中国华艺广播公司福建福州350001
摘要:自问世以来,电子邮件已经发展成为世界网民日常交流的重要手段,而基于电子邮件的网络攻击行为也愈演愈烈,给国家、机构及个人的网络安全带来了巨大威胁。本文详细分析了攻击者选用电子邮件作为网络攻击手段的主要原因、利用电子邮件开展信息收集的主要方法及基于电子邮件的常见网络攻击行为,为广大网民在使用电子邮件过程中保护自身安全提供参考。
关键词:电子邮件网络攻击
1、攻击者选用电子邮件作为网络攻击手段的主要原因
1)用户范围广
虽然近年来即时通讯及社交媒体平台发展迅猛,但电子邮件仍是广大用户工作生活的必备选项,个人拥有多个邮箱的现象也不在少数。
2)类实名制
虽然申请电子邮箱并未强制要求实名制,但现实生活中邮件地址绑定用户手机及其他网络应用的现象已非常普遍,利用电子邮件定位用户真实身份的精准度已经非常高。
3)攻击成本低
通常情况下,电子邮件用户并未设置拒绝接受来自陌生人的邮件,攻击者通过电子邮件发起网络攻击行为的成本极低。
4)邮件协议存在缺陷
许多网络协议在设置之初主要考虑的是可用性,并未预料到伴随互联网的飞速发展会引发如此泛滥的网络攻击行为,电子邮件协议亦是如此。攻击者可以利用协议缺陷轻易伪造身份发送欺骗邮件。
2、利用电子邮件开展信息收集的主要方法
攻击者通常会在攻击前的信息收集阶段向目标用户发送特制的探测邮件,只要用户预览邮件,攻击者就可以获取用户的USER-Agent等信息。如果用户回复邮件,攻击者还可以从邮件头中获取更多信息。
2.1基于“像素图片追踪”的探测邮件
“像素图片追踪”(pixeltracking)通常被互联网公司用于统计用户活跃度或广告到达率,而该手段也被网络攻击者广泛采用。攻击者通常会在探测邮件中加入一段链接1*1像素图片的代码,除非用户设置手动加载图片,否则只要预览邮件,后台就会自动加载该像素图片并在攻击者设置好的服务器上留下访问记录,而这1像素的图片用户通过肉眼根本无法查知。通过该记录攻击者通常可获取用户邮件客户端类型、IP地址、浏览器版本等诸多信息。
2.2基于邮件头的信息收集
用户通过以下几种方式可以查看邮件头信息:一是将邮件保存成eml格式,用记事本等文本查看器打开;二是使用邮件客户端收取邮件,右键选择查看邮件头;三是使用web模式登录邮箱,右键选择查看原始邮件。
1)邮件收发方式
用户收发邮件通常采用web模式或客户端模式。邮件头中如果包含X-Mailer字段,则通常可以据此判断用户的收发信方式。如X-Mailer:MicrosoftOfficeOutlook12.0代表的就是用户发送这封信件时采用了MicrosoftOfficeOutlook12.0客户端。其他常见的客户端包括Foxmail、iPhoneMail等。
如X-Mailer信息为X-Mailer:WebService/1.1.12857YMailNorrinMozilla/5.0(WindowsNT6.1;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/71.0.3578.98Safari/537.36,则代表用户使用web模式发送了该信件,使用的浏览器为Chrome。
邮件头中若无X-Mailer字段,则可尝试从邮件头从上往下最后一个Received字段中寻找答案,当信息包含“withHTTP”关键词时,则用户通常使用web模式发送邮件。如Received:fromsonic.gate.mail.ne1.
