الرئيسيةعريقبحث

انتحال بريد إلكتروني


☰ جدول المحتويات


انتحال البريد الإلكتروني هو عمليّة احتيال إلكتروني تهدف إلى إنشاء رسائل بريدية مزوّرة المصدر (المُرسِل)[1]. يعود السبب في إمكانيّة انتحال البريد الإلكتروني إلى كون البروتوكولات الأولى التي بُنِي عليها نظام البريد الإلكتروني، مثل بروتوكول إرسال البريد البسيط، لا تعرّف آليّات للاستيثاق[2]. من الشائع انتحالُ البريد الإلكتروني في هجمات التصيّد والرسائل المزعجة؛ من أجل خداع المُرسَل إليه وجعله يظنّ أنّ الرسائل الخبيثة تأتي من مصدر يعرفه أو يثق فيه[1].

كيف يُنتحَل البريد الإلكتروني

توجد عادة ثلاثة أطراف عند استخدام بروتوكول إرسال البريد البسيط: المُرسِل الذي تأتي منه الرسالة والخادوم الذي يتلقّى الرسالة من المُرسِل والمُرسَل إليه الذي هو وِجهة الرسالة. يحدّد المُرسِل عنوانه عن طريق الأمر MAIL FROM وعنوان المُرسَل إليه بالأمر RCPT TO [3]؛ إلا أنّ خادم البريد لا يتحقّق من أنّ المُرسِل يملك فعلًا العنوان الذي أعلن أنّ الرسالة البريدية تأتي منه[4][5]. عند وصول الرسالة إلى وجهتها يظهر العنوان الذي حدّده المُرسِل في خانة المُرسِل (مِن From) ممَا يجعله لا يشكّ في مصدر الرسالة[4]. توجد أيضًا واجهات وِب تُسهّل عمليّة إرسال البريد وتحديد عناصره دون الحاجة للتعامل مع الأوامر مباشرة[4]. يمكن للمُنتحِل بطريقة مشابهة جعل بريد إلكتروني لشخص مّا مكان عنوان الرّد[6]؛ مما قد ينتُج عنه تلقي ردود على رسائل لم يُرسِلها.

يلجأ المنتحلون أحيانا إلى أساليب الهندسة الاجتماعية ويستخدمون عنوان بريد إلكتروني يُشبه عنوان بريد موثوق؛ ممّا يجعل المتلقّي غير المنتبه يظنّ أنه بريد حقيقي[7].

الأغراض من انتحال البريد الإلكتروني

يُستخدَم البريد الإلكتروني المنتحَل للتغرير بمستقبليه من أجل الحصول على معلومات منهم لاستخدامها في ما بعد أو لجعلهم ينزّلون ملفات خبيثة تتجسس على أجهزتهم.[8] كما أنه يُستخدَم أحيانا للسخرية والتنكيت[9] أو لنشر أخبار كاذبة[7]. تشمل المعلومات التي يحاول منتحلو البريد الإلكتروني الحصول عليها حسابات الدخول على الشبكات الاجتماعيّة مثل تويتر وفيس بوك والبيانات الماليّة مثل الحسابات المصرفية وبطاقات الائتمان.

تفيد البيانات المسروقة في انتحال الشخصيّة واستعمال الهويّة لأغراض إجراميّة إلكترونيّة مثل تسجيل أسماء نطاقات لمواقع محظورة بهويّات مسروقة أو للاشتراك في خدمات محرّمة مثل الغلمانيّة[10]. تعتمد بعض حملات التسويق عبر البريد الإلكتروني إلى انتحال البريد للرفع من مصداقيّة ادعاءاتها ولزيادة نسبة النقر على الروابط، مثل روابط التسويق بالعمولة[11]. تشير تقارير إخباريّة أمنيّة[8] إلى أنّ بعض الحكومات تنتحل البريد الإلكتروني من أجل خداع معارضيها وكشف النشاطات التي ترى أنها خطر عليها.

