当我们看到垃圾邮件时,我们大多数人都知道它,但是在收件箱里看到一封来自朋友或更糟的是我们自己的奇怪电子邮件是相当令人不安的。如果你看到一封看起来像是朋友发来的邮件,并不意味着他们被黑客攻击了。垃圾邮件发送者总是欺骗这些地址,这并不难做到。下面是他们是怎么做的,你是怎么保护自己的。
垃圾邮件发送者已经欺骗电子邮件地址很长一段时间了。几年前,他们曾经从感染恶意软件的电脑上获取联系人名单。如今的数据窃贼仔细选择目标,并用看起来像是来自朋友、可靠来源,甚至是自己账户的消息对其进行钓鱼。
事实证明,欺骗真实的电子邮件地址是出人意料的容易,这也是为什么网络钓鱼是这样一个问题的一部分。系统工程师、志向远大的CISSP和tl80读者Matthew向我们介绍了它的工作原理,但也让我们大吃一惊的是,他们从其他tl80作者的电子邮件地址给我们中的一些人发了电子邮件。尽管事实上,我们知道这是有可能的,我们都得到了垃圾邮件之前,它是更令人不安的,实际上是被它欺骗。所以,我们跟他谈了他是怎么做到的,以及人们能做些什么来保护自己。
注:下面是一个相当技术性的写作,是为更精通计算机的人设计的。如果你想要一个更基本的关于避免垃圾邮件和诈骗的概述,我们也有一个。
今天,大多数电子邮件提供商已经解决了垃圾邮件问题,至少他们自己满意。Gmail和Outlook拥有强大、复杂的垃圾邮件捕获算法和强大的过滤工具。不过,早在21世纪初,情况并非如此。垃圾邮件仍然是邮件服务器尚未认真解决的一个巨大问题,更不用说开发先进的管理工具了。
2003年,Meng Weng Wong提出了一种邮件服务器“验证”发送邮件的IP地址(互联网上标识计算机的唯一号码)是否被授权代表特定域发送邮件的方法。它被称为发送者许可表单(2004年更名为“发送者策略框架”),Matthew解释了它的工作原理:
每次发送电子邮件时,接收电子邮件的服务器都会将邮件的源IP与电子邮件地址主机的SPF记录中列出的IP地址进行比较(“example.com”部分)
如果两个IP地址匹配,那么电子邮件就可以传递给预期的收件人。如果IP地址不匹配,则该电子邮件将被标记为垃圾邮件或完全拒绝。决定结果的责任完全掌握在接收服务器的手中。
多年来,SPF记录不断发展(最新的RFC发布于2014年4月),互联网上的大多数域都有SPF记录(你可以在这里搜索它们)。
然而,这种方法并不完美,这也是它没有完全流行的部分原因。SPF记录需要管理人员实际添加新的IP地址并删除旧的IP地址,每次更改时记录都需要时间在internet上传播(更新:我们以前将SPF检查绑定到用户IP地址,而mailhosts实际使用该技术来验证邮件通过的服务器是否是代表给定域的授权发件人,而不是所使用的设备是否被授权代表给定地址发送。很抱歉给你带来困惑,感谢那些指出这一点的评论人士!)不管怎样,大多数公司都使用SPF的软版本。它们不是通过阻止有用的邮件来冒误报的风险,而是实现“硬”和“软”失败。电子邮件主机也放宽了对未通过检查的邮件的限制。因此,电子邮件对公司来说更容易管理,但网络钓鱼很容易,而且是个大问题。
然后,在2012年,一种新的记录类型被引入,旨在与SPF一起工作。它被称为DMARC,或基于域的消息验证、报告和一致性。一年之后,它被扩展以保护大量的消费者邮箱(尽管自称为60%的人可能是乐观的)
DMARC归结为两个重要的标志(尽管总共有10个)-“p”标志,它指示接收服务器如何处理潜在的虚假电子邮件,或者通过拒绝、隔离或传递;以及“rua”标志,它告诉接收服务器在哪里可以发送失败消息的报告(通常是域管理员安全组的电子邮件地址)。DMARC记录解决了SPF记录的大部分问题,它把决定如何响应的责任从接收者身上移开。