yahoo.combysonic304.consmr.mail.sg3.yahoo.comwithHTTP;Fri,4Jan201903:21:36+0000,则表示用户使用web模式登录Yahoo邮箱发送了此封邮件。
2)IP地址
邮件头从上往下最后一个Received字段通常包含了用户计算机的主机名和IP地址。及Received:fromWIN-PC([192.168.100.185])byMAILSERVER([192.168.100.186]);Mon,14Jan201908:40:03+0800,以上信息显示用户计算机名为WIN-PC,IP地址为192.168.100.185,网内邮件服务器机器名为MAILSERVER,IP地址为192.168.100.186。
邮件头中的X-Originating-IP字段通常包含的是用户终端的外网IP地址或者邮件服务器的IP地址。
3)邮件系统类型
当用户使用的电子邮件不是Gmail、Yahoo等知名公用邮件系统时,攻击者通常希望得知用户采用的具体邮件系统类型。邮件头信息中通常包含了相关信息。如邮件头信息中包含X-MS-Exchange字段,则表示用户采用的邮件系统为MicrosoftExchange。其他常见的邮件系统包括Lotus、Mail2000、zimbra等。
4)邮件服务器杀毒环境
当攻击者试图向用户发送包含恶意代码的邮件时,通常希望预知邮件服务器采用的杀毒软件环境。如果邮件服务器集成了杀毒产品,邮件头中通常会包含相关信息。如邮件头中包含“X-TM-AS-”关键字段则表示邮件服务器通常采用趋势杀毒,包含“X-kse-Antivirus-”关键字段则表示邮件服务器通常采用卡巴斯基杀毒,包含“X-IronPort-Anti-”关键字段则表示邮件服务器通常采用Sophos杀毒。
3、基于电子邮件的常见网络攻击行为
攻击者通常利用电子邮件协议的缺陷伪造身份发送信件,开展“钓鱼”攻击骗取用户的邮箱密码或结合漏洞随信附带恶意代码达到控制用户终端的目的。
3.1伪造身份发送邮件
基于邮件发送SMTP协议,SMTP邮件服务商互相发送邮件是不需要认证的,攻击者正是利用这一特性自架SMTP服务器或使用特制工具来实现伪造任意身份发送邮件。当用户收到发件人姓名及邮件地址与自己熟悉或信任的发信人一模一样时,很容易上当受骗。
3.2邮件“钓鱼”攻击
攻击者通常会根据事先收集到的用户信息制定针对性的攻击策略。如用户使用客户端模式收发信件,攻击者通常伪造邮件管理员身份发送带有“钓鱼”链接的信件,欺骗用户点击链接通过web模式登录邮件,该web登录界面实际是攻击者制作的“钓鱼”页面。如用户使用web模式收发信件,攻击者通常会尝试挖掘邮件系统可能存在的跨站漏洞,利用跨站漏洞对用户实施“钓鱼”攻击的隐蔽性和欺骗性极高。如无跨站漏洞,攻击者会伪造邮件服务器管理员、知名网络应用或身边好友身份向用户发送“钓鱼”邮件,欺骗用户点击链接进入“钓鱼”网页输入密码。
3.3邮件携带恶意代码
电子邮件允许用户在正文插入链接,通过附件可携带多种格式文件,这就为攻击者打开了方便之门。攻击者通常结合浏览器的漏洞向用户发送包含特制链接的邮件,一旦用户点击链接就可能触发漏洞,下载运行攻击者的木马程序。通过附件携带恶意代码的手段则更加多种多样,常见的word、excel、ppt、PDF、rar等知名应用程序都曾出现过严重安全漏洞,攻击者可以将木马程序或下载链接植入正常文件并以附件形式发送给用户,发送之前攻击者通常会根据收集到的服务器杀毒环境信息对恶意代码进行免杀处理,一旦用户打开附件即可能触发漏洞运行木马程序或下载攻击者的恶意代码。
4、结论
虽然攻击者利用电子邮件的网络攻击行为日益猖獗,但用户也不能因噎废食而放弃使用电子邮件。用户应谨记不要向陌生人透露自己的邮箱帐号,收到陌生邮件时不要点击任何链接或打开附件,收到熟人的邮件时如发现邮件内容异常应尽量跟对方确认后再点击链接或打开附件。
参考文献:
[1]郭弘,金波.利用邮件头分析电子邮件的真伪,中国司法鉴定2010(4)