什么是电子邮件欺骗?
电子邮件欺骗是伪造发件人的电子邮件地址来误导收件人。通常,发件人意图欺骗收件人打开并回复电子邮件信息。通过这种方式,发送者诱骗接收者共享敏感信息,比如点击恶意链接。
电子邮件欺骗严重威胁任何组织(或个人用户)的IT安全,其中仅一次网络钓鱼攻击就可能造成不可逆转的损害。此外,它还可能导致商业机密被盗或大规模数据泄露,从而损害公司的财务,损害其声誉,甚至导致法律诉讼。因此,对公司来说,意识到这些风险并了解电子邮件欺骗是如何执行的是至关重要的。
电子邮件欺骗的类型
1.显示名称欺骗
在这种情况下,骗子或恶意发送者冒充一个信誉良好的合法品牌,通过分享个人信息、金融交易细节等来欺骗收件人。这种电子邮件欺骗技术利用了电子邮件客户端的一个共同特征,尤其是在移动设备上。这些电子邮件客户端仅显示电子邮件发件人的名称。因此,接收者可能认为他们收到了来自可信实体的电子邮件,而实际上,电子邮件地址属于恶意发送者。
图1:在Gmail移动应用程序上查看的电子邮件项目
上图为Gmail手机应用收到的一封邮件。需要注意的是,该应用默认只显示发件人的姓名(Flipkart,一个信誉良好的知名品牌),而不是实际的电子邮件地址。但是,任何随机电子邮件地址的发件人都可以将名称设置为Flipkart,这对收件人可见,而不是电子邮件地址。这是一种常见的欺骗电子邮件收件人发件人的真实身份的方法。
2.域欺骗
当一个恶意的电子邮件发送者通过使用假域名(一个看起来来自该公司而不是发件人的域名)将自己伪装成一个受信任的公司的代表时,这被称为域名欺骗。并不是所有的电子邮件服务都会在用户发送电子邮件时验证域名所有权。相反,网络犯罪分子操纵这些服务的电子邮件协议,在“发件人”标题中显示所需的电子邮件地址和名称。
3.邮件注入攻击
图2:通常在网站上用于收集用户信息的虚拟联系表单
许多网站和web应用程序使用联系表单(如图2所示)来收集用户查询、注册详细信息等,并触发向网站管理员或IT管理员发送电子邮件。这些表单通常使用web服务器上的电子邮件库处理的标头。解释生成SMTP命令,然后由适当的SMTP服务器处理这些命令以成功传输消息。在大多数情况下,一切都将无缝地工作,并且消息将毫无问题地到达收件人。但是,如果用户的消息在处理之前没有经过验证,那么这可能会使联系人表单更容易受到攻击邮件头注入,也就是说,SMTP头注入攻击。简单邮件传输协议(Simple Mail Transfer Protocol, SMTP)是一组通信指导原则,它允许通过Internet将电子邮件从发送方传输到接收方。它可以解释通过电子邮件共享的不同命令。
一封邮件可以分为两部分:
- 身体
- 信封
电子邮件正文是发送者想要发送的信息。信封包含SMTP可以解释的不同命令。以下是一些你需要知道的命令:
- 邮件:添加消息发送方。
- 收件人:添加邮件收件人。它被多次使用,以同时向多个人传递消息。
- 数据:通知邮件服务器消息数据,包括邮件头和正文文本,将与其他字段一起发送。
重要的是要记住,电子邮件标头不是SMTP协议的一部分。电子邮件客户端使用它们以标准格式显示电子邮件。以下是一些你需要知道的邮件标题:
•来自:添加发件人。此电子邮件地址可以不同于邮件从电子邮件地址。
•:添加收件人。这可以不同于收件人内容。
这是一个SMTP通信的例子:
- >邮件来自:(yourenemy@email.com)
- < 250 ok
- > RCPT TO:(victim@useremail.com)
- < 250 ok
- >数据
- < 354发送消息内容;以(CRLF)结尾。(CRLF)
- > Content-Type: text/html
- 日期:2020年4月15日(星期三)00:04:05
- 来自你的朋友:(yourfriend@email.com)
- 主题:需要你的帮助
- 致:受害者(victim@useremail.com)
- >
- 嘿,伙计!
- 希望你一切都好。实际上,我写信给你是因为我急需用钱。是给我妈妈做紧急手术用的我稍后会打电话给你解释,但现在,我不要求具体的金额。只要你愿意给多少钱就给多少钱。这是我的银行账户链接:www.maliciouswebsiteaddress.com。收到邮件后请尽快发送。
- > --
- 我爱你!
