Az egyik legijesztőbb pillanat, amikor megnyitjuk a levelezőnket, és azt látjuk: email érkezett a saját címünkről. Az első gondolat sokszor az, hogy „Jézusom, feltörték a fiókomat!”. Pedig a legtöbb esetben nem erről van szó.
A jelenség mögött sokszor az email rendszer egyik alapvető sajátossága, a feladó mező (From:) szabad beállíthatósága áll.
Bárki beállíthat bármilyen címet feladónak
Az email protokollok az 1970-es években születtek, amikor az internet még kicsi és bizalmi alapú közeg volt. Akkoriban senki nem számított arra, hogy valaki visszaél majd azzal a lehetőséggel, hogy a feladó mezőt gyakorlatilag tetszőleges értékre lehet állítani.
Ez azt jelenti, hogy egy támadó a saját levelezőszoftverében vagy küldőprogramjában simán beírhatja, hogy az email „feladója” mondjuk felhasznalo@mintakft.hu – még akkor is, ha semmi köze nincs a címhez.
A trükk bökkenője: a válaszok nem hozzá mennek
Amikor valaki hamisítja a feladót, az email ugyanúgy megjelenik a saját postaládánkban, mintha mi magunk küldtük volna magunknak, de:
- A válaszcím (Reply-To) gyakran más lehet, mint a feladó.
- A levelezés technikai sorai, vagyis az email fejlécek (headers) között látszik az igazi küldő szervere és IP-címe – ez az ún. envelope sender.
- Ez nem jelenti azt, hogy a fiókunkból bármi is kiment volna.
Hogyan lehet ez ellen védekezni? – SPF és DKIM
Az email-ipar felismerte, hogy ez a „bárki bármit beírhat” helyzet hosszú távon fenntarthatatlan. Így jöttek létre különféle technológiák, például az SPF és a DKIM.
SPF (Sender Policy Framework)
Az SPF egy DNS-bejegyzés, amely megmondja, hogy mely szerverek jogosultak a te domain-ed nevében emailt küldeni. Ha egy email olyan szerverről érkezik, ami nincs az engedélyezett listán, a fogadó fél gyanúsnak minősítheti, a spam szűrők megjelölhetik, vagy akár ki is törölhetik beállítástól függően.
DKIM (DomainKeys Identified Mail)
A DKIM digitális aláírást ad az emailhez. A küldő szerver egy titkos kulccsal írja alá az üzenet bizonyos részeit, a fogadó szerver pedig a publikus kulccsal ellenőrzi, hogy:
- valóban az adott domain küldte-e,
- és hogy az üzenet nem módosult útközben.
De sajnos ezek az SPF / DKIM védelmek sem tökéletesek
Bár az SPF és DKIM nagyon hasznosak, nem mindenki használja őket, és a rosszul konfigurált beállítások is gyakoriak. Ráadásul a támadók sokszor nem is próbálnak megfelelni ezeknek a szabványoknak, hanem egyszerűen remélik, hogy a leveled fogadó szervere nem szűri ki őket. Olyan sok levelet küldenek ki, hogy ha azoknak csak egy ezreléke eljut a címzettekhez, az nekik már siker, mert a technikai megfelelés sokkal többe kerülne nekik mint a feleslegesen kiküldött mellőzött emailek.
A legfontosabb tanulság
Ha érkezik egy email a saját címünkről, az nem feltétlenül jelenti azt, hogy feltörték az email fiókot. Sőt, az esetek 99.99%-ban biztosan nincs feltörve, nem hívják fel a figyelmet a problémára. Sokkal inkább ez csak egy trükk, hogy felkeltsék a figyelmet és rávegyék a levél címzettjét, valamilyen cselekvésre (például az emailben szereplő veszélyes linkre való kattintásra, vagy az emailhez mellékelt fájl megnyitására, ami akár vírusos is lehet).
Mit lehet tenni?
- Ellenőrizni a levél fejléceit, hogy honnan érkezett valójában.
- Erős jelszót használni és hozzá kétfaktoros hitelesítést.
- Soha nem szabad gyanús linkekre kattintani, mellékleteket megnyitni, főleg akkor nem, ha saját magunktól érkezett. Ilyenkor jobb azonnal törölni az emailt megnyitás nélkül.