宝马娱乐平台

新知丨收到钓鱼邮件你可以注意这些

来源:首页 | 时间:2018-11-24

  近日,在邮箱看到一封钓鱼邮件。由于近期邮件系统多次受到钓鱼邮件侵袭,便想以这封钓鱼邮件为例,一起分析下其工作原理和防范措施。

  我们下载附件(病毒邮件)后,通过 Foxmail 等邮件客户端打开(这里建议没有经验的用户在沙箱中或虚拟机中操作),发现其仅包含一个名为 ng5c1 的 .jpg 图片文件。

  钓鱼邮件的主要功能代码就在附件图片中。如果操作系统存在相关漏洞(如缓冲区溢出),那么用户打开或者处理图片时利用漏洞(如发生溢出)会导致图片内携带的恶意指令得以执行。而这些恶意指令是可以通过图片木马合成工具或者 Dos 命令添加到图片中的。我们通过十六进制打开这副图片。如下图:

  钓鱼邮件指通过伪装的电子邮件欺骗获取收件人账号、口令等重要信息或引导收件人浏览特定页面、文件等的一种电子欺诈手段。

  其实,就本例而言,我们仔细分析这封邮件的邮件头,还可以发现,这封邮件是一名俄罗斯黑客通过伪造 Google 的 gmail 邮件服务,以 为显示发件人发送的。至于为什么说是伪造的,下文将涉及。

  下面,笔者将演示钓鱼邮件的制作和攻击的过程,便于读者更好地理解其原理。我们以著名购物网站某宝为例(笔者承诺文中模板仅为测试用,未有非法攻击等违法行为):

  钓鱼前,我们需要伪造一个用户熟悉信任的网站来诱骗用户登录,从而获取他们的登录账户、密码等重要信息。这里我们通过 set 工具包克隆某宝网站,如下图:

  请各位注意,该网站地址为 。同官方网址 相比,该钓鱼网址具有较大迷惑性。一般来讲,我们可能还会遇到如下形式的钓鱼网站地址伪造:如 。攻击者会先申请一个域名,然后注册其子域名进行欺骗。或者,诸如 形式,通过添加连接线等方式欺骗用户,迷混过关。

  本例中,当用户在 网站密码登录表单内输入相关信息时,用户相关账户信息将被发送至指定用户那里。如下图:

  如何让用户点击该钓鱼链接,进而窃取其账户信息呢?这涉及社会工程学范畴。我们通常见到的有退款通知、中奖通告、补丁升级等具有一定吸引力的标题内容。就文中示例而言,我们可以伪造成退货进度通知,退款申请或者申请售后查询等相关信息去发布该链接。

  这里,我们先了解下社会工程学的定义。社会工程学(Social Engineering)是一种通过人际交流的方式获得信息的非技术渗透手段。对于黑客而言,或许通过一个用户名、一串数字或英文代码、一段自述文字,并加以筛选、整理,就可以把个人的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、上网痕迹等个人信息基本掌握。

  我们制作好钓鱼网站并编写代码接受用户账户信息后,便可以发布该网站链接了。如下图:

  我们通过技术手段伪造了某宝客户邮箱账号 ,给我们邮箱发了一封钓鱼邮件。接收邮件截图如下:

  我们可以发现从收件箱看来,并无异常。当然,我们这里仅为说明起见,邮件内容做的较为粗糙。黑客在真实钓鱼过程中会将邮件内容做到更加逼真,并将该类型邮件群发。若有用户点击,则其账户相关信息将如上文所示发到指定人那里。

  1. Email网关反向查询邮件来源的域名。若域名未设置MX(邮件交换记录)或无MX记录,网关会丢弃该邮件。MX的作用是给发信者指明该域名的邮件服务器有哪些。

  2. 有的邮件服务器具备whois功能,能够判断邮件内容和邮箱对应域名提供业务是否匹配,从而判断该邮件是否正常。

  SPF是跟DNS相关的一项技术,它的内容写在DNS的TXT类型的记录里面。SPF的作用跟MX相反,可理解为一个反向DNS,将邮箱域名和固定的IP源绑定,它向收信者表明,哪些邮件服务器是经过该域名认可发送邮件的。主要针对发信人伪造域名的危险邮件。例如上文中我们伪造发件人是的邮件,我们通过查询邮件头会发现,其spf值为fail,表明该封自称为来自淘宝的邮件发送地址是非法的。如下图:

  看到这里,各位应该明白为什么本文开头说的俄罗斯黑客使用的Gmail邮箱地址是伪造的了吧。

  DKIM 基本工作原理是基于传统的密钥认证方式。其会产生两组钥匙,公钥(public key)和私钥(private key)。公钥将会存放在 DNS 中,而私钥会存放在寄信服务器中。数字签名会自动产生,并依附在邮件头中,发送到寄信者的服务器里。公钥则放在 DNS 服务器上,供自动获得。收信的服务器,将会收到夹带在邮件头中的签名和在 DNS 上自己获取公钥,然后进行比对,比较寄信者的域名是否合法,如果不合法,则判定为危险邮件。

  简单来说,发送方会在电子邮件的标头插入 DKIM-Signature 及电子签名信息。而接收方则通过 DNS 查询得到公开密钥后进行验证。

  国外很多邮件服务提供商,像 Google 的 Gmail 都采用了 DKIM 技术。而国内大部分邮件服务提供商尚未使用该技术来屏蔽危险邮件。

  2. 如果邮箱提示由 XXX 代发,即显示发件人和实际发件人不一致,要引起我们注意。像 Foxmail 便提供设置显示发件人的功能。

  3. 通过上面提到的查看邮件原文代码,观察 SPF 的值。不同值的含义如下图:

  4. 当然,如果我们有一定计算机基础,还可以查询邮件服务器是否有 MX 设置。

  钓鱼邮件的诈骗方法不会仅拘泥于一种,除了会造成经济损失外,也可能造成严重政治危机。因此,我们要时刻保持对邮件的甄别,对被隔离或者警告的邮件谨慎操作。一旦发现有被攻击迹象,立即断开本机网络,第一时间修改个人账户信息,并请专业人员检查计算机系统。


[!--vurl--]