في السنوات الماضية ، تم تنفيذ هجمات مركزية باستخدام الاتصال الهاتفي عبر بروتوكول الإنترنت ، والآن جولة جديدة ، ولكن باستخدام البريد الإلكتروني بالفعل. دعونا نحلل البيانات الإلكترونية المتاحة عن هذا الهجوم.
معلومات محدثة في 02/01/2019.
المشكلة:
2017: "يتم ضمان عدم الكشف عن هويته للمكالمة من خلال حقيقة أن المهاجم ، باستخدام الاتصال عبر بروتوكول الإنترنت IP ، يمكن أن يحل محل أي عدد من المتصلين ، بما في ذلك أرقام المشتركين الحقيقيين غير المتصلين من أي مكان في العالم. تعمل ميزة الاتصال الهاتفي عبر بروتوكول الإنترنت هذه على تعقيد عمل قوات الأمن. غالبًا ما يتم توصيل بوابة الصوت عبر بروتوكول الإنترنت بشبكات مشغلي الاتصالات بشكل غير قانوني ، مع استبدال رقم المتصل وعناوين IP وغيرها من المعرفات "2019: وفقًا للخدمات الصحفية للإدارات ومن موظفي المؤسسات الطبية والمدارس في مختلف المناطق والمدن ، فقد تلقوا رسائل تحتوي على تهديدات وشرط لأداء إجراءات معينة عبر البريد الإلكتروني.
بدأت وكالات إنفاذ القانون مع السلطات التنفيذية في العمل وفقًا لسلطتها ، مما يعني التحقق من كل رسالة.
في المؤسسات التي تم إدراجها في نص الرسائل ، بدأت أحداث الطوارئ.
ولم يتم تأكيد أي من الحقائق المتعلقة بالتهديدات الواردة ؛ واستؤنفت أعمال المؤسسات بالكامل.تحليل البيانات:تم إرسال جميع رسائل البريد الإلكتروني باستخدام mailfence dot com لخدمة البريد المجاني ، مما يجعلها "خدمة بريد إلكتروني آمنة وسرية".
حاليًا ، يتمتع بعض مقدمي الخدمات في الاتحاد الروسي بوصول محدود إلى هذه الخدمة.
سنحاول تسجيل الدخول إلى هذه الخدمة والتسجيل. لقد حصلنا على هذا الرفض:
باستخدام المكون الإضافي لـ VPN ، يمكنك المضي قدمًا إلى أبعد من ذلك والذهاب إلى التسجيل:
ومع ذلك ، نحن هنا في انتظار هذا الاختيار من عناوين البريد الإلكتروني الممكنة.
وبالتالي ، هناك شك في أن عناوين البريد الإلكتروني التي تم استخدامها في الهجوم تم إنشاؤها منذ فترة طويلة في هذا النظام عندما كان من الممكن تحديد اسم مجال مختلف في وقت سابق. هذا يعني أن الهجوم لم يكن عفويًا ، وأنشئت العناوين في وقت سابق كثيرًا بواسطة تجمع.
لماذا نحتاج إلى إنشاء صندوق بريد في هذه الخدمة؟
عند التسجيل ، تحتاج إلى تحديد عنوان بريدك الإلكتروني العامل ، والذي سيرسل إليه رابطًا لتأكيد التسجيل في الخدمة.
بعد ذلك ، نتحقق من كيفية إجراء عملية
إعادة تعيين كلمة المرور في هذه الخدمة .
أدخل اسم المستخدم و / أو عنوان البريد الإلكتروني الخاص بك:
أدخل اسم المستخدم أو البريد الإلكتروني بعد (في حالة الاختبار ، لدينا mail.ru) واحصل على:
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
sin***@***mail.ru
وبهذه الطريقة ، يمكننا التعرف على الأحرف الثلاثة الأولى من اسم المستخدم والأحرف الخمسة الأخيرة من نطاق بريد المستوى الثاني. (شكرا
مايكلكل على
التعليق! )
علاوة على ذلك ، عند طلب إعادة تعيين كلمة المرور ، يمكنك تحديد اسم مستخدم أو بريد إلكتروني.
