Esiste sicuramente un problema di sicurezza che deriva da un provider che consente la registrazione di indirizzi email quasi identici. Ma non è proprio quello che i tuoi esempi specifici stanno testando. E i suoi effetti non sono nemmeno necessariamente limitati agli utenti del servizio di posta elettronica, ma possono avere un impatto più ampio su chiunque riceve mail da un utente quel servizio. Il pericolo di cui sto parlando è uno che coinvolge la rappresentazione di un utente del servizio verso i destinatari della posta.
Per capire cosa intendo, mettiamo da parte i problemi di confusione (già ben discussi) su ciò che è e non è un indirizzo di posta valido e se l'id di un utente è in realtà lo stesso dell'indirizzo di posta elettronica esterno dell'utente. Invece, diamo un'occhiata al seguente scenario:
L'attaccante vuole che il malware venga impiantato sul computer di Jane Smith. L'attaccante conosce l'indirizzo e-mail di Jane Smith, sa che Jane Smith è molto amica di John Anderson e sa che John Anderson mantiene un indirizzo e-mail attivo con un fornitore di posta elettronica mail.com su [email protected]. L'attaccante controlla il processo di registrazione di mail.com e scopre felice che il servizio gli consentirà di registrare [email protected] (nessun limite) come indirizzo valido. L'attaccante imposta il suo nome "da" per l'account come "John Anderson" e inizia a comporre un'e-mail di pesca in apnea indirizzata a Jane Smith. L'attaccante trova un documento PDF su Internet che sembra il tipo di oggetto che John Anderson e Jane Smith potrebbero trovare reciprocamente interessanti, e quindi usa SET per inserire in quel documento un exploit PDF e un carico utile malevolo.
L'attaccante invia il messaggio. Alla fine di Jane Smith, riceve un'email da "John Anderson" all'indirizzo [email protected]. Il messaggio è un inoltro su un articolo PDF con una raccomandazione di una frase di John: "Ho appena finito questo, e penso che troverai la pena leggere. Non sono sicuro di essere d'accordo con tutti i punti dell'autore, ma molto, molto interessante. " E siccome mail.com certifica crittograficamente che il messaggio proviene effettivamente dall'indirizzo presunto, il servizio di posta elettronica di Jane Smith ha lasciato che il messaggio passasse attraverso la sua casella di posta invece di inviarlo alla cartella spam (come potrebbe accadere se l'attaccante semplicemente spoofed il "da" indirizzo).
Domanda retorica: quali sono le probabilità che Jane Smith apra quell'allegato PDF?
Risposta: all'incirca quanto riceverai per un attacco di pesca in apnea. (Almeno senza avere accesso al sistema di posta elettronica del suo datore di lavoro e impersonare il suo capo, o qualcosa del genere).
Le probabilità che un utente tipico si accorga che [email protected], [email protected] o persino [email protected] non sono dello stesso mittente sono piuttosto basse. (Se l'utente è molto attento alla sicurezza in generale, ovviamente le possibilità di rilevamento aumentano, anche se sospetto non tanto quanto qualcuno potrebbe supporre.) Se il vero indirizzo email della persona reale che l'autore dell'attacco sta tentando di imitare è già nella rubrica del destinatario prima che arrivi l'e-mail dell'utente malintenzionato, il destinatario potrebbe (potrebbe) quando riceverà il messaggio che il mittente di questo particolare messaggio non è lì, come il destinatario si aspetterebbe . E lui o lei potrebbe (potrebbe) trovare un po 'sospettoso. D'altra parte, lui o lei sarà, più probabilmente, basterà presumere che il corrispondente stia inviando email da un nuovo indirizzo leggermente diverso per qualche motivo. O che la funzione della rubrica del suo servizio di posta elettronica era pignola. Oppure ...
Ottieni il punto: questa tattica di imitazione di indirizzo e-mail ravvicinata può essere uno molto potente (anche se a volte trascurato) in attacchi di phishing / spearfishing.
Riguardo a ciò che i provider di posta elettronica possono fare e sono disposti a fare per cercare di bloccare registrazioni di indirizzi molto simili, è una pratica difficile combattere efficacemente anche se un provider di posta elettronica lo desidera. E considerando che qualsiasi fornitore di posta elettronica preferirebbe dire di registrare potenziali utenti "Scusa, quell'indirizzo / ID utente è già stato preso." il minor numero possibile di volte (se ricevono abbastanza quel messaggio potrebbero semplicemente rinunciare e vedere se un altro servizio di posta elettronica è libero da uno dei loro nomi desiderati) gli incentivi per i servizi di posta elettronica sono di consentire la registrazione di praticamente qualsiasi indirizzo email tecnicamente valido (con pochi eccezioni).