.
  • RCPT TO: 최종 사용자에게는 일반적으로 표시되지 않지만 "Received:" 헤더의 일부로 헤더에 표시될 수 있는 전자 메일 주소를 지정합니다.

이것들은, 종래의 종이 [3]봉투에 비유한, 「봉투」의 어드레싱이라고 불리기도 합니다.수신 메일 서버가 이러한 항목 중 하나에 문제가 있음을 표시하지 않는 한, 송신 시스템은 "DATA" 명령을 전송하고 일반적으로 다음과 같은 여러 헤더 항목을 보냅니다.

  • 발신인:Joe Q Doe <joeqdoe@example.com> 수신인에게 표시되는 주소입니다.단, 디폴트에서는, 송신 시스템이 그 주소를 대신해 송신할 수 있는 것을 체크하지 않습니다.
  • 회신처: 제인 로 <제인.Roe@example.mil > - 마찬가지로 체크되지 않음

또, 다음과 같은 경우도 있습니다.

  • 송신자 : 진조 <진.jo@example.jp > - 체크되지 않음

결과, 전자 메일 수신자는 전자 메일이 From: 헤더의 주소에서 온 것으로 간주됩니다.MAIL FROM 주소를 찾을 수 있는 경우가 있습니다.이 이메일에 회신하면 From: 헤더 또는 Reply-to: 헤더에 표시된 주소로 보내집니다.다만, 이러한 주소는 일반적으로 신뢰성이 [4]없기 때문에, 자동 바운스 메세지가 백스캐터(backscatter)를 생성하는 경우가 있습니다.

전자 메일 스푸핑은 전자 메일 주소를 위조하는 데 효과적이지만 일반적으로 전자 메일 [5]헤더의 "수신됨:" 행에서 메일을 보내는 컴퓨터의 IP 주소를 식별할 수 있습니다.그러나 악의적인 경우에는 소유자가 모르게 전자 메일을 보내는 악성 프로그램에 감염된 무고한 제3자의 컴퓨터일 수 있습니다.

스푸핑의 악의적인 사용

피싱 및 업무용 전자 메일 스캠(아래 참조)에는 일반적으로 전자 메일 스푸핑 요소가 포함됩니다.

이메일 스푸핑은 심각한 비즈니스 및 재정적 결과를 초래하는 공공 사고의 원인이 되어 왔습니다.2013년 10월 한 통신사에 보낸 이메일의 경우 스웨덴 회사 Fingerprint Cards의 것처럼 위장되었다.이메일에는 삼성이 그 회사를 인수하겠다고 명시되어 있었다.그 소식이 퍼지면서 주식 환율이 50%[6]나 급등했다.

Klez나 Sereen과 같은 말웨어는 감염된 컴퓨터 내의 전자 메일 주소를 검색하는 경우가 많습니다.이들 주소를 전자 메일의 타겟으로 사용하는 것과 동시에 송신하는 전자 메일의 신뢰할 수 있는 위조 발신기지 필드를 작성합니다.이는 이메일이 열릴 가능성이 더 높아지도록 하기 위함입니다.예를 들어 다음과 같습니다.

  1. 앨리스는 감염된 전자 메일을 받고 웜 코드를 실행하며 이 전자 메일을 엽니다.
  2. 웜 코드는 앨리스의 이메일 주소록을 검색하여 밥과 찰리의 주소를 찾습니다.
  3. 이 웜은 앨리스의 컴퓨터에서 밥에게 감염된 이메일을 보내지만 찰리가 보낸 것처럼 보이게 위조됩니다.

이 경우, Bob의 시스템이 착신 메일을 멀웨어가 포함되어 있는 것으로 검출해도, 실제로는 Alice의 컴퓨터로부터 온 것이라도, 그는 그 송신원을 Charlie로 인식합니다.한편, 앨리스는 자신의 컴퓨터가 감염되었다는 것을 모르고 있을 수도 있고, 찰리는 밥으로부터 오류 메시지를 받지 않는 한 그것에 대해 전혀 알지 못한다.

