แคมเปญฟิชชิ่งที่ซับซ้อนได้เผยให้เห็นจุดอ่อนร้ายแรงในระบบการตรวจสอบความถูกต้องของอีเมล ทำให้เกิดการถกเถียงอย่างเข้มข้นในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยเกี่ยวกับความน่าเชื่อถือของมาตรการป้องกันอีเมลในปัจจุบัน การโจมตีนี้ใช้ประโยชน์จากลายเซ็น DKIM (DomainKeys Identified Mail) และโครงสร้างพื้นฐานของ Google เพื่อสร้างอีเมลปลอมที่น่าเชื่อถือซึ่งสามารถหลบเลี่ยงการตรวจสอบความปลอดภัยมาตรฐานได้
 |
|---|
| แผนภาพที่แสดงการโจมตี DKIM replay phishing ซึ่งอธิบายวิธีที่ผู้โจมตีใช้ประโยชน์จากระบบยืนยันตัวตนอีเมล |
วิธีการโจมตีทำให้เกิดคำถามเกี่ยวกับความถูกต้องของบทความ
ชุมชนทางเทคนิคได้แสดงความสงสัยอย่างมากเกี่ยวกับวิธีการนำเสนอการโจมตีในการวิเคราะห์เดิม นักวิจัยด้านความปลอดภัยชี้ให้เห็นว่าบทความดูเหมือนจะทำให้เข้าใจผิดโดยเจตนา โดยบอกเป็นนัยว่าผู้โจมตีสามารถแก้ไขเนื้อหาอีเมลในขณะที่ยังคงลายเซ็น DKIM ที่ถูกต้องไว้ได้ อย่างไรก็ตาม ลายเซ็น DKIM รวมถึงแฮชของเนื้อหาอีเมล ทำให้การแก้ไขเนื้อหาเป็นไปไม่ได้โดยไม่ทำให้ลายเซ็นเสียหาย
ความจริงดูจะธรรมดากว่านั้นแต่ก็ยังน่ากังวล ผู้โจมตีกำลังส่งต่ออีเมลที่ถูกต้องของ Google ไปยังผู้รับที่ไม่ได้ตั้งใจ ทำให้เกิดความสับสนและความกลัวโดยไม่ได้บุกรุกเนื้อหาอีเมลจริงๆ การนำเสนอที่หลอกลวงรวมถึงภาพหน้าจอที่ถูกตัดซึ่งซ่อนส่วนของอีเมลที่จะเผยให้เห็นลักษณะที่แท้จริงของมัน
DKIM (DomainKeys Identified Mail): วิธีการตรวจสอบความถูกต้องของอีเมลที่ช่วยให้องค์กรสามารถรับผิดชอบต่อข้อความที่พวกเขาส่งโดยการเพิ่มลายเซ็นดิจิทัลในส่วนหัวของอีเมล
การวิเคราะห์เวกเตอร์การโจมตี
การปลอมแปลงอีเมลแบบดั้งเดิม:
- ปลอมแปลงข้อมูลผู้ส่งโดยตรง
- ตรวจจับได้ง่ายด้วยการยืนยันตัวตนสมัยใหม่
- ถูกบล็อกโดย SPF/DKIM/DMARC
การโจมตี DKIM Replay:
- ใช้อีเมลที่ถูกต้องจากแหล่งที่เชื่อถือได้
- ส่งต่อไปยังผู้รับที่ไม่ได้ตั้งใจ
- ผ่านการตรวจสอบยืนยันตัวตนทั้งหมด
- ใช้ประโยชน์จากความไว้วางใจในชื่อเสียงของโดเมน
 |
|---|
| การแจ้งเตือนอีเมลที่ถูกส่งต่อเกี่ยวกับหมายศาล เป็นตัวอย่างของวิธีที่ผู้โจมตีสามารถใช้อีเมลที่ถูกต้องตามกฎหมายในทางที่ผิด |
Google Sites สร้างปัญหาความน่าเชื่อถือ
ความกังวลหลักที่ชุมชนเน้นย้ำเกี่ยวข้องกับการที่ Google โฮสต์เนื้อหาที่ผู้ใช้สร้างขึ้นภายใต้โดเมนหลักผ่าน Google Sites บริการนี้ช่วยให้ทุกคนที่มีบัญชี Google สามารถสร้างเว็บไซต์ที่ปรากฏภายใต้ sites.google.com ทำให้ได้รับความน่าเชื่อถือที่ไม่สมควร ผู้เชี่ยวชาญด้านความปลอดภัยโต้แย้งว่าสิ่งนี้สร้างปัญหาความน่าเชื่อถือขั้นพื้นฐาน เนื่องจากผู้ร้ายสามารถสร้างหน้าปลอมที่น่าเชื่อถือซึ่งดูเหมือนเป็นเนื้อหาอย่างเป็นทางการของ Google ได้อย่างง่ายดาย
ปัญหานี้ขยายไปไกลกว่าแค่ Google Sites ความกังวลที่คล้ายกันมีอยู่กับบริการอื่นๆ ของ Google เช่น Drive ที่โฮสต์เนื้อหาผู้ใช้ภายใต้โดเมนหลักของ Google ผู้เชี่ยวชาญบางคนแนะนำว่า Google ควรทำตามตัวอย่างของ GitHub ซึ่งย้ายหน้าผู้ใช้ไปยัง github.io เพื่อแยกเนื้อหาผู้ใช้ออกจากโดเมนหลัก
 |
|---|
| ภาพหน้าจออินเทอร์เฟซการจัดการเคสสนับสนุนของ Google ที่แสดงให้เห็นถึงความซับซ้อนของเนื้อหาที่ผู้ใช้สร้างขึ้นซึ่งเกี่ยวข้องกับปัญหาความปลอดภัย |
