Tấn công DKIM Replay phơi bày những lỗ hổng nghiêm trọng trong hệ thống bảo mật email

Một chiến dịch lừa đảo tinh vi đã tiết lộ những điểm yếu nghiêm trọng trong hệ thống xác thực email, gây ra cuộc tranh luận sôi nổi giữa các chuyên gia bảo mật về độ tin cậy của các biện pháp bảo vệ email hiện tại. Cuộc tấn công khai thác chữ ký DKIM (DomainKeys Identified Mail) và cơ sở hạ tầng của Google để tạo ra những email giả mạo thuyết phục có thể vượt qua các kiểm tra bảo mật tiêu chuẩn.

Một sơ đồ minh họa cuộc tấn công lừa đảo DKIM replay, mô tả cách thức kẻ tấn công khai thác các hệ thống xác thực email

Phương thức tấn công đặt ra câu hỏi về tính chính xác của bài viết

Cộng đồng kỹ thuật đã bày tỏ sự hoài nghi đáng kể về cách cuộc tấn công được trình bày trong phân tích ban đầu. Các nhà nghiên cứu bảo mật chỉ ra rằng bài viết có vẻ cố tình gây hiểu lầm, cho rằng kẻ tấn công có thể sửa đổi nội dung email trong khi vẫn duy trì chữ ký DKIM hợp lệ. Tuy nhiên, chữ ký DKIM bao gồm một hash của nội dung email, khiến việc sửa đổi nội dung trở nên bất khả thi mà không làm mất hiệu lực chữ ký.

Thực tế có vẻ bình thường hơn nhưng vẫn đáng lo ngại. Kẻ tấn công đang chuyển tiếp những email Google hợp pháp đến những người nhận không mong muốn, tạo ra sự nhầm lẫn và lo sợ mà không thực sự xâm phạm chính nội dung email. Cách trình bày lừa dối bao gồm những ảnh chụp màn hình bị cắt xén che giấu những phần của email có thể tiết lộ bản chất thực sự của nó.

DKIM (DomainKeys Identified Mail): Một phương pháp xác thực email cho phép các tổ chức chịu trách nhiệm về những tin nhắn họ gửi bằng cách thêm chữ ký số vào tiêu đề email.

Phân tích Vector Tấn công

Giả mạo Email Truyền thống:

• Trực tiếp làm giả thông tin người gửi
• Dễ dàng bị phát hiện bởi các hệ thống xác thực hiện đại
• Bị chặn bởi SPF/DKIM/DMARC

Tấn công DKIM Replay:

• Sử dụng các email hợp pháp từ nguồn đáng tin cậy
• Chuyển tiếp đến những người nhận không mong muốn
• Vượt qua tất cả các kiểm tra xác thực
• Khai thác lòng tin vào danh tiếng tên miền

Một thông báo email được chuyển tiếp liên quan đến trát đòi hầu tòa, minh họa cách những kẻ tấn công có thể lạm dụng các email hợp pháp

Google Sites tạo ra vấn đề về niềm tin

Một mối quan tâm lớn được cộng đồng nêu bật liên quan đến việc Google lưu trữ nội dung do người dùng tạo ra dưới tên miền chính của mình thông qua Google Sites . Dịch vụ này cho phép bất kỳ ai có tài khoản Google tạo ra những trang web xuất hiện dưới sites.google.com, mang lại cho chúng độ tin cậy không xứng đáng. Các chuyên gia bảo mật cho rằng điều này tạo ra một vấn đề niềm tin cơ bản, vì những kẻ độc hại có thể dễ dàng tạo ra những trang giả mạo thuyết phục có vẻ là nội dung chính thức của Google .

Vấn đề mở rộng ra ngoài chỉ Google Sites . Những mối quan tâm tương tự tồn tại với các dịch vụ Google khác như Drive lưu trữ nội dung người dùng dưới tên miền chính của Google . Một số chuyên gia đề xuất Google nên làm theo ví dụ của GitHub , tổ chức đã chuyển các trang người dùng sang github.io để tách biệt nội dung người dùng khỏi tên miền chính.

Ảnh chụp màn hình giao diện quản lý trường hợp hỗ trợ của Google , làm nổi bật sự phức tạp của nội dung do người dùng tạo ra liên quan đến các vấn đề bảo mật

Những hạn chế của xác thực email bị phơi bày

Sự cố đã làm nổi bật những hạn chế cơ bản trong các giao thức bảo mật email hiện tại. Trong khi DKIM , SPF , và DMARC cung cấp những biện pháp bảo vệ quan trọng, chúng không được thiết kế để ngăn chặn các tình huống chuyển tiếp email. Cuộc thảo luận cộng đồng tiết lộ rằng nhiều người dùng, bao gồm cả các chuyên gia kỹ thuật, có thể không hiểu đầy đủ những hạn chế này.

Điều này thật đáng sợ. Hãy tưởng tượng việc cố gắng giải thích cho người thân bài học của bài đăng này: luôn luôn nghi ngờ, ngay cả khi email đến từ một tên miền đáng tin cậy và dkim/dmarc/spf đều vượt qua.

Cuộc tấn công hoạt động bởi vì các hệ thống xác thực email tập trung vào việc xác minh danh tính người gửi thay vì đảm bảo tin nhắn chỉ đến được những người nhận dự định. Một khi một email hợp pháp được gửi, nó có thể được chuyển tiếp thông qua nhiều dịch vụ khác nhau trong khi vẫn duy trì chữ ký xác thực của mình.

SPF (Sender Policy Framework): Một phương pháp xác thực email ngăn chặn những kẻ gửi thư rác gửi tin nhắn thay mặt cho tên miền của bạn. DMARC (Domain-based Message Authentication, Reporting, and Conformance): Một giao thức xác thực email xây dựng trên SPF và DKIM để cung cấp biện pháp bảo vệ bổ sung.

So sánh các phương pháp xác thực email

Cộng đồng kêu gọi những giải pháp tốt hơn

Các chuyên gia bảo mật đang kêu gọi cải thiện cơ sở hạ tầng email để giải quyết những lỗ hổng này. Các đề xuất bao gồm việc đánh dấu tốt hơn các email được chuyển tiếp, kiểm soát nghiêm ngặt hơn đối với các tên miền nội dung do người dùng tạo ra, và tăng cường cảnh báo của ứng dụng email khi kết quả xác thực không khớp với các mẫu điển hình.

Cuộc thảo luận cũng tiết lộ rằng những cuộc tấn công tương tự đã được nhiều thành viên cộng đồng quan sát, cho thấy đây không phải là một sự cố biệt lập mà là một phần của mô hình khai thác bảo mật email rộng lớn hơn. Một số người dùng báo cáo nhận được tin nhắn bounce từ máy chủ Google chứa nội dung lừa đảo được nhúng, cho thấy kẻ tấn công đang tìm ra những cách sáng tạo để lạm dụng cơ sở hạ tầng email hợp pháp.

Sự cố này phục vụ như một lời nhắc nhở rằng bảo mật email vẫn là một thách thức phức tạp, với những vector tấn công mới xuất hiện khi tội phạm tìm ra cách khai thác các mối quan hệ tin tưởng được xây dựng trong hệ thống hiện tại. Trong khi cuộc tấn công cụ thể có thể ít tinh vi hơn so với ban đầu được trình bày, nó làm nổi bật những lỗ hổng thực sự ảnh hưởng đến người dùng hàng ngày dựa vào các dấu hiệu trực quan và tên miền để đánh giá tính hợp pháp của email.

Tham khảo: Google Spoofed Via DKIM Replay Attack: A Technical Breakdown