ووفقًا لعناوين رسائل البريد الإلكتروني المرسلة ، عند طلب إعادة تعيين كلمة المرور ، يمكنك تحديد البريد الإلكتروني فقط.
putin.fsb2@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
kul***@***utoo.email
just.bro@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
bbl***@*** imail.com
الخيط الوحيد يؤدي إلى gmail.com:
kor.bol@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
vov***@***gmail.com
هنا يمكنك البحث عن العنوان الكامل ، ولكن لفترة طويلة:
بالمناسبة ، تم حذف هذا العنوان من القائمة بأكملها على وجه التحديد لأنه يحتوي على اتصال بـ gmail.com.
عنوان آخر في نفس المكان:
kiano.lok@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
put***@***gmail.com
هناك شك في أن هذا هو المقلد ، كخيار ، والذي ساهم أيضًا في موجة المراسلات ، ولكن لأغراض أنانية ، من أجل ارتكاب نواياها الشريرة في الخلط بين الأحداث (السرقة ، وحذف البيانات عندما لا يكون هناك أحد ، وما إلى ذلك).
علاوة على ذلك ، إذا كانت هناك أرقام في مكان ما في العنوان ، فعند تغييرها قليلاً أو إزالتها ، يمكننا أيضًا التحقق من هذه العناوين:
putin.fsb@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
poc***@***cloud.info
putin.fsb1@mailfence.com
إعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
joo***@*** email.com
putin.fsb3@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
bud***@*** email.com
putin.fsb4@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
bep***@***itnow.com
وبالتالي ، لا يزال بإمكاننا توقع تلقي رسائل من عناوين البريد الإلكتروني هذه.
وهنا ، مع ذلك ، تم استخدام خدمة temp-mail dot org للتسجيل لدى mailfence dot com
نتيجة لذلك ، تم استخدام خدمتين بريديتين مختلفتين في ثمانية عناوين بريد إلكتروني.
إضافة: تأتي رسائل جديدة أيضًا من البريد المجاني لخادم البريد dot bg.
jekson.lo1@mailfence.com
إعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
pet***@***mail.bg
البيانات من Mosigra:
habr.com/en/company/mosigra/blog/439036laki.kak@mailfence.com
لإعادة تعيين كلمة المرور الخاصة بك ، تم إرسال بريد إلكتروني إلى:
ale***@***mail.uk
كيف تم اختيار الضحايا للهجوم ، وفقًا لقوائم البريد ، يمكن ملاحظة أنه تم نسخ العناوين من مواقع المؤسسات الحكومية أو "نقلها" يدويًا ، لأن هذه البيانات متاحة للجمهور.
نطاق المستلمين المتزامنين في رسائل البريد الإلكتروني (2-6-10) صغير بحيث لا تقيد خوادم البريد التوزيع ولا تندرج رسائل البريد الإلكتروني في مجلد البريد العشوائي.
مقتطفات من رؤوس الخدمات:تم الاستلام: من wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
(شهادة العميل غير موجودة)
مسار العودة: putin.fsb3@mailfence.com
يعين مجال mailfence.com 212.3.242.68 كمُرسِل مسموح به ،
rule = [ip4: 212.3.242.64/26]) smtp.mail=putin.fsb3@mailfence.com؛ dkim = تمرير
DKIM- التوقيع: v = 1؛ a = rsa-sha256 ؛ ج = استرخاء / بسيط ؛ d = mailfence.com ؛
الأولوية س: 3
الرد على: بوتين FSB <putin.fsb3@mailfence.com>
من: بوتين FSB <putin.fsb3@mailfence.com>
اكس ميلر: ContactOffice البريد
X-ContactOffice-Account: com: 188677102
تم الاستلام: من mxfront13g.mail.yandex.net ([127.0.0.1])