ข้อจำกัดของการตรวจสอบความถูกต้องอีเมลถูกเปิดเผย
เหตุการณ์นี้ได้เน้นย้ำข้อจำกัดพื้นฐานในโปรโตคอลความปลอดภัยอีเมลปัจจุบัน แม้ว่า DKIM, SPF และ DMARC จะให้การป้องกันที่สำคัญ แต่พวกมันไม่ได้ถูกออกแบบมาเพื่อป้องกันสถานการณ์การส่งต่ออีเมล การอภิปรายของชุมชนเผยให้เห็นว่าผู้ใช้จำนวนมาก รวมถึงผู้เชี่ยวชาญด้านเทคนิค อาจไม่เข้าใจข้อจำกัดเหล่านี้อย่างเต็มที่
สิ่งนี้น่ากลัวมาก ลองนึกภาพการอธิบายให้ญาติฟังถึงบทเรียนของโพสต์นี้: ต้องสงสัยเสมอ แม้ว่าอีเมลจะมาจากโดเมนที่เชื่อถือได้และ dkim/dmarc/spf ทั้งหมดผ่าน
การโจมตีนี้ใช้ได้ผลเพราะระบบตรวจสอบความถูกต้องของอีเมลมุ่งเน้นไปที่การตรวจสอบตัวตนของผู้ส่งมากกว่าการรับประกันว่าข้อความจะไปถึงเฉพาะผู้รับที่ตั้งใจไว้ เมื่ออีเมลที่ถูกต้องถูกส่งแล้ว มันสามารถถูกส่งต่อผ่านบริการต่างๆ ในขณะที่ยังคงลายเซ็นที่แท้จริงไว้
SPF (Sender Policy Framework): วิธีการตรวจสอบความถูกต้องของอีเมลที่ป้องกันไม่ให้สแปมเมอร์ส่งข้อความในนามของโดเมนของคุณ DMARC (Domain-based Message Authentication, Reporting, and Conformance): โปรโตคอลการตรวจสอบความถูกต้องของอีเมลที่สร้างจาก SPF และ DKIM เพื่อให้การป้องกันเพิ่มเติม
การเปรียบเทียบวิธีการยืนยันตัวตนของอีเมล
| วิธีการ | วัตถุประสงค์ | ป้องกันอะไร | ข้อจำกัด |
|---|---|---|---|
| DKIM | ตรวจสอบความสมบูรณ์ของเนื้อหาอีเมล | การแก้ไขเนื้อหา, การปลอมแปลงผู้ส่ง | ไม่สามารถป้องกันการส่งต่อได้ |
| SPF | ตรวจสอบการอนุญาตของเซิร์ฟเวอร์ส่ง | การปลอมแปลงผู้ส่งแบบ IP-based | เสียหายเมื่อมีการส่งต่อ |
| DMARC | รวมนโยบาย DKIM และ SPF | ความล้มเหลวในการยืนยันตัวตนหลายรูปแบบ | การตั้งค่าที่ซับซ้อน |
ชุมชนเรียกร้องให้มีโซลูชันที่ดีกว่า
ผู้เชี่ยวชาญด้านความปลอดภัยกำลังเรียกร้องให้มีการปรับปรุงโครงสร้างพื้นฐานอีเมลเพื่อจัดการกับช่องโหว่เหล่านี้ ข้อเสนอแนะรวมถึงการแสดงธงอีเมลที่ส่งต่อให้ดีขึ้น การควบคุมที่เข้มงวดขึ้นในโดเมนเนื้อหาที่ผู้ใช้สร้างขึ้น และการเตือนของไคลเอนต์อีเมลที่ปรับปรุงแล้วเมื่อผลการตรวจสอบความถูกต้องไม่ตรงกับรูปแบบทั่วไป
การอภิปรายยังเผยให้เห็นว่าการโจมตีที่คล้ายกันได้รับการสังเกตโดยสมาชิกชุมชนหลายคน แสดงให้เห็นว่านี่ไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียวแต่เป็นส่วนหนึ่งของรูปแบบการใช้ประโยชน์จากความปลอดภัยอีเมลที่กว้างขึ้น ผู้ใช้บางคนรายงานว่าได้รับข้อความตีกลับจากเซิร์ฟเวอร์ Google ที่มีเนื้อหาฟิชชิ่งฝังอยู่ ซึ่งบ่งชี้ว่าผู้โจมตีกำลังหาวิธีสร้างสรรค์ในการใช้โครงสร้างพื้นฐานอีเมลที่ถูกต้องในทางที่ผิด
เหตุการณ์นี้เป็นการเตือนใจว่าความปลอดภัยอีเมลยังคงเป็นความท้าทายที่ซับซ้อน โดยมีเวกเตอร์การโจมตีใหม่ๆ เกิดขึ้นเมื่ออาชญากรหาวิธีใช้ประโยชน์จากความสัมพันธ์ที่น่าเชื่อถือที่สร้างขึ้นในระบบปัจจุบัน แม้ว่าการโจมตีเฉพาะนี้อาจจะไม่ซับซ้อนเท่าที่นำเสนอในตอนแรก แต่มันเน้นย้ำช่องโหว่จริงที่ส่งผลต่อผู้ใช้ทั่วไปที่พึ่งพาสัญญาณภาพและชื่อโดเมนในการประเมินความถูกต้องของอีเมล
อ้างอิง: Google Spoofed Via DKIM Replay Attack: A Technical Breakdown