Antyspam, Bezpieczeństwo, Maile marketingowe, Maile transakcyjne, Wywiad

Ataki na użytkowników poczty

EmailLabs team, 11 marca 2021

Ataki na użytkowników poczty

Komunikacja mailowa często jest pełna odnośników, przycisków i wezwań do akcji. Mocno opiera się tym samym o zaufanie użytkownika. Zaufanie do tego że kiedy wykona akcję, do której próbujesz go skłonić – nie narazi go to na żadne niebezpieczeństwo. Żeby uniemożliwić potencjalnym atakującym wykorzystanie Twojej domeny i łatwe wysłanie maila w twojej własnej domenie warto jest stosować podstawowe mechanizmy zabezpieczające takie jak choćby SPF, DKIM czy DMARC. Żaden z tych mechanizmów nie chroni jednak przed użyciem nazwy która jest nie identyczna lecz łudząco podobna do Twojej! Wielu marketerów nie zdaje sobie sprawy z takich zagrożeń jak cybersquatting, typosquatting. Oto przykładowe zagrożenia.

Cybersquatting

Polega na czyhaniu na wolną nazwę domenową, łudząco podobną do Twojej, a różniącej się jedynie końcówką. Przykładowo masz domenę TwojaNazwaFirmy.pl, a ktoś rejetruje wolną TwojaNazwaFirmy.com.pl – przeciętnemu odbiorcy trudno będzie dostrzec różnicę. Tymczasem domena z końcówką .com.pl – pozostaje w pełnej dyspozycji atakującego, który może nawet mieć certyfikat SSL, aby zmniejszyć budzenie podejrzeń.

Typosquatting

Ten atak polega na wykorzystaniu łudząco podobnej domeny, w której zamieniono tylko jedną literę, jeden znak – na taki, który jest blisko tego właściwego na klawiaturze. Przykładowo: onat.pl – > onet.pl – łatwo zatem spreparować linki i zbudować stronę o łudząco podobnej zawartości.

Ataki na użytkowników poczty

Atak homofonetyczny

Ten ma mniejsze zastosowanie w mailu, polega na rejestracji domeny o brzmieniu bardzo podobnym, choć w zapisie domena może być zupełnie różna.

Atak homograficzny

To już coś, co zdecydowanie trzeba brać pod uwagę w kontekście komunikacji mailowej. Chodzi o nazwy domenowe, które są zapisane tak, żę wyglądają łudząco podobnie do tych rzeczywistych, mimo, że opierają się o inne znaki. Przykładowo 0net.pl – Onet.pl (pierwszy znak to zero lub litera “o”).

Przykładowy scenariusz ataku:

Atakujący przygotowuje kopię Twojego sklepu. Rejestruje bardzo podobną nazwę domenową, w oparciu o techniki jak wyżej. Może nawet zarejestrować certyfikat SSL.
Następnie wysyła masowo mailingi do – najczęściej nielegalnie – pozyskanych baz adresowych. Mail wygląda na wysłany od Ciebie – graficznie jest podobny, różnica to raptem jedna litera w domenie, ale przecież mało kto to zauważy…

Ufny użytkownik klika w link z reklamą produktu w świetnej cenie. Chce go zamówić na stronie, podaje więc dane logowania… logowania do Twojego sklepu! Zleca przelew. Otrzymuje potwierdzenie i fakturę wystawioną… przez Twoją Firmę (przynajmniej wg danych na fakturze)! Przecież nie będzie jeszcze płacił podatków, prawda?

W ten sposób atakujący:

  1. Pozyskał loginy i hasła (może próbować włamać się do jakiegoś serwisu, banku itp.)
  2. Zainkasował pieniądze, nie zamierzając wysyłać towaru
  3. Naraził Cię na konieczność wyjaśnień w zakresie podatków i rachunkowości
  4. Twoi klienci, w wyniku tego, że ufali Twojej marce, ale przytrafiła im się chwila nieuwagi – stracili swoje pieniądze. Mała szansa, że teraz polubią Cię jeszcze bardziej, prawda?

Jak się bronić?

Przede wszystkim – zapobiegać! Aby zapobiegać takim praktykom polecam:

  1. Rejestrację znaku towarowego (chodzi o to, żeby powiązać domenę z Twoją marką i znakiem towarowym, żeby nikt nie mógł się legalnie pod Ciebie podszywać).
  2. Rejestrację na siebie jak największej liczby podobnych domen – w ten sposób ograniczysz pole do działania ewentualnym oszustom.
  3. Listę potencjalnych zagrożeń uzyskasz z bezpłatnego narzędzia, udostępnianego przez cyberfolks.pl: Ochrona Twojej Marki.

Co zrobić, jeśli zaatakują?

Jeśli padniesz ofiarą takich działań jako firma, której “ukradziono” domenę (choć tak naprawdę mówimy tu o łudząco podobnej domenie), niezwłocznie:

  1. Poinformuj swoich klientów, wskaż im dokładnie, jak wyglądają maile od Ciebie, a jak od oszustów, pokaż, na czym polega różnica, choćby była to tylko jedna litera w nazwie domenowej.
  2. Zażądaj zaprzestania działań od oszusta – może pod wpływem pisma od Ciebie wycofa się z procederu widząc, że został “odkryty”.
  3. Skontaktuj się z prawnikiem i wspólnie oceńcie sytuację – w grę wchodzą takie zagadnienia, jak czyny nieuczciwej konkurencji, doprowadzenie do niekorzystnego rozporządzenia mieniem, naruszenie prawa ochronnego znaku towarowego, naruszenie prawa autorskiego i ewentualnie inne.

Ataki na użytkowników poczty

Najczęściej czytane