Независимый турецкий исследователь Ютку Сен (Utku Sen) известен благодаря тому, что в конце 2015 года он создал и опубликовал в открытом доступе опенсорсных шифровальщиков Hidden Tear и EDA2. Но на этот раз проблема, обнаруженная Сеном, не связана с вымогательским ПО. Исследователь тестировал работу спам-фильтров Outlook 365, Gmail и «Яндекс», используя инструмент Social Engineering Email Sender (SEES). В какой-то момент Сен заметил, что после DomainKeys Identified Mail (DKIM) «Яндекс» пометил некоторые из его фишинговых посланий как легитимные, отметив их специальной зеленой иконкой.

5

Оказалось, что такие пометки получили письма, замаскированные под сообщения, отправленные с адресов microsoft.com, и все они были перенаправлены на «Яндекс» через Outlook 365. Заинтересовавшись данной особенностью, исследователь обнаружил, что и Gmail так же воспринимает такие послания как легитимные, однако метод срабатывает только в том случае, когда сообщения якобы исходят с адресов microsoft.com, послания с других доменов неизменно оказывались в папке «Спам».

Самостоятельно понять, в чем проблема, Сен не сумел. Ему помог один из пользователей Reddit, известный как ptmb. Он выдвинул теорию, что Outlook, очевидно, подписывает пересылаемые сообщения собственным DKIM-ключом.

«Вы просто получаете доказательство подлинности не от оригинального отправителя, а от того,  кто переслал письмо. Так как Outlook  слепо подписывает все пересылаемые сообщения, письма, которые якобы были отправлены с адресов вида чтонибудь@microsoft.com, по случайному стечению обстоятельств получают подлинную DKIM-подпись Microsoft, хотя оригинальное послание было совсем не от Microsoft», — объясняет ptmb.

Сен уведомил Microsoft и «Яндекс» о своей находке еще в сентябре 2016 года. В Microsoft подтвердили, что такая проблема действительно есть и представили исправление в конце октябре. Также зеленая иконка, которую по ошибке получали фишинговые послания, пропала и из «Яндекса», однако Сен не уверен, что это связано с его обращением.

1 комментарий

  1. Jeffrey Davis

    24.11.2016 at 11:21

    Rulez.

    Outlook слепо подписывает все пересылаемые сообщения, письма, которые якобы были отправлены с адресов вида чтонибудь@microsoft.com

    Именем Micro$oft — выдать верительную грамоту.
    Просто шикарно.

Оставить мнение

Check Also

В коде новой малвари для macOS найдены куски, датированные 1998 годом

Исследователи Malwarebytes обнаружили новую малварь для macOS, которая шпионит за биотехно…