Глава бразильской компании Morphus Labs Ренато Марино (Renato Marinho) заметил, что, невзирая на все старания разработчиков Google, почтовые фильтры Gmail по-прежнему можно обмануть, используя обычный спуфинг.
«Мы выяснили, что сообщения, которые вы видите в папке “Входящие” в Gmail, даже с пометкой “Важное” и якобы исходящие от одного из ваших Gmail-контактов, могут оказаться подделкой, созданной мошенниками или киберпреступниками», — пишет Марино.
Исследователь поясняет, что в таком случае жертва не увидит никаких предупреждений от Gmail, что особенно опасно. Единственным намеком на подделку будет информация поля «Отправитель»: там можно заметить, что письмо пришло с другого сервера. Впрочем, в мобильных приложениях (iOS И Android) нет даже такой возможности.
Марино объясняет, что проблема кроется в механике работы Simple Mail Transfer Protocol (SMTP). Так, SMTP передает такую информацию, как Mail From (обратный адрес, в случае невозможности доставки), Rcpt to (адрес получателя) и Data (команда SMTP-серверу о получении контента сообщения). Значение поля «Отправитель», как правило, эквивалентно SMTP Mail From. Марино пишет, что «задать его свободно может как человек, так и система, передав команду SMTP-серверу». По сути, атакующему нужно изменить значение поля «Отправитель» на желаемое и дело в шляпе, но такая прямая подмена вызовет срабатывание защитных механизмов Gmail.
Исследователь рассказывает, что есть и другой способ. Атакующий может попытаться отправить спуфинговое сообщение от имени другого домена, изменив значение Mail from. Для этого можно задействовать механизм SPF (Sender Policy Framework). SPF является разновидностью записи DNS и указывает, каким почтовым серверам разрешено отправлять электронную почту от имени домена. Схему атаки можно увидеть на заглавной иллюстрации.
Фактически атакующий должен сначала подделать адрес, выдав письмо за сообщение с ящика @gmail.com. Затем нужно задействовать SPF. Для этого почтовый сервер спамера обращается к Gmail, сообщая, что хочет доставить сообщение со своего домена, например, Im-a-spammer.com, но адрес при этом подменяется на фальшивый Gmail. Настоящий Gmail, в свою очередь, обрабатывает запрос от Im-a-spammer.com, проверяя, имеет ли сервер спамера право отправлять сообщения, что, конечно же, подтверждает спамер. В итоге в папку «Входящие» жертвы попадает письмо, якобы отправленное с адреса @gmail.com, и лишь в веб-интерфейсе почты можно заметить приписку «via [адрес домена]».
«Во время экспериментов мы обнаружили интересный сценарий, в ходе которого Gmail обнаруживает подделанные сообщения. Это происходило, когда мы пытались подделать адрес, которого не существует в пользовательской базе Gmail. В данном случае, в отличие от других сценариев, Gmail направляет сообщение в директорию “Спам” и добавляет к нему предупреждение, гласящее, что не удалось установить, действительно ли данное письмо пришло с gmail.com», — пишет специалист.
Эксперты Morphus Labs связались с разработчиками Google, сообщив о баге, но те ответили, что находку нельзя классифицировать как проблему с безопасностью, ведь она не влияет на конфиденциальность и сохранность пользовательских данных.
В конце отчета Малино отмечает, что Yahoo отвергает такие поддельные послания, а Microsoft Outlook направляет их прямиком в папку «Спам».
