乃东| 金川| 天峨| 石城| 肇东| 灵丘| 得荣| 云浮| 芜湖县| 安新| 红古| 普宁| 北京| 济源| 东丽| 辉县| 阳原| 通江| 印台| 化德| 隆子| 太和| 昌平| 安乡| 逊克| 彭水| 华山| 沅陵| 云安| 惠来| 襄汾| 扎囊| 磐安| 集贤| 迭部| 德兴| 大邑| 户县| 六枝| 峰峰矿| 崇礼| 昭通| 浦北| 哈密| 贵港| 平谷| 湘潭市| 洪泽| 民和| 绩溪| 茶陵| 肃南| 呼玛| 苏尼特左旗| 广河| 平原| 无棣| 碌曲| 德格| 邹城| 清原| 龙泉| 涡阳| 元江| 邕宁| 赤城| 云浮| 武安| 吉利| 天柱| 井陉矿| 保定| 科尔沁左翼中旗| 万源| 浮梁| 江永| 射洪| 晴隆| 喜德| 尼玛| 监利| 元阳| 沭阳| 哈密| 舞阳| 金寨| 祁门| 潜山| 永新| 金门| 康定| 罗城| 科尔沁右翼中旗| 德钦| 太仆寺旗| 平远| 陇南| 南靖| 盘锦| 五莲| 安庆| 湾里| 石城| 陆河| 雷山| 太湖| 五莲| 衢州| 公安| 项城| 尉氏| 射洪| 稷山| 楚雄| 平舆| 万宁| 阿克陶| 华蓥| 西丰| 石楼| 清涧| 丹江口| 都江堰| 曲阳| 金坛| 崇州| 长治市| 铁岭市| 陆河| 盐都| 资兴| 乐都| 临泽| 桦川| 纳雍| 泽库| 宣化区| 十堰| 瓮安| 荥经| 广州| 乌兰浩特| 来安| 塔城| 上海| 汕头| 攀枝花| 新荣| 集美| 建水| 滨州| 铜陵市| 嫩江| 阳东| 佛山| 栾川| 沿滩| 稻城| 灌阳| 惠安| 林周| 贵阳| 新巴尔虎右旗| 花都| 巴林左旗| 大方| 宁夏| 霍邱| 美溪| 祥云| 大港| 康县| 巩义| 临澧| 桦南| 皋兰| 大名| 宜州| 新都| 焉耆| 通城| 云林| 兴隆| 东港| 嵩县| 泸定| 扎兰屯| 云安| 贵阳| 常德| 平湖| 久治| 宜昌| 呼兰| 邕宁| 平远| 桦川| 新丰| 洪泽| 拜城| 涉县| 武清| 齐齐哈尔| 阜南| 扎赉特旗| 大同县| 道真| 织金| 柯坪| 海兴| 密云| 望都| 武昌| 威海| 威远| 石拐| 纳溪| 八公山| 江山| 凤城| 渠县| 高唐| 蒙山| 漳浦| 广宁| 隆回| 平川| 玛沁| 围场| 忠县| 峡江| 平顶山| 邵阳县| 江都| 平南| 徐水| 尼玛| 敦煌| 德令哈| 金溪| 井研| 溆浦| 兴义| 万安| 宁阳| 阜宁| 乌兰浩特| 通河| 招远| 台南县| 临猗| 香河| 陈巴尔虎旗| 高县| 鲁山| 改则| 汝阳| 同江| 酉阳| 吴川| 青龙| 丹凤| 什邡| 肇源| 澳门百老汇赌场
首页 > 财经频道 > 正文

