חולשה בהעברת דואר אלקטרוני מקלה על תקיפות פישינג
This post is also available in: 
English (אנגלית)
פגמים בתהליך של העברת מיילים מאפשר יצירת הודעות פישינג בקלות רבה מאי פעם, על פי צוות מחקר באוניברסיטת קליפורניה בסן דייגו.
החוקרים חשפו בעיות בעלות השפעה רחבה על ארגונים בעלי פרופיל גבוה בארה"ב, כמו הממשלה, השירותים הפיננסיים וארגוני החדשות.
על פי Techxplore, החולשה נקראת "זיוף מבוסס העברה", והיא מאפשרת לגורמים זדוניים להתחזות לארגונים ולעקוף את אמצעי ההגנה המופעלים על ידי ספקי הדואר האלקטרוני. אז אנשים המקבלים את המיילים נוטים מאוד לבטוח במקור, וכך ליפול בפח ולהדבק בנוזקה המצורפת.
כיום, ארגונים רבים מעבירים את תשתית הדואר האלקטרוני שלהם לגופים חיצוניים כמו Gmail ו-Outlook, וכתוצאה מכך אלפי דומיינים האצילו את הזכות לשלוח דואר אלקטרוני מטעמם לאותו צד שלישי. אמנם יש הגנות בתוך התהליך, אבל ניתן לעקוף אותן על ידי העברת דואר אלקטרוני.
לאחר שדיווחו על כל החולשות וההתקפות לספקים, החוקרים מדווחים כי החברות Zoho, Microsoft, Gmail ו-iCloud הגיבו שהן פועלות לתיקון הבעיה.
עם זאת, החוקרים ממליצים להשבית את האפשרות של "העברה פתוחה", תהליך המאפשר למשתמשים להגדיר את החשבון שלהם להעביר הודעות לכל כתובת דוא"ל ייעודי ללא כל אימות על ידי כתובת היעד.
המלצות אחרות להתמודד עם הבעיה קשורות ל"מדיניות אימות רגועה", כלומר ההנחה שאימיילים המגיעים מספק גדול אחר הם לגיטימיים, או הגדרה שרשימות דיוור ידרשו אישור מכתובת השולח האמיתית לפני מסירת דואר אלקטרוני.
החוקרים מסיקים כי גישה יעילה יותר תהיה סטנדרטיזציה של היבטים שונים של העברת מיילים, אך מסתייגים כי ביצוע שינויים כאלה ידרוש שיתוף פעולה מערכתי רחב וככל הנראה ייתקל בבעיות תפעוליות רבות.
"בעיה בסיסית אחת היא שפרוטוקולי אבטחת דוא"ל מופצים, אופציונליים ועוברים קונפיגורציה עצמאית", כותבים החוקרים, "וזה יוצר משטח התקפה גדול ומורכב עם הרבה אינטראקציות אפשריות אותן לא ניתן לצפות או לנהל בקלות ע"י צד אחד בלבד".
המחקר פורסם בשרת arXiv.