الإجراءات المضادّة لانتحال البريد الإلكتروني

يمكن لبروتوكول طبقة المنافذ الآمنة أن يوفّر إمكانيّة الاستيثاق بين الخواديم من أجل التحقّق من مصدر البريد الإلكتروني. كما توجد آليّات أخرى تُستخدَم ضدّ انتحال البريد الإلكتروني المعتمد على ثغرات تصميم بروتوكول إرسال البريد البسيط، من أهمّها[12]:

نظام التعرّف على هوية المُرسِل SPF

تعتمد آلية التحقّق في نظام التعرّف على هويّة المُرسِل (Sender Policy Framework)‏ على إتاحة الفرصة للخواديم المستقبلة للتأكّد من أن النطاق الذي ينتمي له البريد المُرسِل يسمح للجهاز الذي يأتي منه البريد ببعث رسائل باسمه[13][14]. يُضيف مدير النظام المصدَر سجلًّا نصيًّا باسم spf إلى سجلّات نظام أسماء النطاقات في الخادوم لديه. يستخدم الخادوم المستقبل سجلّ spf لتوثيق المُرسِل.

يأخذ سجلّ spf صيغة تشبه المثال التالي:

example.com. IN TXT "v=spf1 ip4:192.0.2.0/24 -all"

يظهر في أوّل السطر اسمُ النطاق example.com تليه الكلمة المفتاحيّة IN التي تحيل إلى إنترنت Internet ثم نوع سجلّ النطاق TXT (سجلّ نصّي) وفي الأخير التعليمة الخاصّة بنظام التعرّف على هويّة المُرسِل "v=spf1 ip4:192.0.2.0/24 -all". يُحدَّد في أوّل التعليمة الإصدار المُستخدَم v=spf1 (الإصدار الأول من النظام في هذه الحالة) ثم العنوان المسموح له بإرسال رسائل عبر النطاق example.com وفي الأخير مالذي يجدُر بالخادوم المتلقّي عملُه عندما يأتيه بريد إلكتروني بعنوان تابع للنطاق المحدَّد دون أن يكون مصدره عنوان آي بي المعرّف في السّجل. تعني all- أن على الخادوم المتلقّي رفض جميع الرسائل التي لا تأتي من عنوان أو عناوين آي بي المعرَّفة في السّجل[15].

عندما يتلقّى خادوم بريد رسالة إلكترونيّة من عنوان تابع لنطاق example.com (مثلا hello@example.com) فإنه ينظُر في عنوان الجهاز الذي تأتي منه الرسالة ويقارنه بالعناوين الموجودة في سجلّ spf الذي عرّفه صاحب النطاق example.com، فإن وافق عنوان الجهاز المرسِل العنوان المعيَّن في السجلّ فإن البريد يُمرَّر إلى المتلقّي وإلّا يرفضه الخادوم المستقبل[15].

نظام البريد المُوثَّق بمفاتيح النطاق DKIM

يضيف نظام البريد المُوثَّق بمفاتيح النطاق (DomainKeys Identified Mail)‏ في الخادوم المصدَر توقيعا إلكترونيًّا إلى البريد بحيث يمكن للخادوم المستقبِل للبريد التحقق من مصدر البريد وكذلك سلامة البيانات[16]. عندما يستلم خادوم بريد يدعم هذا النظام رسالة إلكترونيّة فإنه يستخدم المفتاح المُعلَن التابع للخادوم المُرسِل الموجودة ضمن سجلّات أسماء النطاقات لفحص الرسالة والتحقق من سلامة محتواها[17]. إن نجحت الرسالة في اختبار التحقّق فإن الخادوم يمرّرها إلى البريد الإلكتروني الوجهة وإلا فإنه يرفضها، يحذفها أو يعيد توجيهها حسب إعدادات نظام البريد[17][18].

يبدأ مدير النظام على الخادوم المصدَر إعدادات نظام البريد المُوثَّق بتوليد زوج من مفاتيح التعميّة: أحدهما مُعلَن يستخدمه الخادوم المستقبِل للتحقّق من البريد والثاني سرّي يستخدمه برنامج إرسال البريد لتوقيع الرسائل الصادرة منه[17]. يضيف مدير النظام سجلّا نصيّا إلى نظام أسماء النطاقات يتضمّن بيانات نظام البريد المُوثَّق ومن بينها المفتاح المُعلَن؛ أما المفتاح السّري فلا يظهر للعموم إذ يحتفظ به الخادوم لنفسه. يضبُط مدير النظام - بعد إعداد السجلّ النصي في النطاق - برنامج البريد على خادومه لتوقيع البريد الصّادر منه بالمفتاح السّري[16].

