Hat jemand Beispiele aus der Praxis, wie E-Mails abgefangen werden?

7

Wie Ihnen jeder sagen wird, ist E-Mail nicht sicher. Es wird im Klartext im Internet übertragen und sollte nicht zum Senden von Passwörtern und anderen vertraulichen Details verwendet werden.

Seit Jahren entwerfe ich meine Systeme um dieses Chaos herum - z. B. müssen E-Mails zum Zurücksetzen von Passwörtern an Benutzer immer über eine zusätzliche Authentifizierungsebene verfügen. Ich frage mich jedoch immer wieder:

Wie oft wird E-Mail während des Transports tatsächlich kompromittiert?

  1. Ist das ein reales oder ein theoretisches Problem?
  2. Hat jemand Fallstudien / Links zu echten Angriffen?
  3. Mit welchen Methoden kann ein Hacker eine E-Mail stehlen?
security  email 
Realworldcoder
quelle

Antworten:

11

Ich persönlich habe das Abfangen von E-Mails während des Transports live miterlebt. Es war auf einer technischen Konferenz und die Sitzung drehte sich alles um das Schnüffeln von Netzwerken. Die Ausbilderin hat gerade ihren Sniffer im drahtlosen Konferenznetzwerk ausgelöst und innerhalb von 15 Minuten mehrere POP3 / SMTP-Authentifizierungspaare mit den abgerufenen und gesendeten Nachrichten erhalten. Dies waren Laptops in den Konferenzräumen, die ihre E-Mails über unverschlüsselte Protokolle abfragten. Dann in den 15 bis 30 Minuten nach der Sitzung der Sitzungsteilnehmer wurden das gleiche tun , wenn sie die richtigen Werkzeuge heruntergeladen.

Ich wäre sehr, sehr überrascht, wenn auf unserem Campus WLAN niemals die gleichen Dinge getan würden.

Als Randnotiz gab der Ausbilder auch zu, den Verkehr ihres Kabelnachbarn zu schnüffeln. Nur zu Bildungszwecken.

In Bezug auf die SMTP-Verarbeitung ist es weitaus wahrscheinlicher, dass E-Mails in der Nähe der Endpunkte abgefangen werden. Die Interessenten sind an beiden Enden dieses Gesprächs. In der Mitte, in der der SMTP-Verkehr über das größere Internet fließt, ist die interessierte Partei viel eher eine Regierung als böse Hacker.

Die größten Abhörfälle beziehen sich jedoch nicht auf die SMTP-Transaktion im Flug, sondern auf die POP3 / IMAP / SMTP / WebMail-Anmeldung, die eine vollständige Abhörfähigkeit auf Dauer gewährleistet (oder zumindest bis das Kennwort geändert wird). Dies wird täglich in meinem Netzwerk über Phishing versucht. Sobald Anmeldeinformationen durchgesickert sind, können E-Mails wohl oder übel gelesen oder häufiger zum Versenden von Spam über unsere vertrauenswürdigen E-Mail-Server verwendet werden.

Um Ihre Fragen zu beantworten,

1: Ja, das ist ein echtes Problem. Die größte Gefahr besteht in nicht vertrauenswürdigen (oder vertrauenswürdigen, aber unverschlüsselten) drahtlosen Netzwerken. Und Regierungen.

2: Sie sind da draußen, aber ich müsste googeln und bin heute Samstagmorgen faul. Das Abfangen tatsächlicher SMTP-Transaktionen, die sich nicht am Endpunkt befinden, liegt im Allgemeinen im Zuständigkeitsbereich der Regierungen und der Unternehmenssicherheit. Hacker zielen im Allgemeinen auf Postfächer ab, nicht auf Transaktionen, da sie ein viel umfangreicheres Ziel sind.

3: Das Schnüffeln von drahtlosen Netzwerken für unverschlüsselte E-Mail-Transaktionen ist bei weitem die einfachste Methode. Denken Sie an Coffeeshop-Setups. Kleinere Methoden wie das Versenden von Mail-Servern zum Abrufen von Nachrichten sind eher theoretisch als tatsächlich, wenn auch viel schädlicher, wenn sie auftreten.

Hacker, die ein Postfach kompromittiert haben, können solche E-Mails nutzen, um andere Websites zu kompromittieren. Sie gefährden ein Google Mail-Konto und stellen beim Betrachten von Nachrichten fest, dass diese Person viel mit einer bestimmten E-Commerce-Website zu tun hat, auf der Kreditkarteninformationen gespeichert sind. Sie gehen zu dieser Site und durchlaufen den Prozess des vergessenen Passworts (da heutzutage viele Sites die E-Mail-Adresse als Kontonamen verwenden) und erhalten die E-Mail zum Zurücksetzen des Passworts. Sie setzen das Passwort zurück, wodurch der Timer gestartet wird, wenn der Kontoinhaber es bemerkt. Das Böse beginnt, insbesondere wenn auf der E-Commerce-Website ganze Kreditkartennummern im Profil angezeigt werden.

