Простой способ повысить эффективность защиты почты

Недавно удалось повысить точность обнаружения целевого фишинга и атак при помощи компрометации деловой переписки (BEC) путем добавления одной маленькой и, в общем-то, банальной проверки. Если письмо по какой-то причине вызывает у нашего почтового движка подозрение, можно сверить домен из технического заголовка From с доменом из поля Reply-To. Смешно, но эта простая проверка позволяет отсеять значительную часть достаточно сложных атак
Как выявляют сложные почтовые атаки
Операторы целевых почтовых атак традиционно прикладывают значительные усилия для маскировки своих писем под легитимные. Это не те ребята, которые прикладывают к письму файл, где детектируется троян, да и фишинговые ссылки они стараются скрыть под несколькими слоями хитроумных уловок. Поэтому защитные решения, способные выявлять письма с такими атаками, редко выносят вердикт на основании какого-то одного критерия — чаще всего они выявляют совокупность подозрительных признаков. Сверка полей From и Reply-To — это еще один из таких критериев.
Чем помогает сравнение заголовков From и Reply-To
Большая часть атакующих, даже вклиниваясь в легитимную деловую переписку, особенно не утруждает себя взломом легитимных доменов, а надеется на, так сказать, ограниченную компетентность администраторов почтовых серверов. По факту у огромного количества доменов механизмы почтовой аутентификации типа Sender Policy Framework (SPF), и тем более Domain-based Message Authentication, Reporting and Conformance (DMARC), если и работают, то из рук вон плохо. В лучшем случае они формально включены, но во избежание ложных срабатываний политики настроены настолько свободно, что ничем помочь не могут.
Поэтому злоумышленники (иногда даже стоящие за полноценными APT-атаками) просто берут домен атакуемой организации и ставят его в поле From или даже SMTP From. Однако поскольку при этом им нужно не просто доставить вредоносное письмо, но и получить на него прямой ответ, то в поле Reply-To они вынуждены поставить свой адрес. Обычно это какой-нибудь одноразовый почтовый ящик или адрес, расположенный на бесплатном почтовом сервисе. Что их и выдает.
Почему бы не проверять соответствие From и Reply-To всегда?
Вообще заголовок From далеко не всегда должен совпадать с заголовком Reply-To. Есть немало легитимных случаев, когда письмо должно посылаться одним почтовым сервером, а ответ на него ждут на совершенно другом. Простейший вариант — разнообразные услуги по организации информационных или маркетинговых рассылок: отправляет их специализированный сервис, а реакцию от клиентов ждет заказчик. Поэтому если бы сверка From и Reply-To была включена всегда, то это приводило бы к возникновению ложных срабатываний.
Чтобы не вникать глубоко в технические детали и не заниматься отсеиванием подозрительных писем самостоятельно вручную, рекомендуется пользоваться средствами защиты от Лаборатории Касперского. Данная проверка реализована у них во всех предлагаемых продуктах.
По материалам Касперский