הדברים שלא יספרו לכם על שירותי הדואר באופיס 365

פרצת אבטחה אופיס 365

מאת אריאל מרום:

ממש לאחרונה העלנו כאן פוסט המספר על פרצת אבטחה חמורה באופיס 365.

לא רצינו (רציתי) להכנס לפרטים בכדי לא לתת רעיונות לגורמים עוינים ועדין אשתדל  לא לפרט יותר מידי-

אבל ישנם דברים שחשוב שתדעו כאשר אתם בוחרים לארח את הדואר שלכם על שרתי Exchange  של אופיס 365.

אופיס 365 ושירותיו השונים תופסים מקום מכובד בתחום פתרונות הענן ובצדק יש לומר.

מדובר במכלול פתרונות המאפשרים לכל עסק באשר הוא להתנהל בצורה מלאה בענן, החל מדואר ועד לשרתים, אחסון נתונים,

שיתופי קבצים, גיבויים ומה לא..

אז מה הבעיה עם שרתי הדואר?

כאשר משתמש שולח דואר הוא חייב להזדהות בפרטיו, בין אם מדובר בשימוש בתכנת האאוטלוק המבצעת זאת עבורכם

בכל שליחת דואר או אפילו ע"י שימוש בשליחת דואר דרך הדפדפן – OWA  Outlook Web Access.

מסתבר שהשרתים של מיקרוסופט בכל הקשור בדואר מגיעים כברירת מחדל פרוצים לגמרי למשלוח דואר בשמכם.

relay  על שרת הוא דבר חמור ביותר מאחר ומה שהוא מאפשר זה למעשה לשלוח דואר בשם מישהו אחר ללא רשותו.

חלק מהשרתים סגורים ל relay חיצוני אבל פתוחים לפנימי וזה אומר, הנה דוגמה:

אתם עובדים בחברה גדולה מאוד הכוללת כמה סניפים, מחלקות רבות ומאות עובדים,

בוקר אחד אתם מגיעיםלמשרדכם, מתיישבים ליד המחשב, פותחים את ה Outlook  שלכם ומקבלים הודעה ממנהל משאבי אנוש שאתם מפוטרים,

(הוא כמובן לא שלח ולא יודע מכלום).

או לחילופין כל הודעה אחרת שעולה על רוחכם, אתם יכולים לתת לדימיון להתפרע!

זה relay פנימי, חיצוני חמור עוד יותר ! מאחר ואתם יכולים לקבל דואר מגורם חיצוני עוין המוכר לכם כספק מוכר או כל גורם אחר

ועלולים לחשוב כי מדובר בדואר לגיטימי כאשר מי שעומד מאחורי משלוח הדואר עלול להיות צד שלישי עויין.

הונאה של העברת כספים לחו"ל

אחת מההונאות הכי נפוצות היום היא היכולת לנטר תכתובות דואר בין ספקים ללקוחות, להזדהות בשם הספק,

לשנות את ה SWIFT קוד לבנק אחר ולמעשה לנתב את ההעברה הבנקאית לחשבון שלישי שנמצא תחת שמם של העבריינים.

הדרך לבצע זאת פשוטה מאוד, באחד מתכתובות הדואר משנה ההאקר את שם הדומיין ומחליף אות אחת בלבד בסיומת הדומיין.

לדוגמה- כתובת [email protected] u ועכשיו נסו לזהות מה שונה?

[email protected] –  הצלחתם לזהות? נכון , הספרה אפס החליפה את האות O .

כאשר אתם עמוסים בעבודה, לוחות זמנים צפופים יתכן מאוד ותפספסו את השינוי בכתובת ותשיבו לכתובת המזוייפת-

ולמעשה תפתחו ערוץ תקשורות ישירות מול הגורם הזדוני.

טיפ: תמיד לפני העברת כספים צרו קשר טלפוני ובצעו אימות נתונים.

מיקרוסופט יודעים מהבעיה של פרצות האבטחה?

שאלה נפלאה, לא הייתי יכול לשאול טוב יותר בעצמי 🙂

אז התשובה היא כן, הבעיה שהם לא רואים בזה כפרצת אבטחה.

לאחר ששלחתי מייל ל MVP בתחום של מיקרוסופט – לעובד חברה בתפקיד בכיר, מעצמו ! הוא השיב לדואר

וכתב שזה נראה לו תקין – פשוט הזוי !

מפאת כבודו לא נצרף כאן את תכתובת הדואר ביננו…

אבל עם כאלה ארגומנטים עייפתי מלהתווכח ולכן החלטתי לעלות את הפוסט הנ"ל.

אולי היינו צריכים לשלוח דואר ממנו למנכלית מיקרוסופט? 🙂

השליטה והאחריות ביידים שלכם

אפשרי לסגור את הפרצות ולהקשות בכלים די מצומצים ש 365 מספקים לטובת העניין.

ראשית להפעיל DKIM , סינון SPF וגם NDR backscatter:

פרצת אבטחה אופיס 365

 

מעבר להגנות הללו ניתן להוסיף כמובן גם הגנה וסינון צד שלישי, יש דוגמאות לכמה חברות מובילות בתחום.

חשוב לציין, אני בתחום שרתים הדואר של מיקרוסופט משנות ה 2000 המוקדמות, עוד מגרסת 5.5 הרבה לפני העננים למינהם-

והמצב של השרתים מעולם לא היה כך.

הדבר הראשון שהיינו עושים סוגרים שרתים ל Relay, אין שום סיבה שבעולם ששרת בענן יגיע פתוח כברירת מחדל.

קחו את גוגל לרגע כדוגמה ומופת באבטחת המידע, נכון הדברים קצת פחות ידידותיים למנהל ולעיתים מסורבלים יותר –

אבל שם אין שום אופציה ל relay משרת של האחר.

הכל סגור ומסוגר.

הערה נוספת – מעבר לבעיתיות הקיימת בכל האמור לעיל ישנה גם את הבעיה של DDOS – ממש כמו משלוח Ping  בכמויות רבות,

על מנת להשבית שרתים, אתרים וכו', גם כאן ניתן לייצר סקריפטים השולחים דואר ב BULK מטורף ומאזורים שונים ולמעשה להציף את השרת ,

בסשנים מיותרים לחלוטין.

אם אתם חווים תופעות כאלו של משלוח דואר ספאם בכמויות רבות, דואר שמגיע מכם לתיבה שלכם וכו',

זה הזמן לעשות בדק בית ולחשוב כיצד להגביר את האבטחה סביב נושא הדואר שלכם.

 

 

דילוג לתוכן