<output id="ppj3r"><font id="ppj3r"><del id="ppj3r"></del></font></output>

<dfn id="ppj3r"></dfn>
<output id="ppj3r"><progress id="ppj3r"><p id="ppj3r"></p></progress></output>

<address id="ppj3r"><ruby id="ppj3r"></ruby></address>

    <ins id="ppj3r"></ins>
    <font id="ppj3r"></font>
    <del id="ppj3r"></del>

      瑞星專家詳解偽造郵件攻擊方法和防范措施

      2012-08-13 09:42:19
      摘要:據瑞星“云安全”監測系統統計顯示,從2011年起,釣魚攻擊就已經成為網絡環境中最主要的惡意攻擊方式,其攻擊數量是惡意掛馬攻擊數量的數十倍。據瑞星安全專家介紹,在現有的技術下,黑客可以把釣魚郵件偽裝成任何地址發送給用戶,從而達到釣魚攻擊的目的。

      據瑞星“云安全”監測系統統計顯示,從2011年起,釣魚攻擊就已經成為網絡環境中最主要的惡意攻擊方式,其攻擊數量是惡意掛馬攻擊數量的數十倍。網民經常收到黑客偽造官網發來的各種釣魚郵件,要甄別這些釣魚郵件并不容易,很多人經常采用的方法是查驗發件人地址信息是否為官網郵件地址。但是,是否顯示為官方地址發送的郵件就是安全可信的呢?答案是否定的。據瑞星安全專家介紹,在現有的技術下,黑客可以把釣魚郵件偽裝成任何地址發送給用戶,從而達到釣魚攻擊的目的。

      偽造郵件攻擊方法詳解

      下面我們結合黑客常用的偽造郵件手法進行分析,然后結合實例對偽造郵件攻擊的原理進行描述。首先黑客可以通過提供在線匿名郵件服務的網站進行發送,如http://www.deadfake.com/,如下圖1所示。

      圖1

      正如網站上面介紹的,通過點擊菜單欄的“send fake mail”的標簽,我們就可以進行偽造郵件的發送了,需要填寫的內容如下圖2所示。

      圖2

      這里From表示郵件發送者信息,我們可以在此進行偽造,例如偽造內容為騰訊服務的郵箱地址service@tencent.com,這里為了實現釣魚攻擊的目的,我們將郵件的標題和內容寫成騰訊QQ安全提示的內容,并將郵件正文中的鏈接地址指向釣魚網站地址http://aq.qq-1.tk/ss,最后發送郵件。片刻后,我們收到了該偽造郵件的信息,如下圖3所示。

      圖3

      我們可以發現,發件地址為service@tencent.com,郵件的主題和內容也是剛剛我們發送郵件內容的自定義內容,但是在郵件正文的第一行中,多了一行來自于deadfake的提示信息,提示用戶這封郵件不是真的。那么在這封郵件中,惟一的瑕疵就是deadfake的提示信息內容,然而這對于黑客來說,也不是不能處理的。黑客可以將這個提示信息隱藏,實現的方法就是通過一個與郵件背景顏色相同的圖片進行覆蓋,我們重新構造郵件內容如下圖4所示。

      圖4

      與構造的上一封偽造郵件類似,我們增加了一行HTML代碼,主要作用是在郵件正文中插入一個圖片,圖片顯示為純白色,然后通過style屬性對圖片的位置和大小信息進行設定,保證圖片在顯示時可以將deadfake提示的內容進行覆蓋,然后再次進行發送,當接收到該偽造郵件時,我們可以看到deadfake的提示信息不見了,如下圖5所示。

      圖5

      但是,通過郵件的源代碼文件我們發現,deadfake的提示信息還是有的,只是在郵件顯示的時候不可見了,因為該文字信息已經被我們純白色的圖片覆蓋了。

      deadfake網站的偽造郵件是由網站提供的服務,同樣,黑客也可以構建本地的SMTP服務器實現偽造郵件的發送。例如通過軟件Advanced Direct Remailer這款軟件,如圖6所示。

      圖6

      當電腦安裝并運行Advanced Direct Remailer后,就相當于是一臺SMTP服務器了。這里我們使用網易閃電郵作為郵件客戶端軟件進行演示,運行以后我們需要對郵箱進行配置,作為演示,我們仍然使用騰訊提供服務的郵箱地址service@tencent.com,如下圖7所示。

      圖7

      然后點擊下一步進行SMTP服務器信息的配置,這一步也是配置的關鍵,我們將發送服務器的地址設置為本地的地址,即127.0.0.1,協議選擇SMTP協議,端口采用默認的25端口,這樣郵件客戶端就可以不經過ISP的SMTP服務器而是用本地構建的SMTP服務器直接向目的郵箱發信,配置信息如下圖8所示。

      圖8

      配置完成后,就可以按照正常的郵件發送流程進行發送,我們發送一個測試郵件內容如下圖9所示。

      圖9

      然后點擊發送按鈕,這封郵件就會進入到Advanced Direct Remailer的窗口中,我們點擊Advanced Direct Remailer窗口的運行按鈕,郵件就會進行發送。稍等片刻后,我們的郵箱就會收到剛剛偽造發送的郵件,并且發件人的信息為我們設置的service@tencent.com,如下圖10所示。

      圖10

      偽造郵件攻擊原理分析

      從上面兩種偽造郵件攻擊的方法我們了解到,想實現偽造郵件,偽造發件人的攻擊方式基本上沒有什么技術含量,只需要瀏覽網頁,添加一些文字或者安裝兩個軟件即可。但是,為什么可以輕易地實現偽造郵件攻擊呢?