يأخذ سجلّ نظام البريد المُوثَّق بمفاتيح النطاق صيغة تشبه التالي[19]:

example._domainkey IN TXT "v=DKIM1; p=المفتاح المُعلَن"

يحدّد السجل في البداية معرِّفًا - example._domainkey في المثال أعلاه - يُسمّى المُنتَخِب (Selector)‏ وفي آخر السّطر التعليمة الخاصّة بنظام البريد المُوثَّق "v=DKIM1; p=المفتاح المُعلَن"[20]. تحوي التعليمة على الأقل قيمتيْن؛ الأولى - ويُشار إليها بالحرف v- لإصدار النظام المُستخدَم والثانيّة - ويُشار إليها بالحرف p - المفتاح المُعلَن الذي سيستخدمه الخادوم المستقبل للتحقّق من البريد.

راجع أيضا

مراجع

  1. "The Big Three Email Nuisances: Spam, Phishing and Spoofing". Lava Soft. مؤرشف من الأصل في 04 مايو 201710 ديسمبر 2016.
  2. "Understanding E-mail Spoofing". windowsecurity.com10 ديسمبر 2016.
  3. "Telnet - SMTP Commands (sending mail using telnet)". مؤرشف من الأصل في 25 سبتمبر 201713 ديسمبر 2016.
  4. "How Spammers Spoof Your Email Address (and How to Protect Yourself)". Life Hacker. مؤرشف من الأصل في 25 ديسمبر 201813 ديسمبر 2016.
  5. "How can you fake an email address?". superuser. مؤرشف من الأصل في 13 ديسمبر 201913 ديسمبر 2016.
  6. "مساعدة Gmail". support.google.com. مؤرشف من الأصل في 21 ديسمبر 201613 ديسمبر 2016.
  7. "The curious case of Samsung's 'purchase' of biometrics company Fingerprint Cards". Gadgets 360. مؤرشف من الأصل في 14 يوليو 201724 ديسمبر 2016.
  8. "Spoofing the European Parliament". CitizenLab. مؤرشف من الأصل في 21 مارس 201924 ديسمبر 2016.
  9. "ما هي المخاطر التي تحيط باستخدامي للبريد الإلكتروني ؟!". awareness-initiative.blogspot.com. مؤرشف من الأصل في 29 مارس 201924 ديسمبر 2016.
  10. "Types of Fraud". American Express. مؤرشف من الأصل في 05 يوليو 201724 ديسمبر 2016.
  11. "Beware fake Facebook notifications arriving in your email". Naked security. مؤرشف من الأصل في 15 ديسمبر 201824 ديسمبر 2016.
  12. "How to prevent Email Spoofing". IP Mirror. مؤرشف من الأصل في 06 يناير 20175 يناير 2017.
  13. "Explain how SPF works in 1 minute". The SPF Project. مؤرشف من الأصل في 21 أكتوبر 20185 يناير 2017.
  14. "كيف أضيف سجل نظام التعرّف على هوية المرسل إلى نطاقي؟". dynadot.com. مؤرشف من الأصل في 06 يناير 20175 يناير 2017.
  15. "Explaining SPF". Postmark. مؤرشف من الأصل في 03 أبريل 20195 يناير 2017.
  16. "Postfix/DKIM". Ubuntu help page. مؤرشف من الأصل في 07 أبريل 20198 يناير 2017.
  17. "DKIM Explained: How to Set Up and Use DomainKeys Identified Mail Effectively". gettingemaildelivered.com. مؤرشف من الأصل في 29 سبتمبر 20188 يناير 2017.
  18. "What is DKIM? Everything You Need to Know About Digital Signatures". emailonacid.com. مؤرشف من الأصل في 01 مايو 20198 يناير 2017.
  19. "Create a DKIM TXT record". Rackspace. مؤرشف من الأصل في 09 يناير 20178 يناير 2017.
  20. "DomainKeys Identified Mail (DKIM) Signatures". dkim.org. مؤرشف من الأصل في 12 أكتوبر 20188 يناير 2017.

موسوعات ذات صلة :