问题是,还不是每个人都使用DMARC。
这个方便的工具可以让你查询任何域名的DMARC记录——在一些你喜欢的网站(gawker.com,whitehouse.gov,redcross.org,reddit.com)上试试。注意到什么了吗?他们的目标已经公布了DMARC记录。这意味着,任何试图遵守DMARC规则的电子邮件主机都不会有任何关于如何处理SPF失败的电子邮件的指示,可能会让它们通过。这就是谷歌利用Gmail(和谷歌应用程序)所做的,这就是为什么虚假电子邮件可以进入你的收件箱。
为了证明谷歌确实注意到了DMARC记录,看看facebook.com上的DMARC记录——“p”标志表明收件人应该拒绝电子邮件,并向facebook的邮局主管发送一份报告。现在试着伪造一封来自facebook.com的电子邮件,并将其发送到一个它不会通过的Gmail地址。现在看看fb.com的DMARC记录——它表明不应该拒绝任何电子邮件,但无论如何都应该做出报告。如果你测试一下,来自@fb.com的邮件就会通过。
马修还指出,“邮政局长报告”不是玩笑。当他试图用DMARC记录欺骗一个域时,他的SMTP服务器在不到24小时内就被封锁了。在我们的测试中,我们注意到了同样的情况。如果一个域设置正确,他们将很快结束这些欺骗消息,或者至少直到欺骗者使用不同的IP地址。然而,一个没有DMARC记录的域是公平的。你可以欺骗他们几个月,没有人在发送端会注意到这将由接收邮件提供商来保护他们的用户(要么根据内容将邮件标记为垃圾邮件,要么根据邮件的失败SPF检查)
伪造电子邮件地址所需的工具非常容易获得。您只需要一个工作的SMTP服务器(又名,一个可以发送电子邮件的服务器)和正确的邮件软件。
任何好的网络主机都会为您提供一个SMTP服务器(您也可以在自己的系统上安装SMTP,端口25用于发送电子邮件的端口通常被ISP阻止。这是为了避免我们在21世纪初看到的那种大规模电子邮件恶意软件。)对于他对我们的恶作剧,Matthew使用了PHP Mailer。它易于理解,易于安装,甚至有一个web界面。打开PHP Mailer,编写消息,输入“发件人”和“收件人”地址,然后单击send。在收件人端,他们会在收件箱中收到一封电子邮件,看起来像是来自您键入的地址。马修解释道:
这封邮件应该是没有问题的,而且似乎是从任何人你说它是从。在你查看电子邮件的源代码之前,几乎没有迹象表明这不是来自他们的收件箱(Gmail中的“查看原始”选项)[注:见上图]
你会注意到电子邮件“soft”没有通过SPF检查,但它还是进入了收件箱。还需要注意的是,源代码中包含了电子邮件的原始IP地址,因此,如果收件人愿意,可以跟踪电子邮件。
在这一点上需要注意的是,对于电子邮件主机如何处理SPF故障,还没有一个标准。Gmail是我大部分测试的主机,它允许电子邮件进入。然而,Outlook.com并没有发送一封伪造的电子邮件,不管是软邮件还是硬邮件。我的公司交换服务器让他们进来没有问题,我的家庭服务器(OSX)接受了他们,但标记为垃圾邮件。
就这些。我们略过了一些细节,但不多。这里最大的警告是,如果您在欺骗消息上单击“回复”,则返回的任何内容都将返回给地址的真正所有者,而不是欺骗者。不过,这对小偷来说并不重要,因为垃圾邮件发送者和钓鱼者只是希望你点击链接或打开附件。
权衡很明显:由于SPF从来没有真正按照预期的方式流行起来,所以您不需要将设备的IP地址添加到列表中,每次旅行都要等待24小时,或者希望从新智能**发送电子邮件。然而,这也意味着网络钓鱼仍然是一个主要问题。最糟糕的是,这太容易了,任何人都能做到。
