SMTP smuggling là gì?

Bảo mật mạng là một bối cảnh động, trong đó các mối đe dọa cũ phát triển và các mối đe dọa mới nổi lên, mối đe dọa như SMTP smuggling là lời nhắc nhở rõ ràng về tầm quan trọng của việc luôn cập nhật các mối đe dọa bảo mật mạng và các phương pháp bảo vệ trước các cuộc tấn công mạng. Nhưng chính xác thì SMTP smuggling là gì và kỹ thuật này hoạt động như thế nào?

SMTP là gì?

Giao thức truyền tải thư đơn giản (SMTP) là giao thức mạng TCP/IP hỗ trợ cho việc truyền tải email giữa các máy tính và máy chủ khác nhau. Việc sử dụng giao thức này rất phổ biến, các ứng dụng email SMTP bao gồm Gmail, Outlook, Yahoo và Apple.

Vậy nói chính xác thì SMTP trong email là gì? Sau khi email được viết trong ứng dụng khách như Microsoft Outlook, email sẽ được gửi đến máy chủ SMTP, máy chủ này sẽ xem xét miền của người nhận để tìm máy chủ email thích hợp để gửi email đến. Nếu như quá trình này diễn ra suôn sẻ, máy chủ SMTP tại miền của người nhận sẽ xử lý email và gửi nội dung thư hoặc sử dụng SMTP để chuyển tiếp email qua mạng khác trước khi gửi.

Điều quan trọng cần lưu ý về SMTP là khả năng xác thực của giao thức này bị hạn chế do lịch sử để lại. Do đó, giả mạo email đã trở thành mối lo ngại nghiêm trọng. Kẻ tấn công có thể chỉ cần chọn đúng công cụ, có thể là ứng dụng thư khác, tập lệnh hoặc tiện ích, cho phép chúng chọn tên người gửi. Sau đó, chúng thực hiện các cuộc tấn công có chủ đích bằng email để mạo danh một người gửi đáng tin cậy và thuyết phục nạn nhân thực hiện một hành động cụ thể, chẳng hạn như nhấn vào liên kết lừa đảo hoặc tải xuống các tập tin bị nhiễm phần mềm độc hại.

Một số biện pháp bảo vệ đã được thiết kế để vá lỗ hổng bảo mật cố hữu này (CVE-2023-51766), bao gồm:

• Khung chính sách người gửi (SPF): Khung này sử dụng các bản ghi DNS để cho máy chủ nhận thư biết địa chỉ IP nào được phép gửi email từ một miền được chỉ định.
• Thư được xác định bằng khóa miền (DKIM): Phương thức này sử dụng khóa riêng được lưu trữ trên máy chủ của người gửi để ký kỹ thuật số vào các email gửi đi, cho phép máy chủ của người nhận xác thực người gửi bằng khóa chung của máy chủ gửi thư.
• Xác thực, báo cáo và tuân thủ thư dựa trên miền (DMARC): Giao thức này xác minh miền gửi của email trong tiêu đề "Người gửi" dựa trên SPF và/hoặc DKIM – nếu không trùng khớp, khâu kiểm tra DMARC thất bại. Tuy nhiên, giao thức này không được sử dụng phổ biến.

Máy chủ SMTP là gì?

• Tác nhân gửi thư (MSA): Nhận thư từ ứng dụng email
• Tác nhân chuyển thư (MTA): Chuyển email đến máy chủ tiếp theo nếu thích hợp. Lúc này, máy chủ có thể bắt đầu truy vấn DNS cho bản ghi DNS trao đổi thư (MX) của miền người nhận
• Tác nhân giao thư (MDA): Nhận email để lưu trữ trong hộp thư đến của người nhận

SMTP smuggling là gì?

SMTP smuggling chỉ các cuộc tấn công mạng giả mạo địa chỉ email để thư của họ có vẻ như được gửi từ các nguồn hợp pháp. Mục tiêu cuối cùng của các cuộc tấn công mạng này là thực hiện một dạng lừa đảo và khuyến khích nạn nhân thực hiện hành động như nhấn vào liên kết độc hại, mở tệp đính kèm bị mã nhiễm độc hoặc thậm chí gửi thông tin nhạy cảm hoặc gửi tiền.

Các cuộc tấn công này lợi dụng sự khác biệt giữa cách các máy chủ email gửi đi và gửi đến xử lý chuỗi mã kết thúc dữ liệu. Mục đích là lừa máy chủ của người nhận hiểu theo cách khác về phần cuối của thư bằng cách sử dụng các lệnh SMTP "bị buôn lậu" để email xuất hiện dưới dạng hai thư riêng biệt.

SMTP smuggling hoạt động như thế nào?

Để thực hiện các cuộc tấn công, tội phạm mạng "buôn lậu" các lệnh SMTP mơ hồ nhằm xâm phạm tính toàn vẹn của thông tin liên lạc trên máy chủ email. Kỹ thuật này dựa trên cách hoạt động của các cuộc tấn công HTTP request smuggling. Cụ thể hơn, theo truyền thống, các máy chủ SMTP chỉ báo phần cuối của dữ liệu thư bằng mã <CR><LF>.<CR><LF> hoặc \r\n.\r\n. Chúng là các từ viết tắt của "Carriage Return" và "Line Feed" và là các dấu phân cách văn bản tiêu chuẩn.

