圖1

正如網(wǎng)站上面介紹的，通過點擊菜單欄的“send fake mail”的標(biāo)簽，我們就可以進(jìn)行偽造郵件的發(fā)送了，需要填寫的內(nèi)容如下圖2所示。

圖2

這里From表示郵件發(fā)送者信息，我們可以在此進(jìn)行偽造，例如偽造內(nèi)容為騰訊服務(wù)的郵箱地址service@tencent.com，這里為了實現(xiàn)釣魚攻擊的目的，我們將郵件的標(biāo)題和內(nèi)容寫成騰訊QQ安全提示的內(nèi)容，并將郵件正文中的鏈接地址指向釣魚網(wǎng)站地址http://aq.qq-1.tk /ss，最后發(fā)送郵件。片刻后，我們收到了該偽造郵件的信息，如下圖3所示。

圖3

我們可以發(fā)現(xiàn)，發(fā)件地址為service@tencent.com，郵件的主題和內(nèi)容也是剛剛我們發(fā)送郵件內(nèi)容的自定義內(nèi)容，但是在郵件正文的第一行中，多了一行來自于deadfake的提示信息，提示用戶這封郵件不是真的。那么在這封郵件中，惟一的瑕疵就是deadfake的提示信息內(nèi)容，然而這對于黑客來說，也不是不能處理的。黑客可以將這個提示信息隱藏，實現(xiàn)的方法就是通過一個與郵件背景顏色相同的圖片進(jìn)行覆蓋，我們重新構(gòu)造郵件內(nèi)容如下圖4所示。

圖4

與構(gòu)造的上一封偽造郵件類似，我們增加了一行HTML代碼，主要作用是在郵件正文中插入一個圖片，圖片顯示為純白色，然后通過style屬性對圖片的位置和大小信息進(jìn)行設(shè)定，保證圖片在顯示時可以將deadfake提示的內(nèi)容進(jìn)行覆蓋，然后再次進(jìn)行發(fā)送，當(dāng)接收到該偽造郵件時，我們可以看到 deadfake的提示信息不見了，如下圖5所示。

圖5

但是，通過郵件的源代碼文件我們發(fā)現(xiàn)，deadfake的提示信息還是有的，只是在郵件顯示的時候不可見了，因為該文字信息已經(jīng)被我們純白色的圖片覆蓋了。

deadfake網(wǎng)站的偽造郵件是由網(wǎng)站提供的服務(wù)，同樣，黑客也可以構(gòu)建本地的SMTP服務(wù)器實現(xiàn)偽造郵件的發(fā)送。例如通過軟件Advanced Direct Remailer這款軟件，如圖6所示。

圖6

當(dāng)電腦安裝并運行Advanced Direct Remailer后，就相當(dāng)于是一臺SMTP服務(wù)器了。這里我們使用網(wǎng)易閃電郵作為郵件客戶端軟件進(jìn)行演示，運行以后我們需要對郵箱進(jìn)行配置，作為演示，我們?nèi)匀皇褂抿v訊提供服務(wù)的郵箱地址service@tencent.com，如下圖7所示。

圖7

然后點擊下一步進(jìn)行SMTP服務(wù)器信息的配置，這一步也是配置的關(guān)鍵，我們將發(fā)送服務(wù)器的地址設(shè)置為本地的地址，即127.0.0.1，協(xié)議選擇 SMTP協(xié)議，端口采用默認(rèn)的25端口，這樣郵件客戶端就可以不經(jīng)過ISP的SMTP服務(wù)器而是用本地構(gòu)建的SMTP服務(wù)器直接向目的郵箱發(fā)信，配置信息 如下圖8所示。

圖8

配置完成后，就可以按照正常的郵件發(fā)送流程進(jìn)行發(fā)送，我們發(fā)送一個測試郵件內(nèi)容如下圖9所示。

圖9

然后點擊發(fā)送按鈕，這封郵件就會進(jìn)入到Advanced Direct Remailer的窗口中，我們點擊Advanced Direct Remailer窗口的運行按鈕，郵件就會進(jìn)行發(fā)送。稍等片刻后，我們的郵箱就會收到剛剛偽造發(fā)送的郵件，并且發(fā)件人的信息為我們設(shè)置的 service@tencent.com，如下圖10所示。

圖10

偽造郵件攻擊原理分析

從上面兩種偽造郵件攻擊的方法我們了解到，想實現(xiàn)偽造郵件，偽造發(fā)件人的攻擊方式基本上沒有什么技術(shù)含量，只需要瀏覽網(wǎng)頁，添加一些文字或者安裝兩個軟件即可。但是，為什么可以輕易地實現(xiàn)偽造郵件攻擊呢?