- 你的朋友
- >。
- < 250 ok
以上邮件将于victim@useremail.com。然而,他们将看到它是由yourfriend@email.com(而不是yourenemy@email.com)发送的。这就是网络罪犯欺骗收件人的方式。
web编程语言中的电子邮件库通常不允许添加信封命令。但是,如果提供电子邮件标头,库可以将其转换为适当的SMTP命令。不幸的是,这个功能被网络犯罪分子利用,因为他们可以使用特定的电子邮件标头,这些标头被转换成适当的SMTP命令。
4.IDN同源攻击
看看以下领域:
www。ɡoogle.com
www.google.com
它们都是谷歌的网址,对吧?不幸的是,答案是“不”。这两个网站对于普通的网络用户来说可能看起来是一样的,但是对于一台电脑来说,它们之间有一个重要的区别。第一个URL中的“g”是一个拉丁小写字母,其Unicode十六进制为U+0261。在第二个URL中,它是拉丁小写字母G,其Unicode十六进制为U+0067。计算机可以识别这种差异,并以不同的方式对待域名。
拉丁字母系统中许多熟悉的字符看起来是一样的,但是它们的十六进制值是不同的。因此,这些被称为同音异形的字母可能会构成严重的安全威胁。让我们看一个例子来理解现实场景中的问题。
我们都知道科技巨头苹果公司。苹果公司有一个官方网站,网址是www.apple.com。然而,有人可以使用视觉上相似的域名,例如www.apple.com,其中a和e字符借用了西里尔字母系统,具有不同的Unicode值(U+0430和U+0435与拉丁字母系统相比,这些字母的Unicode值是U+0061和U+0065)。因此,如果有人收到一封电子邮件,发件人的电子邮件地址在视觉上显示为customercare@apple.com,他们可能会认为这是来自苹果公司(Apple Inc.)。相信这封电子邮件对收件人来说很容易,他们可能会受到网络钓鱼攻击。
注意:在你的邮件预览中,两者都有customercare@apple.com和customercare@apple.com看起来是一样的。
如何防止电子邮件欺骗?
- 打开电子邮件附件时要小心。要特别注意那些有紧迫感的邮件主题。
- 质疑来自未知发件人的电子邮件的内容、通用问候、称呼和电子邮件正文内容。无论何时收到不请自来的消息,都要对消息的内容提出质疑。如果邮件要求提供任何个人信息,或将用户引导到一些外部链接或打开的附件,这是一个警告信号,表明电子邮件已被欺骗。
- 调查令人困惑的背景,比如带有其他员工度假照片的电子邮件,从未召开过的会议文件等。
- 确保调整垃圾邮件过滤器,这样包含恶意链接或附件的电子邮件就不会进入收件箱。
- 通过验证用户在联系表单中的输入,可以减轻电子邮件头注入等欺骗攻击。您应该确保用户无法在消息中添加任何换行字符,因为这些字符可能允许攻击者追加邮件标题。实现这一点的一个简单方法是创建并实现授权字符的白名单。
- 为了防止同形图攻击,您可以配置浏览器,使其不支持国际化应用程序中的域名(IDNA)。您还可以阻止使用不同脚本(如西里尔字母)的国际域名(idn)网站。
- 上网时,远离可疑网站。
- 安装和维护高质量的反病毒和反恶意软件程序。保持操作系统和软件的最新状态将确保它们免受最新的威胁。
- 避免通过电子邮件分享与财务相关的个人机密信息。
- SPF(发件人策略框架)、DKIM(域密钥识别邮件)和DMARC(基于域的消息认证、报告和一致性)验证应由安全运营中心团队正确设置。
- 仔细检查电子邮件标题信息。电子邮件头包含了大量关于电子邮件所经过的跳跃路径的信息。确保“从”电子邮件地址与显示名称和“应答”头匹配源。密切关注“网络”Field也是。
- 使用强大而复杂的电子邮件密码,难以被黑客猜到和破解。
使用电子发现和电子邮件调查软件
恒星电子邮件取证是一款先进的电子邮件搜索软件,分析和调查各种电子邮件客户端,电子邮件服务(如Exchange, Office 365, GroupWise Server, Google Mail, Notes等)和电子邮件备份文件的邮箱数据,具有100%的准确性。该软件允许电子邮件调查超过25个文件格式,如教育局,太平洋标准时间, OST, DBX, NSF, MBOX, OLM, TBB, EML等,通过一个接口。换句话说,它有助于数字证据收集。恒星电子邮件取证的另一个重要功能是,它允许在刑事调查期间通过标记、书签和日志来管理案件。此外,该工具还生成定制的诉讼报告。在法庭上出示证据,批量邮件取证网络攻击的后遗症很有可能会大规模扩散,因此也有必要进行预防。证据被保存在MD5和SHA1哈希值同时提取和分析数据。