Bằng cách thay đổi chuỗi mã này, kẻ tấn công có thể thay đổi cách hiểu của máy chủ về nơi kết thúc dữ liệu thư. Nếu chúng có thể báo với máy chủ gửi đi rằng thư kết thúc tại một điểm trong khi báo với máy chủ gửi đến rằng thư kết thúc ở điểm sau đó thì một chiếc túi có thể được tạo ra để buôn lậu dữ liệu bổ sung.

Thông thường, những email giả mạo này là một phần của các cuộc tấn công lừa đảo có chủ đích. Các công ty đặc biệt dễ bị tấn công bởi kỹ thuật SMTP smuggling vì việc giả mạo miền của họ có thể dễ dàng hơn và sử dụng tấn công phi kỹ thuật để tạo email lừa đảo hoặc các cuộc tấn công lừa đảo nhắm vào cá nhân hoặc tổ chức.

Cách tránh các email SMTP Smuggling

1. Chạy kiểm tra bảo mật thường xuyên trong cơ sở hạ tầng của tổ chức để giám sát các vec-tơ tấn công và lỗ hổng bảo mật khả dĩ.
2. Kiểm tra phần mềm định tuyến email đang được sử dụng – nếu phần mềm được xác định là có lỗ hổng bảo mật, hãy cập nhật phần mềm đó lên phiên bản mới nhất và sử dụng các thiết lập đặc biệt từ chối định tuyến trái phép.
3. Người dùng các sản phẩm email của Cisco nên cập nhật thủ công cấu hình mặc định của họ cho “CR and LF Handling” thành “Allow” thay vì “Clean” để máy chủ chỉ diễn giải và gửi email bằng <CR><LF>.<CR><LF> làm mã trình tự kết thúc dữ liệu.
4. Không cho phép sử dụng <LF> mà không có <CR> trong mã.
5. Ngắt kết nối trình khách SMTP từ xa gửi dòng mới trống.
6. Thường xuyên triển khai đào tạo nâng cao nhận thức về bảo mật cho nhân viên, ví dụ như có thể bao gồm việc xác minh địa chỉ email của người gửi trước khi thực hiện bất kỳ hành động nào khác.

Việc giả mạo email SMTP trông như thế nào?

Để cảnh giác trước mối đe dọa SMTP smuggling, bạn có thể sẽ thấy hữu ích nếu biết email giả mạo trông như thế nào. Một email giả mạo có thể có nhiều dạng:

1. Giả mạo tên miền hợp pháp: Chỉ đơn giản là giả mạo tên miền của công ty bằng cách chèn tên miền đó vào tiêu đề "Người gửi" của email. Đây là hành vi mà các phương thức xác thực SPF, DKM và DMARC cố gắng xác định. Các công ty nên cấu hình xác thực thư của mình một cách thích hợp để giảm thiểu khả năng giả mạo tên miền của kẻ tấn công.
2. Giả mạo tên hiển thị: Trong trường hợp này, tên của người gửi, được hiển thị trước địa chỉ email trong tiêu đề "Người gửi" bị giả mạo, thường sử dụng tên thật của nhân viên công ty. Hầu hết các ứng dụng email đều tự động ẩn địa chỉ email của người gửi và chỉ hiển thị tên hiển thị, đó là lý do tại sao người dùng nên kiểm tra địa chỉ nếu email trông có vẻ đáng ngờ. Có một số dạng này, bao gồm Ghost Spoofing và AD Spoofing. Cổng thư bảo mật của Kaspersky (KSMG) cho phép bảo vệ mạnh mẽ trước các cuộc tấn công AD Spoofing bằng cách xác minh tính xác thực của người gửi và đảm bảo thư tuân thủ các tiêu chuẩn xác thực email đã thiết lập.
3. Giả mạo miền tương tự: Phương thức phức tạp hơn này yêu cầu kẻ tấn công phải đăng ký tên miền tương tự với miền của tổ chức mục tiêu và thiết lập thư, chữ ký DKIM/SPF và xác thực DMARC. Tương tự như vậy, có một số loại dạng giả mạo kiểu này, bao gồm Primary Lookalike (ví dụ: lỗi chính tả của miền công ty hợp pháp) và Unicode Spoofing (thay thế ký tự ASCII trong tên miền bằng ký tự trông tương tự của Unicode). KSMG có thể giúp các tổ chức chống lại các cuộc tấn công giả mạo tên miền tương tự bằng cách xác minh danh tính người gửi và giảm thiểu nguy cơ gửi email lừa đảo.

Các bài viết và đường liên kết liên quan:

• Giả mạo là gì - Định nghĩa và giải thích
• Lừa đảo nhắm mục tiêu chủ đích là gì
• Email giả mạo: Cách nhận biết và tránh email giả mạo

Các sản phẩm và dịch vụ liên quan:

• Kaspersky Plus
• Kaspersky Premium – Chi tiết về sản phẩm
• Tải xuống bản dùng thử miễn phí Kaspersky Antivirus Premium
• Kaspersky Endpoint Security Cloud