Обновена на 31.10.2024 от Questo
ПРЕДУПРЕЖДЕНИЕ: Статията е написана само с информативна цел. Изпращането на фишинг и подвеждащи имейл съобщения е престъпление. Описаните в статията тестове са осъществени в изолирана среда, без опасност съобщенията да достигнат до реални реципиенти.
Всеки с лаптоп и интернет връзка може да изпрати имейл съобщение от името на поне 40% от политическите партии и коалиции с най-голям шанс да влязат в парламента.
Не е необходимо този някой да хаква имейл акаунти или да разполага с физически достъп до компютри на съответната партия.
Достатъчно е да отвори сайт в интернет, да напише желаното съобщение и да го изпрати от имейл адреса на когото си поиска: например press-center@vazrazhdane или bborisov@gerb.bg.
Изпращането на фалшиви имейли (email spoofing) е възможно, тъй като значителна част от българските партии не защитават домейните си с протокол за валидиране DMARC.
Организациите използват DMARC като превантивна мярка срещу това някой да изпраща фалшиви имейли от тяхно име.
Въпреки че е достъпна и считана за стандарт технология, почти половината от десетте партии и колации с най-голяма електорална подкрепа в момента не използват DMARC. Това ги прави потенциална жертва на манипулации, всяване на паника и други проблеми, които биха могли да усложнят още повече политическата обстановка в страната.
Лесно ли се фалшифицира имейл?
За целите на тази статия тествах сайтовете на десетте партии и коалиции, събрали най-много електорална подкрепа в социологическо проучване, проведено от „Маркет Линкс“ непосредствено преди парламентарните избори през октомври 2024 г.
Всеки от домейните беше тестван дали използва DMARC и как е конфигуриран.
Изпратих фалшиви имейли до няколко различни имейл клиента, за да проверя дали ще маркират съобщенията като спам.
За фалшивите имейли използвах сайта Emkei, който е нещо като швейцарско ножче за спам. С него злонамерено лице може да изпраща фалшиви имейли дори ако няма никакви технически познания. Трябват му единствено лаптоп и връзка с интернет.
Симулирах изпращането на фалшив имейл от името на българска партия до представители на медиите.
Защо точно медии? Защото знаем, че нещо подобно вече се е случвало.
През 2015 г. българските медии получиха фалшив имейл от името на „Движение България на гражданите“. Съобщението(изпратено вероятно с Emkei) гласеше, че движението напуска управляващата коалиция. То беше разпространено от повечето български медии без никаква проверка на фактите и предизвика кратка суматоха.
Същата тактика може да се използва за всяване на паника, подриване на нечия репутация, наклаждане на омраза и други.
Какво показват резултатите
След като знаем какви може да са последствията, нека да видим как се справят с фалшивите имейли българските партии.
1. Четири партии от топ 10 не използват DMARC
Това са БСП, „Възраждане“, ГЕРБ (домейнът на СДС също не използва) и „Синя България. Те представляват 40% от представителната извадка и около 47% от гласоподавателите (на база прогнозните данни от социологическото изследване).
Злонамерено лице може да изпрати имейл от името на коя да е от тези партии. Ако получателят използва Roundcube или ABV, има голяма вероятност писмото да се настани в пощенската му кутия, без да буди никакво съмнение.
2. Пет партии от топ 10 използват DMARC, но с твърде малко рестрикции
Това са АПС, Величие, ИТН, МЕЧ и „Продължаваме промяна“ (важи и за коалиционните им партньори „Да, България“).
Домейните на тези партии имат активен DMARC, но той не е настроен максимално рестриктивно; което малко или много обезсмисля използването му.
Ако някой се опита да изпрати фалшив имейл от името на тези партии, съобщението в най-добрия случай ще се озове в папка „Спам“. При нашия експеримент писмото беше засечено като спам от АБВ и Outlook, но безпрепятствено се озова в пощенската кутия на Roundcube.
3. Само една партия в топ 10 използва (почти)ефективно DMARC
Това е „ДПС-Ново начало“, която е настроила своята DMARC политика на „quarantine“, така че съмнителните писма отиват в папка „Спам“. Съответно всички имейл клиенти, които използвах за теста, засякоха опитите да се използва непровомерно домейна на партията.
И в този случай обаче получателят може да бъде заблуден. Много потребители пренасочват служебната си поща към личния си имейл, който е например в Gmail. Gmail има доста добри спам филтри. Но когато спамът премине първо през служебната поща, възможно е той да се озове в пощенската кутия в Gmail, без да бъде маркиран като съмнителен.
DMARC не е панацея
Важно е да се отбележи, че тази технология не слага край на спама. DMARC работи в съчетание с други механизми за автентификация като SPF и DKIM, за да потвърди автентичността на имейл адреса, от който идва съобщението.
При една добре обмислена spoofing атака, DMARC може да се окаже неефективен. Въпреки това е една евтина и лесна за имплементиране технология, която обаче не се използва ефективно от български партии и държавни институции.
И това важи не само за България. Според проучване на Red Sift около 75% от сайтовете, свързани с изборите за сенат на САЩ, нямат ефективна DMARC политика. В тези 75% влизат както домейните без DMARC, дори и тези, които имат DMARC, но не филтрират спама.
Ако приложеим същата методология към българските резултати, то 40-те процента, за които се споменава в заглавието на тази статия, се превръщат в 90%.
Има много други мерки за борба срещу спама: спам филтри, обучение на служителите и т.н. Те обаче зависят от самите потребители, които получават електронна поща. DMARC е нещо, което всеки собственик на домейн може да използва, за да намали риска да бъде имперсониран в онлайн комуникация.
Знаете ли дали АБВ Поща използва DMARC?
Да, АБВ използва DMARC, но е настроен да не прави нищо със спама. Тоест възможно е да се изпрати фалшив имейл с разширение @abv.bg и ако имейл клиентът на получателя няма адекватно настроени спам филтри, писмото ще си пристигне в Inbox като всички останали имейли.
Може да проверите дали даден домейн има DMARC с този инструмент: https://dmarcian.com/dmarc-inspector/