科技 新浪科技 Email有假!蘋果、網易、QQ、Gmail等郵箱均可被仿冒

Email有假!蘋果、網易、QQ、Gmail等郵箱均可被仿冒

新浪科技 2018-12-07 17:29

  原標題:Email有假! 蘋果網易 、QQ、Gmail等主流郵箱均可被仿冒

  編輯:挨踢妹

  圖片:圖蟲創意

  來源:IT時報

  「Hi,我是Tim Cook,你被選中是Apple的錦鯉,點擊以下鏈接,蘋果將送你一台iPhone XS」「尊敬的用戶, 萬豪國際 正在採取措施,調查和處理涉及喜達屋賓客預訂資料庫的安全事件,請登錄以下地址修改您的信息」、「××,你好,剛剛有人在使用您的Apple ID,建議您前往⋯⋯更改您的密碼」「××,上次說的合同已經簽訂,請往這個賬戶匯款10萬元」⋯⋯這幾份郵件,最近出現在記者的郵箱里,當然,它們是假的,儘管這些郵箱的地址和真的一模一樣。

  近日,一個白帽子團隊向《IT時報》記者爆料,目前全球主流電子郵箱的郵件伺服器普遍存在一個漏洞,黑客無需攻入伺服器內部,便可以直接偽造一封官方郵件寄給用戶,內容通常是釣魚網站或者木馬病毒。

  與以往郵件詐騙不同,假郵件的地址與真實地址相同,用戶根本無法分辨真偽,可謂防不勝防。據測試,蘋果、萬豪、Gmail、 騰訊 QQ郵箱、網易163郵箱、139手機郵箱等等國內外主流郵件伺服器悉數中招,至少數億用戶的郵箱有安全隱患。

   親測:2分鐘炮製一封「老闆郵件」

  12月3日,白帽子金科(化名)給記者做了一次演示:在一個只有巴掌大小的盒子里,封裝了一整套「黑客」程序,通過這套軟體,金科可以隨意編寫一封郵件,並設置其郵箱地址,然後將其發送到指定的郵箱里。

  2分鐘后,記者的手機QQ郵箱收到了一封來自老闆的郵件,發送郵件的地址與真實地址一模一樣,後綴為@it-times.com.cn。隨後,記者的郵箱又陸續收到來自service@apple.com、starwoodhotels@email-marriott.com等郵箱要求修改密碼的郵件,甚至還有一封庫克(tcook@apple.com)發來的錦鯉郵件。當然,這些都是金科發的。

  在金科所做的測試中,幾乎所有國內外主流的郵箱都存在同樣漏洞,無論是像Gmail、QQ、163、139這樣的免費郵箱,還是Apple、萬豪等公司的企業公共郵箱,幾乎都可以被仿冒,而更大的風險在於,對這些假郵件,收件郵箱很難識別。

  「手機郵件客戶端尤其是重災區,」金科告訴記者,有些郵箱的網頁版對這些仿冒郵件會有一個提示:由×××@×××.com代發,但這個顯示出的代發地址同樣也可以事先設定,手機端App的收件箱則無任何提示,在收件人看來,這就是一封來自官方的正常郵件。

   原因:郵件伺服器「偷懶」

  「安全措施如果沒有正確配置,反而會成為新的漏洞。」金科告訴記者,幾個月前,國外逐漸出現了這種新型郵件詐騙手段,根本原因是原本用於郵件安全的DMARC協議,因為被服務商錯誤配置,不僅防釣魚功能完全失效,其他幾乎所有用於保護收件人不受欺詐電子郵件影響的防範措施,如垃圾郵件過濾器、IP信譽查詢、SPF、DKIM策略也都統統不再起作用。

  DMARC(Domain-based Message Authentication, Reporting and Conformance基於域的消息認證、報告和一致性)是2012年1月30日,由Paypal、Google、 微軟 、雅虎、ReturnPath等聯手推廣的新電子郵件安全協議,此後中國的網易、QQ等郵箱服務商也都加入其中。

  DMARC的根本原理是,允許域所有者發布一項策略,該策略會告知收件人如果郵件未通過安全驗證,該如何處理。

  比如當收件方收到一封可疑郵件時,會向發件方發送一個信令,請求進行DMARC校驗,它會詢問真實的發件方,「我收到一封可疑郵件,請問我該如何處理?」DMARC協議中,對如何回復收件方做了明確說明,處理方式從輕到重依次為:none為不作任何處理;quarantine為將郵件標記為垃圾郵件;reject為拒絕該郵件。DMARC協議的初期建議設置為none,但安全公司一般建議,至少設置為quarantine,保險一點,應該直接reject。