SMTP(Simple Mail Transfer Protocol)協(xié)議，即簡單郵件傳輸協(xié)議，是定義郵件傳輸?shù)膮f(xié)議，它是基于TCP服務(wù)的應(yīng)用層協(xié)議，用戶通過SMTP協(xié)議所指定的服務(wù)器就可以把郵件發(fā)送到收件人的服務(wù)器上。其郵件傳輸過程共分為三個階段：建立連接、傳輸數(shù)據(jù)和關(guān)閉連接。

由于傳輸數(shù)據(jù)的階段是人為可控的，所以就會出現(xiàn)人為控制傳輸數(shù)據(jù)中發(fā)件人、發(fā)送的信息實現(xiàn)的偽造郵件攻擊。數(shù)據(jù)傳輸過程中，SMTP協(xié)議主要是通過以下五個主要命令實現(xiàn)的。

a) Helo：與SMTP服務(wù)器處理郵件的進(jìn)程開始通信。

b) Mail from：郵件發(fā)件人的信息，即黑客偽造的發(fā)件人地址信息。

c) Rcpt to：郵件接收人得信息，即黑客發(fā)送偽造郵件的目的郵箱地址。

d) Data：郵件正文內(nèi)容。

e) Quit：退出郵件。

這些命令封裝在應(yīng)用程序中，對用戶是隱藏的，用戶在發(fā)送郵件過程中不會察覺這些命令的使用。

通過分析SMTP協(xié)議工作過程中的主要過程我們了解到，發(fā)件人的信息、郵件正文信息均是在發(fā)送過程中人為可控的數(shù)據(jù)，也就解釋了為什么我們之前使用deadfake網(wǎng)站和Advanced Direct Remailer軟件可以實現(xiàn)隨意偽造發(fā)件人的地址和郵件正文信息，那么我們結(jié)合SMTP傳輸過程中的主要命令，在Advanced Direct Remailer軟件環(huán)境來具體了解一下郵件發(fā)送的過程。

首先，我們通過telnet連接SMTP服務(wù)器的25端口。輸入命令為telnet 127.0.0.1 25，然后我們看到SMTP服務(wù)器返回給我們的信息，然后我們依次輸入剛剛介紹的數(shù)據(jù)傳輸中的命令，如下圖11所示。

圖11

其中，

HELO tencent.com表示偽造的主機(jī)域名信息為tencent.com。

MAIL FROM: service@tencent.com表示偽造的發(fā)件人信息為service@tencent.com。

RCPT TO: xxx@xxxx.com表示發(fā)送的目標(biāo)郵箱地址為xxx@xxxx.com

DATA表示開始輸入郵件正文內(nèi)容

smtp command test表示郵件的正文內(nèi)容

.表示輸入結(jié)束

輸入完成以后即可發(fā)現(xiàn)在Advanced Direct Remailer軟件中提示有一封郵件等待發(fā)送，如下圖12所示，我們點擊菜單欄中的播放按鈕即可實現(xiàn)該對郵件的發(fā)送。

圖12

如何防范偽造郵件攻擊

通過上述對偽造郵件攻擊方法及原理的分析和描述，我們了解到，發(fā)件人地址是可以進(jìn)行偽造的。所以瑞星安全專家建議廣大網(wǎng)民，在收到涉及敏感信息的郵件時，要對郵件內(nèi)容和發(fā)件人信息進(jìn)行仔細(xì)的確認(rèn)，防范可能存在的偽造郵件攻擊行為。主要的防范方法可以分為以下幾種：

1. 通過郵件信息確定郵件發(fā)送者的真實IP信息。雖然發(fā)件人地址是可以偽造的，但是對方的真實IP地址信息卻可以，用戶可以通過分析IP地址信息來確定是否受到偽造郵件攻擊，如下圖13所示。

圖13

2. 安裝網(wǎng)絡(luò)安全防護(hù)軟件。黑客通過偽造郵件攻擊的方式攻擊收件人，很大一部分是通過郵件中的釣魚網(wǎng)站竊取用戶隱私。只要用戶安裝了網(wǎng)絡(luò)安全防護(hù)軟件，如瑞星個人防火墻或瑞星全功能安全軟件等，就可以對釣魚網(wǎng)站或釣魚行為的識別和攔截，有效防止通過偽造郵件實施的釣魚攻擊。

3. 通過與發(fā)件人直接線下溝通的方式。一旦收到親友、同事發(fā)出的可以郵件，最好在線下確認(rèn)郵件內(nèi)容的真實有效，再執(zhí)行相應(yīng)的操作，以免受到惡意偽造郵件攻擊，造成不必要的損失。

偽造郵件攻擊是很常見的一種黑客攻擊手法，但是目前還沒有針對該種類型攻擊的完美解決方案。瑞星安全專家提醒廣大用戶，在已有的防范釣魚郵件、釣魚 網(wǎng)站攻擊的基礎(chǔ)上，借助本文描述的防范偽造郵件攻擊的方法，當(dāng)收到疑似偽造郵件攻擊時，對郵件信息進(jìn)行仔細(xì)辨認(rèn)，遠(yuǎn)離偽造郵件攻擊的危害。

zhangcun