התחזות מול הדואר הארגוני

(מאמר רביעי בסדרה)

המאמרים הקודמים בהגנה על תשתית הדואר הארגוני התמקדו במספר בעיות אשר קיימות כיום, ותחילה עם סיכונים, סימולציה והגנה על תעבורת הדואר והסיכונים הרגילים בתשתית הדואר, החל מאפשרויות העברת דואר לגורם חיצוני (לפי מספר רמות) ועד ביצוע deception שונים מול תיבות דואר.

לאחר מכן עם מנגנוני זיהוי והגנה על תעבורת הדואר ובמנגנוני זיהוי המבוססים תקנים ופרוטוקולים של SPF, DKIM וכן DMARC. מנגנוני זיהוי אלה קיימים כבר למעלה מעשור ולכן אינם מותאמים למתקפות מתקדמות ואינן יודעות לעצור מקרים כגון 0-Day מול Office 365 כגון Zero Font וכן הלאה.

המאמר השלישי התמקד בתרחישים מתקדמים והגנה על הדואר והחולשות הקיימות מול שירותי הדואר השונים והאפשרויות שניתנות לביצוע מול Deception ומול חסור היכולת של מנגנוני סריקה מבוססי Sandbox לזהות מתקפות רבות.

המאמר הרביעי בסדרה יתמקד במאפייניים של דואר אשר נשלח וכן במיטיגציה של חשבונות אשר נפרצו וביצוע אוטומציה.

התחזות ומאפיינים

מתקפות דואר המבוססות על User Impersonation, כגון: business email compromise (בקצרה BEC), או CEO fraud, whaling ודומיהם נועדו לבצע מניפולציה על המשתמש וע"י כך לגרום לפעולות רגישות כגון העברת כספים.

ביצוע פעולות של Impersonation, זיופים, Deception ומתקפות מתוחכמות מול פרוטוקול הדואר כיום אינן מסובכות כלל ומאפשרות לעקוף את רובם הגדול של מערכות הגנה על הדואר כולל המתקדמות בינהן.

פעולות מתקפה על גבי תשתית הדואר כוללות בין היתר Account Take Over וגניבת זהויות, וכיום יותר קשה לזהות מתקפות מהסוג הנ"ל ובפרט כאלה שמבצעות גניבת זהויות בדגש על Reused Credentials.

באחד המאמרים שפורסמו לאחרונה הודגשו מספר מתקפות, וריאציות ומותגים שבאמצעותם מצבעים User Impersonation.
Employees report 23,000 phishing incidents annually, costing $4.3 million to investigate

על מנת לבדוק עד כמה זה פשוט אפשר לעבוד עם הכלים המובנים הקיימים ברשת המאפשרים לשלוח דרכם דואר עם אותו דומיין שכולל תצוגת שם, כתובת מייל, פורמט מתאים וכן הלאה וכל זאת בכדי שהדואר ייראה אמיתי.

בדוגמה שלפנינו ניתן לראות כי המייל אשר כולל כתובת מייל ותצוגה נראים מהימנים ואינם מחשידים, אך בפועל המייל נשלח מתוך מערכת שידעה לעקוף מספר מנגונים מוכרים ולנחות בתיבת הדואר כולל קישור מבלי שמישהו יעצור ויחשוד במשהו אינו תקין.

שליחת הדואר עם פרטים מסוימים לנמען שנמצא בשירות מול Exchange Online והגנה ע"י EOP + Symantec Email Security וכן מוגדר עם כל התקנים הרגילים של SPF, DKIM, DMARC.

הדואר שהתקבל עם כל הפרטים נכונים ועקף את כל מה שבדרך נחת בתיבת הדואר ללא בעיה.

במידה ונקח את המידע של ההודעה עצמה מתוך Internet Header נוכל לשים לב למאפיינים הבאים של השולח שהינם זהים לנמען:

• ערך RFC 5321.MailFrom – מכיל את כתובת הדואר על סמך מנגנון SMTP ולפי התקן של 5321 מכיל את הדגשים הבאים:
  • מכיל Envelope של כתובת שולח הדואר, ולמעשה ניתן לראות אותו כערך Return-Path
  • מנגנון SPF מבצע מולו בדיקת תקינות וצריך לחסום
  • רכיבים שמצבעים רשימות בטוחות (safe list) מבצעות בדיקה על ערך זה וחוסמות במידה ומוגדר
• ערך RFC 5322.From – מכיל את תצוגת הדואר על סמך מנגנון SMTP ולפי התקן של 5322 מכיל את הדגשים הבאים:
  • מכיל את תצוגת שם השולח לפי ערך From ובהתאם לכתובת הדואר
  • ערך זה אינו נבדק ולכן ניתן לזייף בכל עת

בנוסף לכך ניתן לבדוק את ערך X-Sender ולוודא על גבי אותו מאפיין מיהו השולח.

שוב מדגיש כי במקרה הספציפי הנ"ל התקנים המוכרים של SPF, DKIM, DMARC כולל הגדרות כדוגמת spf hard check אינם חסמו את שליחת הדואר לנמען ואפילו לא העבירו אותו אל תיקיית Junk.

לאחר שפריט דואר נוחת בתיבת הדואר, הדרך לזיהוי אותו מייל ע"י משתמש הקצה הוא לרוב באמצעות תצוגת שם וכתובת הדואר בלבד וכאן זה נגמר, ברוב המקים המשתמש באותו רגע יענה, ילחץ על קישורים ויבצע את הפעולה.

למה הערכים הנ"ל חשובים? כי ישנם מערכות הגנה על הדואר (אומנם בודדות) שיודעות להתמודד עם מצבים כאלה ונותנים מענה לבעיות User Impersonation באופן מלא.

למה מערכות הגנה אשר מבוססות על Business Email Compromise חשובות כל כך? כיום התבססות על תקנים או מערכות Email Gateway אינם מספיקות כלל, ולכן מערכות הגנה צריכות להיות מבוססות בין היתר על המאפיינים הבאים:

• הגנה ברמת תיבת הדואר (Mailbox Level)
• ניתוח התנהגות של כל תיבת הדואר
• יצירת fingerprint לכל תיבת דואר
• מיפוי מתמשך של שולחים ונמענים
• זיהוי אנומליה או תקיפה כלשהיא ומענה אוטומטי

איך מערכות אשר מבוססות על כל אותם מאפיינים באה לידי ביטוי? מערכות אשר פועלות ברמת תיבת הדואר עצמה ומבצעות למידה, זיהוי ומענה למתקפות למעשה מספקות הגנה לאחר שהמייל עבר את כל מערכות ההגנה שהיו וסרקו לפני כן.

לסיכום

התחזות על גבי הדואר וביצוע פעולות רגישות מול בעלי תפקידים חשובים הן בעיה יומיומית שאנו נדרשים לטפל בה בהקדם האפשרי, הגנה על הדואר היא פעולה יומיומית ומתמשכת שדורשת הגנה בהתאם.

ישנם מערכות הגנה לדואר אשר יודעות להתמודד עם הסיכונים החדשים ולבצע מיטיגציה אוטומטית וע" כך להקטין את שטח המתקפה מול הדואר הארגוני.