มาตรการเกี่ยวกับอีเมลสำหรับองค์กร
กุมภาพันธ์ 15, 2024
วิวัฒนาการของอีเมล: จากอดีตถึงปัจจุบันและอนาคต
มีนาคม 13, 2024
SPF, DKIM, DMARC – ยังไม่เพียงพอ "ResurrecAds" เลี่ยงมาตรการรักษาความปลอดภัยอีเมลได้อย่างง่ายดาย
Guardio Labs ออกมาให้ข้อมูลว่า มี subdomain จากแบรนด์และหน่วยงานที่เป็นที่รู้จักกว่า 8,000 โดเมน เช่น MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay และอื่นๆ โดยมีการใช้ subdomain เหล่านี้ในการส่งเมลขยะ อีเมลหลอกลวง หรืออีเมลที่เป็นอันตรายมากกว่าล้านฉบับต่อวัน โดยการปลอมแปลงเพื่อใช้สิทธิ์ความน่าเชื่อถือจากระบบการตรวจสอบความปลอดภัย
โดเมนเหล่านี้เป็นของบริษัทที่น่าเชื่อถือ, ทำให้ได้รับประโยชน์จากการสามารถที่จะหลีกเลี่ยงตัวกรองสแปมและในบางกรณี, ใช้ประโยชน์จากการกำหนดค่า SPF และ DKIM ที่บอกให้เกตเวย์อีเมลที่ปลอดภัยทราบว่าอีเมลเหล่านี้เป็นที่ถูกต้องและไม่ใช่สแปม. โดยใช้เทคนิค
CNAME-takeover และ SPF-Takeover
CNAME-takeover
เป็นเทคนิคที่ผู้ไม่ประสงค์ดีนำมาใช้เพื่อควบคุมโดเมนหรือ subdomain ที่ไม่ได้ใช้งานหรือหมดอายุ โดยการใช้ช่องโหว่ในการตั้งค่า DNS ที่มีการอ้างอิง (CNAME records) ที่ชี้ไปยังบริการหรือโฮสต์ที่ไม่ได้ใช้งาน.
ผู้โจมตีทำ CNAME-takeover ได้โดยการลงทะเบียนโดเมนที่ไม่ได้ใช้งานหรือโดเมนที่หมดอายุ, หรือเข้าถึงการตั้งค่า DNS เพื่อเปลี่ยนค่า CNAME record ในการชี้ไปยังไอพีแอดเดรสหรือบริการที่พวกเขาสามารถควบคุมได้ เมื่อทำ CNAME-takeover เสร็จสิ้น, ผู้โจมตีสามารถใช้โดเมนหรือ subdomain เหล่านี้เพื่อแสดงผลหน้าเว็บ, สร้างหน้าปลอม, หรือนำไปใช้ในการโจมตีแบบต่าง ๆ.
สำหรับผู้ดูแลระบบ, การตรวจสอบและควบคุม CNAME records เป็นสิ่งสำคัญเพื่อป้องกัน CNAME-takeover และรักษาความปลอดภัยของโดเมนหรือ subdomain ขององค์กร. การรักษาความปลอดภัยที่เชื่อมโยงกับการจัดการ DNS จึงมีความสำคัญเป็นพิเศษ.
SPF-Takeover
เป็นเทคนิคที่ผู้ไม่ประสงค์ดีนำมาใช้เพื่อควบคุมการตั้งค่า SPF (Sender Policy Framework) ของโดเมนหรือ subdomain ที่ไม่ได้ใช้งาน หรือโดเมนที่หมดอายุ. SPF เป็นเทคนิคที่ใช้ในการป้องกันการปลอมแปลงอีเมล, แต่เมื่อถูกโจมตีด้วย SPF-Takeover, ผู้โจมตีสามารถเข้าถึงการตั้งค่า DNS ของโดเมนเหล่านี้เพื่อเปลี่ยนค่า SPF record.
เมื่อโดเมนหรือ subdomain ถูกโจมตีด้วย SPF-Takeover, ผู้โจมตีสามารถลงทะเบียนโดเมนที่ไม่ได้ใช้งานหรือโดเมนที่หมดอายุ หรือแม้แต่เข้าถึงการตั้งค่า DNS เพื่อเปลี่ยนค่า SPF record ในการส่งอีเมล สามารถนำไปสู่การปลอมแปลงอีเมล (email spoofing) หรือการส่งอีเมลที่ถูกแก้ไข SPF record ที่สามารถทำให้ผู้รับอีเมลเชื่อมั่นได้ว่ามี SPF record ที่ถูกต้อง, ซึ่งทำให้เข้าสู่ระบบผิดปรกติ หรือเกิดการรับรองตัวตนผิดที่อาจเป็นอันตราย.
สำหรับผู้ดูแลระบบ, การเฝ้าระวังและควบคุมการตั้งค่า SPF records เป็นสิ่งสำคัญเพื่อป้องกัน SPF-Takeover และรักษาความปลอดภัยของโดเมนหรือ subdomain ขององค์กร.
นักวิจัยจาก Guardio Labs, นาตี ตัล และ โอเล็ก ซายต์เซฟ, รายงานว่าการดำเนินการนี้เกิดขึ้นตั้งแต่ปี 2022. นอกจากนี้, Guardio Labs ยังพัฒนาตัวตรวจสอบ "SubdoMailing" - เว็บไซต์ที่ถูกออกแบบมาเพื่อให้เจ้าของโดเมนสามารถตรวจสอบ และป้องกันตัวเองจากการคุกคามที่แพร่หลาย รายงานนี้ไม่เพียงแต่เน้นถึงความสำคัญของปัญหาเท่านั้น แต่ยังเป็นแรงกระตุ้นในการตัดสินใจเพื่อเพิ่มระดับความปลอดภัยของโดเมนเพื่อป้องกันการถูกโจมตีในอนาคต.
ที่มา: Guardio Labs