이메일 스푸핑은 스팸 및 이메일 피싱과 어떻게 다릅니까?

스팸과 스푸핑된 메시지의 주요 차이점은 스팸 발송자가 전자 메일 헤더를 편집하여 다른 사람이 보낸 것처럼 가장하지 않는다는 것입니다.피싱 전자 메일과 스푸핑 전자 메일은 모두 합법적인 보낸 사람으로부터 메시지가 전송되었다고 믿도록 다른 사람을 속이는 것을 목적으로 하고 있습니다.그러나 주요 피싱자들의 의도는 사용자의 개인 정보와 금융 정보를 침해하는 것이지만, 이메일을 스푸핑하는 것은 그들이 그렇게 하기 위해 사용하는 방법 중 하나에 불과하다.

메일 서버에 미치는 영향

기존에는 메일 서버가 메일 항목을 수락한 후 나중에 배달되지 않거나 어떤 이유로든 검역된 경우 배달되지 않은 보고서 또는 "바운스" 메시지를 보낼 수 있었습니다.이것은, 「MAIL FROM:」(일명 「Return Path」)의 주소로 송신됩니다.위조 주소가 급증함에 따라 베스트 프랙티스는 검출된 스팸이나 바이러스 [7]등에 대한 NDR을 생성하는 이 아니라 SMTP 트랜잭션 중에 이메일을 거부하는 것입니다.메일 관리자가 이 방법을 취하지 않을 경우, 시스템은 스팸의 형태로 무고한 당사자에게 "백스캐터" 이메일을 보내거나 "작업 참여" 공격을 수행하는 데 사용되는 죄를 범하게 됩니다.

대책

서버간 이메일 트래픽 암호화에 사용되는 SSL/TLS 시스템은 인증을 강제하기 위해서도 사용할 수 있지만, 실제로는 [8]거의 사용되지 않고, 그 의 다양한 잠재적인 솔루션도 주목을 끌지 못하고 있습니다.

다음과 같은 많은 방어 시스템이 널리 사용되고 있습니다.

위조 전자 메일 전송을 효과적으로 중지하려면 보낸 도메인, 해당 메일 서버 및 받는 시스템을 이러한 인증 표준으로 올바르게 구성해야 합니다.사용량은 증가하고 있지만 도메인 인증 형식이 없는 이메일의 비율은 8.[10]6%에서 거의 [11][12][13]절반으로 크게 다릅니다.이러한 이유로 수신 메일 시스템에는 일반적으로 잘못 구성된 도메인 또는 [14][15]전자 메일을 처리하는 방법을 구성하기 위한 다양한 설정이 있습니다.

업무용 이메일

비즈니스 전자 메일 침해 공격은 전자 메일 사기를 사용하여 상업, 정부 및 비영리 조직을 공격하여 대상 조직에 부정적인 영향을 미치는 특정 결과를 달성하는 사이버 범죄입니다.예를 들어 송장 사기나 스피어 피싱 스푸핑 공격 등은 다른 범죄 행위를 위해 데이터를 수집하기 위한 것입니다.e-메일 스푸핑에 속아 넘어간 기업은 추가적인 금전적, 비즈니스 연속성 및 평판에 타격을 입을 수 있습니다.가짜 e-메일은 몸값을 지불하지 않으면 운영을 중지할 수 있는 랜섬웨어의 바람직한 경로입니다.또, 소비자의 프라이버시 침해도 가능하게 됩니다.

일반적으로 공격은 선임 동료(최고경영자 등) 또는 신뢰할 수 있는 [16]고객을 부정하게 나타내는 스푸핑 전자 메일(또는 일련의 스푸핑 전자 메일)을 전송함으로써 조직 내의 특정 직원 역할을 대상으로 합니다.(이런 유형의 공격은 스피어 피싱이라고 불립니다).이메일은 지불 승인이나 고객 데이터 공개 등의 지침을 발행합니다.이메일은 종종 사회공학을 이용해 피해자를 속여 사기범의 [17]은행 계좌로 돈을 송금하도록 한다.

