Analiz Son yirmi yılda, e-postayı daha güvenli hale getirmek için çaba gösterildi. Ne yazık ki, bir araştırmaya göre, bu dönemde uygulanan SPF, DKIM ve DMARC gibi savunma protokolleri, e-posta yönlendirmenin karmaşıklığı ve farklı standartlarla başa çıkamıyor.
İçinde ön baskı kağıdı Yazarlar Enze Liu, Gautam Akiwate, Mattijs Jonker, Ariana Mirian, Grant Ho, “Forward Pass: On the Security Implications of Email Forwarding Mechanism and Policy” başlıklı 8. Geoffrey Voelker ve Stefan Savage, sözde savunmaların varlığına rağmen e-posta mesajlarının kolayca sahtekarlığa konulabileceğini gösteriyor.
ABD’deki UC San Diego ve Stanford Üniversitesi ile Hollanda’daki Twente Üniversitesi’ne bağlı araştırmacılar, saldırganların e-posta yönlendirmeden kaynaklanan güvenlik sorunlarından hâlâ kolayca yararlanabileceğini ortaya koyuyor. Google Gmail, Microsoft Outlook ve Zoho gibi büyük e-posta sağlayıcılarındaki hesaplara sahte iletiler göndererek bunu gösterdiler.
SPF, DKIM ve DMARC yardımcı olur. Gönderen Politikası Çerçevesi (SPF), bir etki alanı adına e-posta gönderebilen IP adreslerinin bir listesini ayarlamanın ve yetkisiz bir IP adresinden bir mesaj aldığında alıcıların hangi işlemleri yapması gerektiğini tanımlamanın bir yolunu sağlar.
DomainKeys Tanımlı Posta (DKİM) bir iletiyi gönderen etki alanına bağlayan bir kriptografik imza oluşturur, ancak göndereni (FROM başlığı) doğrulamaz.
Etki Alanı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC), mesaj alıcısına bir mesaj kimlik doğrulama testlerini geçemezse ne yapması gerektiğini söyleyerek SPF ve DKIM üzerine kuruludur ve bunları genişletir ve bu bilgiyi gönderene geri bildirebilir.
Ancak bu savunmalar, e-posta iletmeyle başa çıkmakta zorlanıyor. Bilginlerin açıkladığı bir sorun, yönlendirmenin en az üç tarafı içermesi ve e-postanın orijinalliğine genellikle en zayıf güvenlik ayarlarına sahip tarafça karar verilmesidir.
Sahte mesajlar, hükümet, finans, hukuk ve medya kuruluşları tarafından işletilen önemli alanlardan geliyor gibi görünüyor, ancak başka bir yerden geliyor. Belgede başarılı bir saldırının verildiği bir örnek, herhangi bir uyarı bildirimi olmaksızın bir Gmail kullanıcısının gelen kutusuna teslim edilen, [email protected] olduğu iddia edilen sahte bir e-postadır.
Sahte e-postaların mümkün kıldığı türden sosyal mühendislik saldırıları, kuruluşlar ve bireyler için güvenlik sorunları oluşturmaya devam ediyor. Bu noktanın altını çizmek için araştırmacılar, araştırılan 4.000’den fazla veri ihlalinin üçte birinden fazlasında (%36) kimlik avının yer aldığını ve e-posta tabanlı saldırıların genellikle sosyal mühendislik.
Başka bir sorun da, yönlendirmenin amacının, aktaran tarafın mevcut bir iletiyi orijinal gönderen adına şeffaf bir şekilde göndermesidir. Araştırmacıların görüşüne göre bu, SPF ve DMARC’nin sahtekarlığa karşı koruma özlemlerine aykırıdır.
Araştırmacılar makalelerinde “Son olarak, e-posta yönlendirmenin tek bir standart uygulaması yoktur” diyor. Sonuç olarak, açık iletmeye izin vermeyi seçmek, uygulayan tarafın güvenliğine mutlaka zarar vermemekle birlikte, diğer e-posta hizmetleri ve kullanıcıları üzerinde aşağı yönlü bir etkiye sahiptir.
Ne yazık ki roket bilimi değil
Uzmanlar, her biri farklı bir ticari e-posta sağlayıcı grubuyla çalışan dört farklı e-posta sahtekarlığı saldırısını tanımlıyor. İşte Microsoft Outlook’u içeren bir tanesi:
Araştırmacılara göre bu teknik, Outlook, iCloud, Freemail, Hushmail, Mail2World ve Runbox dahil olmak üzere altı büyük ticari e-posta hizmetinin SPF kaydını içeren etki alanlarında – veya test edildiği sırada işe yaradı – çalışıyor.
Birkaç kişiden fazlası bu saldırıya karşı potansiyel olarak savunmasızdır. Akademisyenler, Outlook’un boyutu göz önüne alındığında, bu tekniği kullanan bir saldırganın, Alexa’nın en popüler 100.000 alanının yüzde 12’sinden fazlası için sahte e-posta gönderebileceğini söylüyor. Ve federal kurumlar tarafından kullanılan alanların yüzde 22’si dahil olmak üzere ABD .gov alanlarının yüzde 32’si bu teknik kullanılarak sahtekarlık yapılabilir.
Makale, diğer üç sahtekarlık tekniğini keşfetmeye devam ediyor. Bunlar, rahat iletim doğrulamasının kötüye kullanılmasını, ARC’deki güvenlik açıklarından yararlanmayı içerir (Kimliği Doğrulanmış Alınan Zincir) uygulamaları ve posta listeleri aracılığıyla sahte e-postaların aklanması.
Bilginler, etkilenen sağlayıcılara yönelik güvenlik açıklarını ve saldırıları açıkladıklarını ve bazılarından şimdiden yanıt aldıklarını söylüyor. Zoho’nun ARC uygulamasını düzelttiğini ve araştırmacılara bir hata ödülü verdiğini söylüyorlar.
Bu arada Microsoft, güvenlik açıklarını doğruladı ve bunları şirketin yanıltma hataları için verdiği en yüksek önem derecesi olan “Önemli” olarak belirledi ve bir hata ödülü ödedi. Posta listesi hizmeti Gaggle Mail, bildirilen kusuru doğruladı ve DMARC’yi uygulamaya başlayacağını söyledi. Gmail, farkına vardığı sorunu düzeltti. Ve Apple’ın iCloud’unun araştırmacıların hata raporunu araştırdığı söyleniyor.
“Burada açıkladığımız saldırılara açıklığı önemli ölçüde azaltacak bazı kısa vadeli azaltmalar (örneğin, açık yönlendirme kullanımının ortadan kaldırılması) olsa da, sonuçta e-posta, devam eden sahtekarlık saldırılarına etkili bir şekilde direnmek istiyorsa daha sağlam bir güvenlik temeli gerektirir. ileriye doğru,” diye bitiriyor gazete. ®