|
||||
8月13日消息,據瑞星“雲安全”監測系統統計顯示,從2011年起,釣魚攻擊就已經成為網絡環境中最主要的惡意攻擊方式,其攻擊數量是惡意掛馬攻擊數量的數十倍。網民經常收到黑客偽造官網發來的各種釣魚郵件,要甄別這些釣魚郵件並不容易,很多人經常采用的方法是查驗發件人地址信息是否為官網郵件地址。
但是,是否顯示為官方地址發送的郵件就是安全可信的呢?答案是否定的。據瑞星安全專家介紹,在現有的技術下,黑客可以把釣魚郵件偽裝成任何地址發送給用戶,從而達到釣魚攻擊的目的。
偽造郵件攻擊方法詳解
下面我們結合黑客常用的偽造郵件手法進行分析,然後結合實例對偽造郵件攻擊的原理進行描述。首先黑客可以通過提供在線匿名郵件服務的網站進行發送,如http://www.deadfake.com/,如下圖1所示。
圖1
正如網站上面介紹的,通過點擊菜單欄的“send fake mail”的標簽,我們就可以進行偽造郵件的發送了,需要填寫的內容如下圖2所示。
圖2
這裡From表示郵件發送者信息,我們可以在此進行偽造,例如偽造內容為騰訊服務的郵箱地址service@tencent.com,這裡為了實現釣魚攻擊的目的,我們將郵件的標題和內容寫成騰訊QQ安全提示的內容,並將郵件正文中的鏈接地址指向釣魚網站地址http://aq.qq-1.tk/ss,最後發送郵件。片刻後,我們收到了該偽造郵件的信息,如下圖3所示。
圖3
我們可以發現,發件地址為service@tencent.com,郵件的主題和內容也是剛剛我們發送郵件內容的自定義內容,但是在郵件正文的第一行中,多了一行來自於deadfake的提示信息,提示用戶這封郵件不是真的。那麼在這封郵件中,惟一的瑕疵就是deadfake的提示信息內容,然而這對於黑客來說,也不是不能處理的。黑客可以將這個提示信息隱藏,實現的方法就是通過一個與郵件背景顏色相同的圖片進行覆蓋,我們重新構造郵件內容如下圖4所示。
我們可以發現,發件地址為service@tencent.com,郵件的主題和內容也是剛剛我們發送郵件內容的自定義內容,但是在郵件正文的第一行中,多了一行來自於deadfake的提示信息,提示用戶這封郵件不是真的。那麼在這封郵件中,惟一的瑕疵就是deadfake的提示信息內容,然而這對於黑客來說,也不是不能處理的。黑客可以將這個提示信息隱藏,實現的方法就是通過一個與郵件背景顏色相同的圖片進行覆蓋,我們重新構造郵件內容如下圖4所示。
圖4
與構造的上一封偽造郵件類似,我們增加了一行HTML代碼,主要作用是在郵件正文中插入一個圖片,圖片顯示為純白色,然後通過style屬性對圖片的位置和大小信息進行設定,保證圖片在顯示時可以將deadfake提示的內容進行覆蓋,然後再次進行發送,當接收到該偽造郵件時,我們可以看到deadfake的提示信息不見了,如下圖5所示。
圖5
但是,通過郵件的源代碼文件我們發現,deadfake的提示信息還是有的,只是在郵件顯示的時候不可見了,因為該文字信息已經被我們純白色的圖片覆蓋了。
deadfake網站的偽造郵件是由網站提供的服務,同樣,黑客也可以構建本地的SMTP服務器實現偽造郵件的發送。例如通過軟件Advanced Direct Remailer這款軟件,如圖6所示。
圖6
當電腦安裝並運行Advanced Direct Remailer後,就相當於是一臺SMTP服務器了。這裡我們使用網易閃電郵作為郵件客戶端軟件進行演示,運行以後我們需要對郵箱進行配置,作為演示,我們仍然使用騰訊提供服務的郵箱地址service@tencent.com,如下圖7所示
據瑞星“雲安全”監測系統統計顯示,從2011年起,釣魚攻擊就已經成為網絡環境中最主要的惡意攻擊方式,其攻擊數量是惡意掛馬攻擊數量的數十倍。網民經常收到黑客偽造官網發來的各種釣魚郵件,要甄別這些釣魚郵件並不
然後點擊下一步進行SMTP服務器信息的配置,這一步也是配置的關鍵,我們將發送服務器的地址設置為本地的地址,即127.0.0.1,協議選擇SMTP協議,端口采用默認的25端口,這樣郵件客戶端就可以不經過ISP的SMTP服務器而是用本地構建的SMTP服務器直接向目的郵箱發信,配置信息如下圖8所示。
圖8
配置完成後,就可以按照正常的郵件發送流程進行發送,我們發送一個測試郵件內容如下圖9所示。
圖9
然後點擊發送按鈕,這封郵件就會進入到Advanced Direct Remailer的窗口中,我們點擊Advanced Direct Remailer窗口的運行按鈕,郵件就會進行發送。稍等片刻後,我們的郵箱就會收到剛剛偽造發送的郵件,並且發件人的信息為我們設置的service@tencent.com,如下圖10所示。
圖10
偽造郵件攻擊原理分析
從上面兩種偽造郵件攻擊的方法我們了解到,想實現偽造郵件,偽造發件人的攻擊方式基本上沒有什麼技術含量,只需要瀏覽網頁,添加一些文字或者安裝兩個軟件即可。但是,為什麼可以輕易地實現偽造郵件攻擊呢?