전 세계적으로 재정적인 영향이 크다.미국 연방수사국은 2016년 6월부터 2019년 [18]7월까지 BEC 공격과 관련된 260억 달러의 미국과 국제적 손실을 기록했다.

사고

  • 더블린 동물원은 2017년 그러한 사기 행위로 13만 유로를 잃었다.-다수는 [19]회수되었지만 총 50만 유로는 회수되었다.
  • 오스트리아 항공우주회사 FACC AG는 2016년 2월 공격을 통해 4,200만 유로(4,700만 달러)를 사취당하고 CFO와 [20]CEO를 모두 해고했다.
  • 뉴질랜드의 Te Wananga o Aotearoa는 12만 달러(NZD)[21]를 사취당했다.
  • 뉴질랜드 소방청은 2015년에 [22]5만 2천 달러를 사기당했다.
  • 유비퀴티 네트웍스는 2015년 [23]이러한 사기로 4,670만 달러를 잃었다.
  • Save the Children USA는 2017년에 [24]1백만 달러의 사이버 카메라의 희생자였다.
  • 호주 경쟁 소비자 위원회에 대한 비즈니스 이메일 침해 공격을 보고한 호주 조직은 2018년에 [25]약 2,800,000달러(AUD)의 재정적 손실을 입었습니다.
  • 2013년 Evaldas Rimasauskas와 그의 직원들은 회사의 이메일 [26]시스템에 접속하기 위해 수천 건의 사기 이메일을 보냈습니다.

「 」를 참조해 주세요.

  • 체인 레터– 여러 사람이 연속해서 쓴 레터
  • 컴퓨터 바이러스– 다른 프로그램을 수정하여 자신을 복제하고 확산시키는 컴퓨터 프로그램
  • 컴퓨터 웜– 자동 리플리케이트 멀웨어 프로그램
  • 사이버 보안 규제
  • 사이버 범죄 – 온라인 범죄의 용어
  • 도메인 이름 #도메인 이름 스푸핑– 인터넷 식별 문자열이 침해될 수 있습니다.
  • DMARC – 이메일 부정 행위를 방지하는 시스템
  • 전자 메일 인증– 전자 메일 메시지의 발신원에 대한 검증 가능한 정보를 제공하는 것을 목적으로 하는 기술
  • 속임수 – 진리로 가장한 고의로 조작된 거짓
  • Joe 작업 – 스푸핑된 송신자 데이터를 사용하여 원치 않는 전자 메일을 보내는 스팸 처리 기술
  • 피싱 – 사람을 속여 정보를 공개하려고 합니다.
  • 장난 전화 – 응답자에게 장난 전화를 걸기 위한 전화
  • 사회공학(보안) – 행동을 취하거나 기밀정보를 누설하도록 사람을 심리적으로 조종하는 것
  • 사이트 스푸핑– 독자를 오도할 목적으로 웹 사이트를 만듭니다.

