Здравствуйте. На днях ко мне попало вот такое письмо от ФСТЭК России (в прикреплённой картинке - о ней и пойдёт речь далее). В письме, среди прочего, говорится о том, что некой хакерской группировкой осуществляется фишинговая рассылка электронных писем с домена самого ФСТЭК. Сначала я смутился... признаюсь честно, до этого я думал, что основной вектор подобной атаки заключается в том, чтобы максимально точно мимикрировать под домен организации, например, вместо fstec.ru зарегистрировать fstek.ru или fstec.gov.ru, но здесь - точное совпадение домена. Я решил погрузиться в чтение по данной проблематике и выяснил, что из-за несовершенства SMTP существует возможность подмены заголовков отправляемого пакета, как раз с целью проведения такой атаки. Но эта атака далеко не нова, поэтому, для защиты от подобного рода атак давно придумали такие ресурсные DNS записи, как: SPF, DKIM, DMARC.
Сейчас эти записи для домена fstec.ru существуют, НО... существовали ли они ДО рассылки этого письма? Скажем, по состоянию на 1 января 2025 года? Или до 2025 года они эти записи не настраивали? Каким образом стала возможна рассылка фишинговых писем от ufo@fstec.ru? У меня 3 основных вопроса:
1) Возможна ли подобная атака при существовании SPF, DKIM, DMARC записей?;
2) Если она невозможна (наличие корректно настроенных ресурсных записей исключает подобный вектор атаки), то для чего это письмо? Почему нужно точечно блокировать некоего ufo@fstec.ru?
3) Неужели у домена fstec.ru до сих пор отсутствовали ресурсные записи для защиты от фишинга почты?
Уважаемые эксперты, поделитесь, пожалуйста, знаниями по проблематике. Какой практический смысл от данного письма, кроме как лишний раз обратить внимание и перепроверить СВОИ ресурсные записи.
Простой
Простой
Простой