      SMTP(Simple Mail Transfer Protocol)協議,即簡單郵件傳輸協議,是定義郵件傳輸的協議,它是基于TCP服務的應用層協議,用戶通過SMTP協議所指定的服務器就可以把郵件發送到收件人的服務器上。其郵件傳輸過程共分為三個階段:建立連接、傳輸數據和關閉連接。

      由于傳輸數據的階段是人為可控的,所以就會出現人為控制傳輸數據中發件人、發送的信息實現的偽造郵件攻擊。數據傳輸過程中,SMTP協議主要是通過以下五個主要命令實現的。

      a)?Helo:與SMTP服務器處理郵件的進程開始通信。

      b)?Mail from:郵件發件人的信息,即黑客偽造的發件人地址信息。

      c)?Rcpt to:郵件接收人得信息,即黑客發送偽造郵件的目的郵箱地址。

      d)?Data:郵件正文內容。

      e)?Quit:退出郵件。

      這些命令封裝在應用程序中,對用戶是隱藏的,用戶在發送郵件過程中不會察覺這些命令的使用。

      通過分析SMTP協議工作過程中的主要過程我們了解到,發件人的信息、郵件正文信息均是在發送過程中人為可控的數據,也就解釋了為什么我們之前使用deadfake網站和Advanced Direct Remailer軟件可以實現隨意偽造發件人的地址和郵件正文信息,那么我們結合SMTP傳輸過程中的主要命令,在Advanced Direct Remailer軟件環境來具體了解一下郵件發送的過程。

      首先,我們通過telnet連接SMTP服務器的25端口。輸入命令為telnet 127.0.0.1 25,然后我們看到SMTP服務器返回給我們的信息,然后我們依次輸入剛剛介紹的數據傳輸中的命令,如下圖11所示。

      圖11

      其中,

      HELO tencent.com表示偽造的主機域名信息為tencent.com。

      MAIL FROM: service@tencent.com表示偽造的發件人信息為service@tencent.com。

      RCPT TO: xxx@xxxx.com表示發送的目標郵箱地址為xxx@xxxx.com

      DATA表示開始輸入郵件正文內容

      smtp command test表示郵件的正文內容

      .表示輸入結束

      輸入完成以后即可發現在Advanced Direct Remailer軟件中提示有一封郵件等待發送,如下圖12所示,我們點擊菜單欄中的播放按鈕即可實現該對郵件的發送。

      圖12

      如何防范偽造郵件攻擊

      通過上述對偽造郵件攻擊方法及原理的分析和描述,我們了解到,發件人地址是可以進行偽造的。所以瑞星安全專家建議廣大網民,在收到涉及敏感信息的郵件時,要對郵件內容和發件人信息進行仔細的確認,防范可能存在的偽造郵件攻擊行為。主要的防范方法可以分為以下幾種:

      1.?通過郵件信息確定郵件發送者的真實IP信息。雖然發件人地址是可以偽造的,但是對方的真實IP地址信息卻可以,用戶可以通過分析IP地址信息來確定是否受到偽造郵件攻擊,如下圖13所示。

      圖13

      2.?安裝網絡安全防護軟件。黑客通過偽造郵件攻擊的方式攻擊收件人,很大一部分是通過郵件中的釣魚網站竊取用戶隱私。只要用戶安裝了網絡安全防護軟件,如瑞星個人防火墻或瑞星全功能安全軟件等,就可以對釣魚網站或釣魚行為的識別和攔截,有效防止通過偽造郵件實施的釣魚攻擊。

      3.?通過與發件人直接線下溝通的方式。一旦收到親友、同事發出的可以郵件,最好在線下確認郵件內容的真實有效,再執行相應的操作,以免受到惡意偽造郵件攻擊,造成不必要的損失。

      偽造郵件攻擊是很常見的一種黑客攻擊手法,但是目前還沒有針對該種類型攻擊的完美解決方案。瑞星安全專家提醒廣大用戶,在已有的防范釣魚郵件、釣魚網站攻擊的基礎上,借助本文描述的防范偽造郵件攻擊的方法,當收到疑似偽造郵件攻擊時,對郵件信息進行仔細辨認,遠離偽造郵件攻擊的危害。

      [責任編輯:楊勇]

      相關文章:

      關于瑞星|聯系方式|服務與支持|產品下載| 商務合作|渠道伙伴|網站內容指正

      地址:北京市中關村大街22號?中科大廈1305室  郵編:100190  總機:(010)82678866  傳真:(010)62564934 客服電話:400-660-8866

      版權所有 北京瑞星信息技術有限公司  許可證號:京ICP證080383號 京ICP備08104897號

      備案編號:京公海網安備110108001247號   京網文[2011]0121-043號

           

      欧美另类69XXXXX
      <output id="ppj3r"><font id="ppj3r"><del id="ppj3r"></del></font></output>

      <dfn id="ppj3r"></dfn>
      <output id="ppj3r"><progress id="ppj3r"><p id="ppj3r"></p></progress></output>

      <address id="ppj3r"><ruby id="ppj3r"></ruby></address>

        <ins id="ppj3r"></ins>
        <font id="ppj3r"></font>
        <del id="ppj3r"></del>