Das Traurige dabei ist, dass es durchaus möglich ist, dass der Kontoinhaber die Unfähigkeit, sich anzumelden, nicht einmal als ein bestimmtes Zeichen dafür ansieht, dass Böses geschehen ist. Wenn sie kein Programm zum Speichern von Passwörtern verwenden, können sie es einfach bis ins hohe Alter kalkulieren und das Passwort auf ein bekanntes zurücksetzen.

sysadmin1138
quelle
Ist es wirklich so üblich, dass SMTP-Creds im Klartext gesendet werden? Werden sie nicht verschlüsselt, wenn entweder STARTTLS für die SMTP-Sitzung verwendet wird oder wenn eine verschlüsselte SMTP-AUTH-Methode verwendet wird, oder fehlt mir etwas?
Acannon828
@ acannon828 2007 oder so, als ich das gesehen habe, sehr. Im Jahr 2019, nachdem Google damit begonnen hatte, E-Mails zu kennzeichnen, die nicht über STARTTLSed SMTP gesendet wurden, war dies weitaus seltener. Zur Verringerung der Inzidenz trägt auch die fast vollständige Anpassung von E-Mails von Clientgeräten bei, bei der der Teil "Transaktion E-Mail senden" der Transaktion auf HTTPSed-API-Aufrufe verschoben wird.
sysadmin1138
1

Ihre Frage ist etwas verwirrend (es geht darum, dass E-Mails beim Senden abgefangen werden, aber dass Ihr Fix darin besteht, das Abrufen des Passworts zu erschweren - das ist keine Übertragung).
Sobald die E-Mail Ihr Netzwerk verlässt, wird sie in mehrere Pakete aufgeteilt, die wahrscheinlich unterschiedliche Routen zu ihren Zielen nehmen. Die Chancen, dass das Ganze auf dem Weg abgefangen wird, sind gering.

Es ist jedoch trivial, dass es je nach Einrichtung entweder im Ursprungsnetzwerk oder im Zielnetzwerk abgefangen wird - insbesondere, wenn es sich um offene drahtlose Netzwerke handelt. Sie würden von Paketschnüfflern abgefangen.

Also, die Wahrscheinlichkeit, dass Ihre E-Mail irgendwo in der Mitte abgefangen wird? Schlank, aber möglich und ist es ein Risiko, das Ihr Unternehmen eingehen kann? Es ist viel wahrscheinlicher, dass es entweder an dem einen oder dem anderen Ende abgefangen wird oder das Konto durch ein leicht zu erratendes Passwort kompromittiert wird.

EDIT: Es ist erwähnenswert, dass nur weil es unwahrscheinlich ist, dass das Ganze abgefangen wird, dies nicht bedeutet, dass Teile davon nicht abgefangen werden. Z.B. Eine Kreditkartennummer im Körper könnte über ein nicht vertrauenswürdiges Netzwerk (das Internet!) oder den Betreff ("Ich würde empfehlen, alle Ihre Aktien vor unserer nächsten Hauptversammlung zu verkaufen") übertragen werden.

James L.
quelle
Vielen Dank. Nehmen Sie an beiden Enden kein offenes WLAN-Netzwerk an?
Realworldcoder
Fast jedes WLAN kann von jemandem abgefangen werden, der mit dem Netzwerk verbunden ist. Selbst wenn überhaupt keine drahtlose Verbindung besteht, kann Ihre Netzwerktopologie sie dennoch über einen Zwischencomputer senden
James L,
0

Ein Angreifer kann Ihre E-Mails auf verschiedene Arten abfangen. Zum Beispiel den Ziel-Mailserver durch DNS-Vergiftung oder durch Angriffe auf den E-Mail-Server selbst zu gefährden.

Wenn Sie einen Router in der Nähe des Absenders oder Empfängers kompromittieren, kann der Angreifer Ihre E-Mails stehlen.

Der Angreifer kann manchmal Ihre eigene Maschine gefährden!

Khaled
quelle
Wenn der Angreifer Ihren Computer kompromittiert hat, ist E-Mail nicht die Schwäche. Irgendwelche Beispiele / weitere Informationen zum Kompromittieren von Routern?
Realworldcoder
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.