SMTP(Simple Mail Transfer Protocol)協議,即簡單郵件傳輸協議,是定義郵件傳輸的協議,它是基於TCP服務的應用層協議,用戶通過SMTP協議所指定的服務器就可以把郵件發送到收件人的服務器上。其郵件傳輸過程共分為三個階段:建立連接、傳輸數據和關閉連接。
由於傳輸數據的階段是人為可控的,所以就會出現人為控制傳輸數據中發件人、發送的信息實現的偽造郵件攻擊。數據傳輸過程中,SMTP協議主要是通過以下五個主要命令實現的。
a)Helo:與SMTP服務器處理郵件的進程開始通信。
b)Mail from:郵件發件人的信息,即黑客偽造的發件人地址信息。
c)Rcpt to:郵件接收人得信息,即黑客發送偽造郵件的目的郵箱地址。
d)Data:郵件正文內容。
e)Quit:退出郵件。
這些命令封裝在應用程序中,對用戶是隱藏的,用戶在發送郵件過程中不會察覺這些命令的使用。
通過分析SMTP協議工作過程中的主要過程我們了解到,發件人的信息、郵件正文信息均是在發送過程中人為可控的數據,也就解釋了為什麼我們之前使用deadfake網站和Advanced Direct Remailer軟件可以實現隨意偽造發件人的地址和郵件正文信息,那麼我們結合SMTP傳輸過程中的主要命令,在Advanced Direct Remailer軟件環境來具體了解一下郵件發送的過程。
首先,我們通過telnet連接SMTP服務器的25端口。輸入命令為telnet 127.0.0.1 25,然後我們看到SMTP服務器返回給我們的信息,然後我們依次輸入剛剛介紹的數據傳輸中的命令,如下圖11所示。
圖11
其中,HELO tencent.com表示偽造的主機域名信息為tencent.com。
MAIL FROM: service@tencent.com表示偽造的發件人信息為service@tencent.com。
RCPT TO: xxx@xxxx.com表示發送的目標郵箱地址為xxx@xxxx.com
DATA表示開始輸入郵件正文內容
smtp command test表示郵件的正文內容
.表示輸入結束
輸入完成以後即可發現在Advanced Direct Remailer軟件中提示有一封郵件等待發送,如下圖12所示,我們點擊菜單欄中的播放按鈕即可實現該對郵件的發送。
圖12
如何防范偽造郵件攻擊
通過上述對偽造郵件攻擊方法及原理的分析和描述,我們了解到,發件人地址是可以進行偽造的。所以瑞星安全專家建議廣大網民,在收到涉及敏感信息的郵件時,要對郵件內容和發件人信息進行仔細的確認,防范可能存在的偽造郵件攻擊行為。主要的防范方法可以分為以下幾種:
1.通過郵件信息確定郵件發送者的真實IP信息。雖然發件人地址是可以偽造的,但是對方的真實IP地址信息卻可以,用戶可以通過分析IP地址信息來確定是否受到偽造郵件攻擊,如下圖13所示。
圖13
2.安裝網絡安全防護軟件。黑客通過偽造郵件攻擊的方式攻擊收件人,很大一部分是通過郵件中的釣魚網站竊取用戶隱私。只要用戶安裝了網絡安全防護軟件,如瑞星個人防火牆或瑞星全功能安全軟件等,就可以對釣魚網站或釣魚行為的識別和攔截,有效防止通過偽造郵件實施的釣魚攻擊。
3.通過與發件人直接線下溝通的方式。一旦收到親友、同事發出的可以郵件,最好在線下確認郵件內容的真實有效,再執行相應的操作,以免受到惡意偽造郵件攻擊,造成不必要的損失。
偽造郵件攻擊是很常見的一種黑客攻擊手法,但是目前還沒有針對該種類型攻擊的完美解決方案。瑞星安全專家提醒廣大用戶,在已有的防范釣魚郵件、釣魚網站攻擊的基礎上,借助本文描述的防范偽造郵件攻擊的方法,當收到疑似偽造郵件攻擊時,對郵件信息進行仔細辨認,遠離偽造郵件攻擊的危害。