Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Marek odebrał niby zwykły e-mail z tytułem: „Zapytanie ofertowe dla projektu w Lublinie” – w środku malware.

20 czerwca 2023, 08:38 | W biegu | komentarzy 21
Tagi:

Takich historii będzie coraz więcej. Jeden z czytelników przesłał nam próbkę takiego e-maila:

W sumie napisane całkiem po polsku. No może pewną konsternację budzi fragment: „będziemy naprawdę wdzięczni”.

Jeśli spojrzymy na ustawienia DNS domeny rpol.com.pl (rekord TXT), to zobaczymy tam wpis SPF, jednak kończący się słowem kluczowym ?all – czyli nie dający zupełnie nic. Albo inaczej – dający możliwość podszycia się pod tę domenę w kontekście nadawcy e-maila.

I właśnie w ten sposób ktoś wysyłając emaila widocznego powyżej, podszył się pod adres w domenie rpol.com.pl (czyli email nie był wysłany z domeny rpol.com.pl – a przez zupełnie zewnętrznego atakującego).

Serwer pocztowy odbiorcy wprawdzie wyłapał próbę oszustwa (w nagłówkach widać test sprawdzenia w postaci spf=fail), ale jednak dostarczył emaila (to problem konfiguracyjny po stronie odbiorcy).

Aktualizacja: po naszym wpisie, domena posiada już poprawną wartość parametru all (czyli -all).

Co w załączniku – zapytaniu ofertowym.gz ? W zasadzie znany już od wielu dni malware (skrypcik VBS)…:

Uważajcie na zapytania ofertowe z podejrzanymi załącznikami, nawet jak wyglądają one na wysłane od prawdziwego zainteresowanego naszymi produktami / usługami. ~Problemy mogą tutaj być co najmniej dwa:

a) Niepoprawnie skonfigurowana domena (np. niekorzystanie z mechanizmu SPF lub niepoprawnie skonfigurowany mechanizm SPF) – wtedy będzie można w łatwy sposób wysyłać e-maile wyglądające jakby rzeczywiście były wysłane z naszej firmy (a nie są). Przy okazji warto się również zainteresować mechanizmami DMARC/DKIM.

b) Skonfigurowanie naszych serwerów pocztowych tak, aby przynajmniej w odpowiedni sposób traktowały (np. oznaczały jako spam) e-maile, które naruszają skonfigurowaną politykę SPF.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. BiedronkawLidlu

    Malo ktory admin ogarnia DNSa. Wiekszosc mysli, ze to tylko rozpoznaje nazwy w jedna i druga strone i tyle. Spytaj o rekordy dkmf spf CAA itp… to pomysla, zes egzorcysta xD

    Odpowiedz
  2. Piotr

    A „~all” na końcu też umożliwia podszycie się pod domenę?

    Odpowiedz
    • Paweł

      Zawsze powinien być all, ale w dwóch różnych wariantach:
      ~all – Jeśli IP nie ma w spf to oznaczony mail zostanie jako podejrzany
      -all – jeśli IP nie ma to serwer powinien odrzucić tego maila
      Oczywiście to zalecenie dla Sewera nie reguła.

      Odpowiedz
      • tak, optymalne ustawienie to -all

        jak ktoś chce na szybko sprawdzić swoją domenę to polecam: $ dig TXT tu-moja-domena.pl
        + poszukać ustawień SPF

        Odpowiedz
      • Piotr

        Dzięki. To jako laik będę uważał tylko na „?all”. :-)

        Odpowiedz
  3. Interesant

    Jak się przed tym zabezpieczyć? Rozumiem, że chodzi o ten kluczowy wpis: 3600 IN TXT „v=spf1 ip4:62.121.128.0/20 -all”. Podrzucicie jakąś literaturę w tej sprawie?

    Odpowiedz
    • Ryszard S. Klanu

      A co ty internetu nie masz czy nie umiesz go oblugiwac?
      Wpisz sobie w Google: spf configuration tool

      Odpowiedz
  4. abc

    ile siana z tego im może wpłynąć?