레퍼런스

  1. ^ Varshney, Gaurav; Misra, Manoj; Atrey, Pradeep K. (2016-10-26). "A survey and classification of web phishing detection schemes: Phishing is a fraudulent act that is used to deceive users". Security and Communication Networks. 9 (18): 6266–6284. doi:10.1002/sec.1674.
  2. ^ Yee, Alaina (6 June 2022). "What is masked email? This new spin on an old practice supercharges your security". PCWorld.
  3. ^ Siebenmann, Chris. "A quick overview of SMTP". University of Toronto. Archived from the original on 2019-04-03. Retrieved 2019-04-08.
  4. ^ Barnes, Bill (2002-03-12). "E-Mail Impersonators". Archived from the original on 2019-04-13. Retrieved 2019-04-08.
  5. ^ "e-mail impersonators: identifying "spoofed" e-mail". Archived from the original on 2017-06-21. Retrieved 2019-04-08.
  6. ^ Mundy, Simon (11 October 2013). "Fraudsters' fingerprints on fake Samsung deal". Financial Times. Archived from the original on 2019-02-10. Retrieved 2019-04-08.
  7. ^ 'RFC3834' 참조
  8. ^ "Transport Layer Security for Inbound Mail". Google Postini Services. Archived from the original on 2016-11-11. Retrieved 2019-04-08.
  9. ^ Carranza, Pablo (16 July 2013). "How To use an SPF Record to Prevent Spoofing & Improve E-mail Reliability". DigitalOcean. Archived from the original on 20 April 2015. Retrieved 23 September 2019. A carefully tailored SPF record will reduce the likelihood of your domain name getting fraudulently spoofed and keep your messages from getting flagged as spam before they reach your recipients. Email spoofing is the creation of email messages with a forged sender address; something that is simple to do because many mail servers do not perform authentication. Spam and phishing emails typically use such spoofing to mislead the recipient about the origin of the message.
  10. ^ Bursztein, Elie; Eranti, Vijay (2013-12-06). "Internet-wide efforts to fight email phishing are working". Google Security Blog. Archived from the original on 2019-04-04. Retrieved 2019-04-08.
  11. ^ Eggert, Lars. "SPF Deployment Trends". Archived from the original on 2016-04-02. Retrieved 2019-04-08.
  12. ^ Eggert, Lars. "DKIM Deployment Trends". Archived from the original on 2018-08-22. Retrieved 2019-04-08.
  13. ^ "In First Year, DMARC Protects 60 Percent of Global Consumer Mailboxes". dmarc.org. 2013-02-06. Archived from the original on 2018-09-20. Retrieved 2019-04-08.
  14. ^ "Prevent spoofed messages with spoofed senders detection". Archived from the original on 2019-03-23. Retrieved 2019-04-08.
  15. ^ "Anti-spoofing protection in Office 365". Archived from the original on 2019-04-09. Retrieved 2019-04-08.
  16. ^ Joan Goodchild (20 June 2018). "How to Recognize a Business Email Compromise Attack". Security Intelligence. Archived from the original on 23 March 2019. Retrieved 11 March 2019.
  17. ^ "Tips to Avoid Phishing Attacks and Social Engineering". www.bankinfosecurity.com. Archived from the original on 2020-12-02. Retrieved 2020-11-17.
  18. ^ "Business Email Compromise Is Extremely Costly And Increasingly Preventable". Forbes Media. 15 April 2020. Archived from the original on 23 October 2021. Retrieved 2 December 2020.
  19. ^ "Dublin Zoo lost €500k after falling victim to cyber-scam". 22 December 2017. Archived from the original on 8 August 2019. Retrieved 23 October 2021.
  20. ^ "Austria's FACC, hit by cyber fraud, fires CEO". Reuters. 26 May 2016. Archived from the original on 21 March 2021. Retrieved 20 December 2018.
  21. ^ "Te Wananga o Aotearoa caught up in $120k financial scam". NZ Herald. Archived from the original on 20 December 2018. Retrieved 20 December 2018.
  22. ^ "Fire Service scammed out of $52,000". RNZ News. 23 December 2015. Archived from the original on 20 December 2018. Retrieved 20 December 2018.
  23. ^ Hackett, Robert (August 10, 2015). "Fraudsters duped this company into handing over $40 million". Fortune magazine. Archived from the original on 20 December 2018. Retrieved 20 December 2018.
  24. ^ Wallack, Todd (13 December 2018). "Hackers fooled Save the Children into sending $1 million to a phony account". The Boston Globe. Archived from the original on 20 December 2018. Retrieved 20 December 2018.
  25. ^ Powell, Dominic (27 November 2018). "Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated". Smart Company. Archived from the original on 27 November 2018. Retrieved 14 December 2018.
  26. ^ "Sentence in BEC Scheme". Federal Bureau of Investigation. Archived from the original on 2020-01-31. Retrieved 2020-02-01.

외부 링크