  也就是說,那些被仿冒的郵箱伺服器,儘管設置了DMARC校驗,但都沒有對初始狀態進行修改,當收件箱「回撥」詢問收到的郵件是否安全時,這些被仿冒的發件伺服器直接回復「不做處理」,也即默認安全。收件方便很自然將假郵件放入收件箱,而不會再用其他垃圾郵件工具進行過濾, 這個過程有點像此前流行的「改號軟體」,詐騙者用「改號軟體」將自己的網路IP電話顯示為110或者95588等電話號碼,以此獲得接聽者的信任,接聽者最好的辨別辦法就是掛掉電話后回撥。但DMARC校驗時的「none」設置就好像你打電話給110,問我剛才收到一個疑似仿冒110的電話,該怎麼處理?而對方告訴你,不用處理,默認接收就好。

  當然,如果不做DMARC校驗,風險更大,因為攻擊者可以使用正常的信封地址發送郵件,但是修改信頭地址,這樣收件方的郵件伺服器在檢測時,由於沒有做DMARC,只會檢查信封地址,而不檢查信頭的顯示發件人地址,很容易讓偽冒郵件直接進入收件箱。

  在金科的測試中,發現Gmail和QQ郵箱都有做Dmarc,但p=none,163郵箱和139郵箱沒做Dmarc。他嘗試偽造發件人來自這些域名,最終仿冒郵件都能進入收件方的收件箱。

  之所以如此設置,金科分析,一種可能是這些公司的安全人員「偷懶」,另一方面也可能是企業擔心自己的營銷郵件也被收件方拒收,因此乾脆給所有詢問都「開綠燈」。

   危害:精準釣「鯨魚」

  「這種改名郵件最大的危害在於用戶無法辨別。」上海市信息安全行業協會專家委員會副主任張威告訴《IT時報》記者,黑客用「改名軟體」詐騙的手段通常有兩種:一種是一次性攻擊,目的是騙取你點擊,植入木馬;還有一種是精準攻擊,行話叫「鯨釣」,將目標鎖定一些中高端人群,通過已有的社工庫分析社會關係,然後通過郵件精準釣魚,比如仿冒老闆的郵箱地址,給會計發一封要求付款的郵件,或者用仿冒的Apple郵箱,騙用戶點擊釣魚網站,盜取Apple ID和密碼,這種手段因為成功率高,且收穫大,被稱為「釣鯨魚」。

  作為一種「古老」的互聯網詐騙手段,釣魚郵件不僅依然大量存在,而且不斷使出新花樣。據不完全統計,全球範圍內被投遞的釣魚郵件每天約達到1億封。

  張威認為,從這個漏洞上可以看出,很多公共郵箱和企業機構在安全防範上缺乏專業性,以為花錢就可以買「安全」,殊不知,安全工具如果部署不好,其危害甚至高於沒有工具。

  在國外,這個問題已經開始被重視。2017年10月19日,美國國土安全部(DHS)發布《約束性操作指令18-01》(BOD 18-01),要求聯邦機構須在90天內應用兩項協議:DMARC和STARTTLS,而且明確指出,指令發布后一年內,為所有二級域名和郵件發送主機設置DMARC「拒絕」(reject)策略(在郵件伺服器端拒絕未經驗證的電郵)。

  但張威也指出,除了相關機構意識不強外,這種部署也並不簡單,即使DHS已經明確了時間點,但截至今年9月14日,美國所有.gov域名中DMARC採用率在為83%,而已經使用「p = reject」策略運行的行政部門域名,該數字只有64%,「要在旗下所有域名中部署DMARC,工作量還是很大的,尤其是一些中小企業在QQ郵箱、網易郵箱等公郵上部署了自己的企業郵箱,需要自己修改,但這些企業往往不具有這樣的能力,因此,這些公共郵箱不僅要修改自己的伺服器,還要告訴這些企業客戶,該如何操作。」

  12月5日,測試后第三天,蘋果修改了它的DMARC校驗策略,假冒蘋果郵件被收入垃圾郵箱,這意味著,它將收件方對於真假郵件的詢問,回答從none改為了quarantine,但依然不拒絕(reject)。

支持按個讚↓

我讚過了 繼續看文章!