    Odpowiedz
    • Ryszard S. Klanu

      Kiedys gdzies czytalem, ze skutecznosc spamu (wiem, ze to nie spam) wynosi 1%, co przy 10mln wyslanych wiadomosci moze sie okazac nawet sukcesem.

      Odpowiedz
  5. Michał

    Pozostaje pogratulować adminowi serwera poczty, który przyjął vbs spakowany gzipem. Jest prawdziwym bofhem!

    Odpowiedz
    • Ryszard S. Klanu

      Wiesz, pracowalem w firmie w ktorej zgodnie z panujacym trendem admin dodal taki naglowek do kazdej wiadomosci mowiacy o tym, ze ta pochodzi z zewnatrz itp. Przyszedl CEO i powiedzial, zeby to wylaczyc bo brzydko wyglada. Tu tez mogl przyjsc ktos wladny i powiedziec, ze nie chcemy stracic zadnej wiadomosci od potencjalnego klienta i cyk masz. Ja jak widze cos takiego to zmieniam firme ale nie kazdy moze/chce.

      Odpowiedz
  6. Artek

    „W sumie napisane całkiem po polsku. No może pewną konsternację budzi fragment: „będziemy naprawdę wdzięczni”.”

    Dla mnie większą konsternację budzi „Dziękujemy,” zakończone niczym, „Dziękuję Pozdrawiam” w podpisie, załącznik w formacie .gz i fakt, że treściowo mail jest totalnie pusty i nijak nie wyjaśnia, o co właściwie chodzi. To powinno z automatu do spamu trafić.

    Poza tym co oznacza „Do:” w nagłówku? „Tomasz Kowalczuk” sam do siebie tą wiadomość wysłał czy jak?

    Odpowiedz
  7. davee

    Z tym wpisem DNS ktoś poleciał skoro SPF nie kończy na „?all” tylko „-all”

    Odpowiedz
    • Paweł

      A w tym przypadku na ~all

      Odpowiedz
  8. Magda

    Też w firmie dostaliśmy i było „od zaufanego kontrahenta”. A że pracownicy mają zainstalowanego WinRara to gz otwierali. Na całe szczęście nikt nie otwierał samego skryptu.
    Treść podobna:
    Witam
    Proszę o podanie najlepszej oferty i czasu dostawy na załączoną listę przedmiotów.
    Twoja szybka odpowiedź będzie bardzo doceniona.
    Dziękuję.”
    I co ciekawe, firma również była z Mielca i nawet z tej samej ulicy.

    Odpowiedz
    • Arkadiusz

      To zdanie aż boli (kalka z angielskiego):

      Twoja szybka odpowiedź będzie bardzo doceniona.

      Że tyko wymianę najważniejsze:

      – „twoja” a czyja ma być? Ziutka z 2 piętra?
      – stona bierna.

      Ale coraz więcej jest z translatora i się powoli przyzwyczajamy

      Odpowiedz
  9. Adrian Du*a

    Rano był „X”, teraz jest „Marek”
    Może ustalmy konkretnie o kogo chodzi ? może ani X, ani Marek a był to Janusz ? Takie szlachetne imię – Janusz

    Odpowiedz
    • Czasem rzeczywiście zmieniamy imiona. Bez dalszego komentarza.

      Odpowiedz
  10. Tommy Gun

    Zła konfiguracja serwerów pocztowych to raz, ale jaki admin pozwala odpalać skrypty VBS na podległym mu sprzęcie?

    Odpowiedz
  11. Adam

    To samo wysłali do firmy w której jestem informatykiem. Nota bene sam też to dostałem i się zorientowałem że to atak. Łącznie na 20 osób 9 to otrzymało. Dzwoniłem do Rpola ale nie odbierali wiec wysłałem im mail. Odpowiedzieli, że zajmą się zabezpieczeniem.

    Odpowiedz
  12. Dominik

    Sporo w ostatnim czasie takich e-mail, plus taki że na laptopie, program antywirusowy od razu wyłapuje. Gorzej w smartfonie.

    Odpowiedz

Odpowiedz