بواسطة mxfront13g.mail.yandex.net مع معرف LMTP a6sJli0I
من أجل <info@mosigra.ru> ؛ الثلاثاء ، 5 فبراير 2019 11:00:14 +0300
تم الاستلام: من wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
بواسطة mxfront13g.mail.yandex.net (nwsmtp / Yandex) مع معرف ESMTPS jttuF4mQRo-0DAa1MBL ؛
الثلاثاء ، 05 فبراير 2019 11:00:13 +0300
(باستخدام TLSv1.2 مع الشفرات ECDHE-RSA-AES128-GCM-SHA256 (128/128 بت))
(شهادة العميل غير موجودة)
مسار العودة: laki.kak@mailfence.com
X-Yandex-Front: mxfront13g.mail.yandex.net
X-Yandex-TimeMark: 1549353613
نتائج المصادقة: mxfront13g.mail.yandex.net؛ spf = pass (mxfront13g.mail.yandex.net: يعين domain of mailfence.com 212.3.242.68 كمُرسِل مسموح به ، القاعدة = [ip4: 212.3.242.64/26]) smtp.mail=laki.kak@mailfence.com؛ dkim = pass head.i=@mailfence.com
X-Yandex-Spam: 2
X-Yandex-Fwd: MzM4MDAwNDcyNDYzOTM2Mzg1OSwyMTg3Njc1NDQ5ODIwMzIwNzMz
تم الاستلام: من ichabod.co-bxl (ichabod.co-bxl [10.2.0.36])
بواسطة wilbur.contactoffice.com (Postfix) بمعرف ESMTP 16350329D ؛
الثلاثاء ، 5 فبراير 2019 09:00:13 +0100 (CET)
DKIM- التوقيع: v = 1؛ a = rsa-sha256 ؛ ج = استرخاء / بسيط ؛ d = mailfence.com ؛
s = 20160819-nLV10XS2 ؛ ر = 1549353613 ؛
bh = gADFkQslj8dDCkx + Y9OhJNmeT7fosViIkpUDPPk1UO8 =؛
h = التاريخ: إلى: الموضوع: الرد إلى: من: من ؛
b = Th6eWs74xYE35Y5pouZD / 9vbA / oJZ6jyrtzWrMs3XilthYjL3DnwVm1SiysHGHr4J
6ROHYI / HMAnLOJfv + JsKC574UzsmjU1yhikwYLakMPTWKiqcR6knC4mXkfWFm / fXHU
LPod1MeMeNlD1rqEXnkr8wJk4GX / s6DzCUVxC5qzcv6ChEwa5DJOvIg0mxMxP9UfMr
LaPBQIGOiELGYfFOWi8XwGW1BDFfKXCgE0vxYYo8lqgXuXN720BHTv + CksccUdo44v
KyDZEQYqM7J3JhjL8GCiaWxfLBbEkLqYCHnRUEGyKbC2pqT23c2TaafXXW7g5raN63
WyVocjjQbTDpA ==
التاريخ: الثلاثاء ، 5 فبراير 2019 09:00:10 +0100 (CET)
معرف الرسالة: <790975597.619629.1549353610731@ichabod.co-bxl>
الإصدار MIME: 1.0
نوع المحتوى: نص / عادي ؛ charset = utf-8
ترميز نقل المحتوى: base64
إلى: info@torrogrill.ru ، kapitoly_adm@cosmik.ru ، kashirskaya.enkatc@enka.com ،
6112158@re-reserved.ru ، info@mosigra.ru ، info@toy.ru ،
filion@minisolife.ru ، 6412027@re-reserved.ru ، info@modi.ru ،
office@melonfashion.ru
الموضوع: =؟ Utf-8؟ B؟ 0L7RgtCy0LXRgiDQvdCwINC30LDQv9GA0L7RgQ ==؟ =
الأولوية س: 3
الرد على: laki kak <laki.kak@mailfence.com>
من: laki kak <laki.kak@mailfence.com>
اكس ميلر: ContactOffice البريد
X-ContactOffice-Account: com: 190697286
X-Yandex-Forward: c4503a689c840ee5c1704413e6045827
التوصيات:إن أمكن ، يجب على مسؤولي النظام في المؤسسات التحقق من رسائل البريد الإلكتروني الخاصة بهم في كثير من الأحيان ، وإنشاء مرشح للرسائل من "mailfence dot com" إلى مجلد منفصل والإبلاغ عنها على الفور ، وفقًا لوصف وظائفهم ، وحفظ رؤوس الخدمات وجميع البيانات لمزيد من التحليل.
التكتيكات:لذا فإن السؤال هو - لماذا يوجد الكثير من عناوين البريد الإلكتروني المستخدمة في النشرات الإخبارية؟
الجواب بسيط - كعب أخيل للخدمة المستخدمة هو تسييل الخدمات والقدرة على التسجيل من خلال صناديق البريد لمرة واحدة (خدمة البريد لمرة واحدة).