这一切可能看起来很神秘,或者看起来像是对一些微不足道的垃圾邮件大惊小怪。毕竟,我们大多数人都知道垃圾邮件,当我们看到它,如果我们曾经看到它。但事实是,对于每一个标记了这些邮件的账户,都有另一个没有标记的账户,钓鱼邮件会进入用户收件箱。
马修向我们解释说,他过去经常欺骗朋友的地址,只是为了恶作剧,让他们有点害怕,比如老板生他们的气,或者接待员发邮件说他们的车被拖走了,但他意识到,即使是在公司网络之外,这辆车也运行得有点太好了。这些伪造的邮件是通过公司邮件服务器发送的,里面有个人资料图片、公司IM状态、自动填充的联系信息等等,这些都是邮件服务器添加的有用信息,所有这些都让伪造的邮件看起来合法。当我测试这个过程的时候,我看到我自己的脸在我的收件箱里看着我,或者惠特森的,甚至亚当·达奇斯,他甚至都没有tl80的电子邮件地址了。
更糟糕的是,判断邮件不是来自它看起来像的人的唯一方法是深入查看邮件头并知道你在找什么(就像我们上面描述的那样)。这对我们中那些在繁忙的工作日有时间处理这些事情的精通技术的人来说是一个相当高的要求?即使是对这封伪造邮件的快速回复也只会引起混乱。这是一个完美的方式,造成一点混乱或目标个人,让他们妥协自己的电脑或放弃登录信息。但如果你看到一些甚至有点可疑的东西,你至少还有一个工具在你的武器库。
因此,如果您希望保护您的收件箱不受此类消息的影响,可以采取以下措施:
一如既往,安全性中最薄弱的环节是最终用户。这意味着,每次收到一封意想不到的电子邮件时,你都需要把基站传感器一直调高。教育你自己。让你的反恶意软件保持最新。最后,请关注这些问题,因为随着我们继续打击垃圾邮件和网络钓鱼,这些问题将继续发展。
格温妮丝·安妮·布朗温·琼斯摄。
...息。为了提供帮助,我们总结了一些在Outlook中避免无用电子邮件的最佳方法。 ...
Microsoft Outlook是世界上最流行的电子邮件客户端之一。尽管很受欢迎,Outlook集成的垃圾邮件过滤功能并没有得到太多的关注。由于垃圾邮件发送者使用越来越新颖的方法来绕过默认的Outlook垃圾邮件拦截器,您的收件箱可能会受...
...上保护你的隐私时,一个好的开始就是使用一个一次性的电子邮件地址。它允许你注册服务或匿名发送信息,或只是减少你的真实电子邮件地址收到垃圾邮件的数量。 ...
... 虽然网络钓鱼包括通过电子邮件或短信发送虚假网站的链接来引诱用户,但另一方面,欺骗却很难被发现。 ...
如果您在Microsoft Outlook中有多个电子邮件帐户,则可以更改新电子邮件中的“发件人”地址。这比切换到不同的收件箱要快,可以让你从不同的地址发送电子邮件,即使它们不是你自己的。下面是一些注意事项。 Outlook允许您从...
...系。 Smishing正在兴起,它给你**上的短信应用程序带来了垃圾邮件诈骗。 骗子也在发送假联邦快递包裹追踪号码的信息,并警告要暂停Netflix帐户,但这是我们见过的最危险的一次。 警惕可疑信息。如果你还没有收到一条诈骗短...
你可能很熟悉基于电子邮件的网络钓鱼,骗子会给你发电子邮件,并试图提取敏感信息,如你的信用卡详细信息或社会安全号码。“Smishing”是基于短信的钓鱼诈骗短信,旨在欺骗你。 什么是短信诈骗(**ishing)? 到目前为止,...
...封邮件,却发现它是垃圾邮件或勒索,似乎来自你自己的电子邮件地址?你不是一个人。伪造电子邮件地址被称为欺骗,不幸的是,你对此无能为力。 垃圾邮件发送者如何欺骗你的电子邮件地址 欺骗是伪造电子邮件地址的行...
一个秘密勒索骗局是这样开始的:一个罪犯通过电子邮件或蜗牛邮件与你联系,并坚称他们有证据证明你欺骗了你的妻子,有一个刺客在跟踪你,或者有一个你看色情的网络摄像头视频。 为了解决这个问题,罪犯要求提供几千...