1. لذا ، على الأرجح ، أصبحت جميع الحسابات المستخدمة للبريد الآن على خطة مجانية ، والتي تتضمن فقط 500 ميجابايت من رسائل البريد الإلكتروني.
إذا تم "إلقاء" هذا المربع بالرسائل التي تحتوي على مرفقات وكان ممتلئًا ، فسيتعين عليك أولاً تنظيفه للقيام بمزيد من المراسلات. الخطط المدفوعة هي بالفعل دفع مقابل الخدمات واكتشاف إضافي لبياناتها المصرفية.
لذلك ، يمكنك المساعدة في ذلك بإرسال رسائل كبيرة قدر الإمكان إلى العناوين أدناه.
putin.fsb@mailfence.com
putin.fsb1@mailfence.com
putin.fsb2@mailfence.com
putin.fsb3@mailfence.com
putin.fsb4@mailfence.com
just.bro@mailfence.com
kor.bol@mailfence.com
kiano.lok@mailfence.com
jekson.lo1@mailfence.com
laki.kak@mailfence.com
2. اعتراض إدارة صندوق البريد عن طريق
إعادة تعيين كلمة المرور واختيار
تسجيل الدخول من خلال خدمة بريد لمرة واحدة .
من الناحية النظرية ، يمكن الوصول إلى صناديق البريد المدرجة في الفقرة 1 إذا كان بإمكانك تنفيذ عدد كبير من الإجراءات:
- حدد تسجيل الدخول والمجال الضروريين في orp-mail dot org
- إرسال أمر إعادة تعيين كلمة المرور إلى عنوان mailfence dot com
- الحصول على خطاب إعادة تعيين كلمة المرور في temp-mail dot org
- تسجيل الدخول إلى mailfence دوت دوت كوم
بيانات التحديد (حيث * حرف واحد أو أكثر (من 1 إلى 4 أحرف لاتينية على الأرجح) في اسم المستخدم):
الوضع الصعب:إعادة تعيين كلمة المرور - putin.fsb1@mailfence.com
خدمة البريد لمرة واحدة - joo*@321-email.com
خدمة البريد لمرة واحدة - joo*@braun4email.com
خدمة البريد لمرة واحدة - joo*@utooemail.com
إعادة تعيين كلمة المرور - putin.fsb3@mailfence.com
خدمة البريد لمرة واحدة - bud*@321-email.com
خدمة البريد لمرة واحدة - bud*@braun4email.com
خدمة البريد لمرة واحدة - bud*@utooemail.com
هناك مجال واحد فقط للتحقق:إعادة تعيين كلمة المرور - putin.fsb2@mailfence.com
خدمة البريد لمرة واحدة - kul*@utoo.email
إعادة تعيين كلمة المرور - putin.fsb4@mailfence.com
خدمة البريد لمرة واحدة - bep*@4senditnow.com
إعادة تعيين كلمة المرور - just.bro@mailfence.com
خدمة البريد لمرة واحدة - bbl*@heximail.com
3. بدلاً من ذلك ، عن طريق الفرز (من خلال النقر على زر "حذف" في الخدمة)
لتسجيلات الدخول المعتادة (بطول 4-8 أحرف) ، ابحث عن معلومات
تسجيل الدخول الجديدة
المعروضة والتي تبدأ في
kul / bep / bbl / bud / joo .
يمكن تنفيذ النقطة 3 باستخدام طرق البرنامج.
إذا كان أي شخص مهتمًا ويمكنه الوصول إلى صندوق بريد واحد على الأقل من خلال تعداد كبير للبيانات عن طريق تسجيل الدخول في خدمة البريد المتاح ويمكنه (حظر) إيقاف إرسال البريد منه ، فسيكون ذلك رائعًا.
لن نتطرق إلى التحليل اللغوي والأسلوبي لمحتوى الحروف ، على الرغم من وجود أخطاء إملائية ومقاطع صوتية متطابقة في النص ، هناك شيء يجب التفكير فيه. ومع ذلك ، فمن الممكن أن يتم تقديم هذه الجدلية في النص خصيصًا للتسوية.
تتعلق هذه المقالة بالموضوعات التحليلية ، أطلب منك الالتزام بقواعد المورد في التعليقات وعدم تجاوز الإطار المقبول عمومًا