Email有假!苹果、网易、QQ、Gmail等主流邮箱均可被仿冒

2018-12-15 18:49
作者:郝俊慧
来源: IT时报
编辑:东方财富网

东方财富APP

  • 方便,快捷
  • 手机查看财经快讯
  • 专业,丰富
  • 一手掌握市场脉搏

手机上阅读文章

  • 提示:
  • 微信扫一扫
  • 分享到您的
  • 朋友圈
标签:巴拉斯 孟买魔术师 庆深气田

  “Hi,我是Tim Cook,你被选中是Apple的锦鲤,点击以下链接,苹果将送你一台iPhone XS”“尊敬的用户,万豪国际正在采取措施,调查和处理涉及喜达屋宾客预订数据库的安全事件,请登录以下地址修改您的信息”、“××,你好,刚刚有人在使用您的Apple ID,建议您前往更改您的密码”“××,上次说的合同已经签订,请往这个账户汇款10万元”这几份邮件,最近出现在记者的邮箱里,当然,它们是假的,尽管这些邮箱的地址和真的一模一样。

  近日,一个白帽子团队向《IT时报》记者爆料,目前全球主流电子邮箱的邮件服务器普遍存在一个漏洞,黑客无需攻入服务器内部,便可以直接伪造一封官方邮件寄给用户,内容通常是钓鱼网站或者木马病毒。

  与以往邮件诈骗不同,假邮件的地址与真实地址相同,用户根本无法分辨真伪,可谓防不胜防。据测试,苹果、万豪、Gmail、腾讯QQ邮箱、网易163邮箱、139手机邮箱等等国内外主流邮件服务器悉数中招,至少数亿用户的邮箱有安全隐患。

  亲测:2分钟炮制一封“老板邮件”

  12月3日,白帽子金科(化名)给记者做了一次演示:在一个只有巴掌大小的盒子里,封装了一整套“黑客”程序,通过这套软件,金科可以随意编写一封邮件,并设置其邮箱地址,然后将其发送到指定的邮箱里。

  2分钟后,记者的手机QQ邮箱收到了一封来自老板的邮件,发送邮件的地址与真实地址一模一样,后缀为@it-times.com.cn。随后,记者的邮箱又陆续收到来自service@apple.com、starwoodhotels@email-marriott.com等邮箱要求修改密码的邮件,甚至还有一封库克(tcook@apple.com)发来的锦鲤邮件。当然,这些都是金科发的。

  在金科所做的测试中,几乎所有国内外主流的邮箱都存在同样漏洞,无论是像Gmail、QQ、163、139这样的免费邮箱,还是Apple、万豪等公司的企业公共邮箱,几乎都可以被仿冒,而更大的风险在于,对这些假邮件,收件邮箱很难识别。

  “手机邮件客户端尤其是重灾区,”金科告诉记者,有些邮箱的网页版对这些仿冒邮件会有一个提示:由×××@×××。com代发,但这个显示出的代发地址同样也可以事先设定,手机端App的收件箱则无任何提示,在收件人看来,这就是一封来自官方的正常邮件。

  原因:邮件服务器“偷懒”

  “安全措施如果没有正确配置,反而会成为新的漏洞。”金科告诉记者,几个月前,国外逐渐出现了这种新型邮件诈骗手段,根本原因是原本用于邮件安全的DMARC协议,因为被服务商错误配置,不仅防钓鱼功能完全失效,其他几乎所有用于保护收件人不受欺诈电子邮件影响的防范措施,如垃圾邮件过滤器、IP信誉查询、SPF、DKIM策略也都统统不再起作用。

  DMARC(Domain-based Message Authentication, Reporting and Conformance基于域的消息认证、报告和一致性)是2018-12-15,由Paypal、Google、微软雅虎、ReturnPath等联手推广的新电子邮件安全协议,此后中国的网易、QQ等邮箱服务商也都加入其中。

  DMARC的根本原理是,允许域所有者发布一项策略,该策略会告知收件人如果邮件未通过安全验证,该如何处理。

  比如当收件方收到一封可疑邮件时,会向发件方发送一个信令,请求进行DMARC校验,它会询问真实的发件方,“我收到一封可疑邮件,请问我该如何处理?”DMARC协议中,对如何回复收件方做了明确说明,处理方式从轻到重依次为:none为不作任何处理;quarantine为将邮件标记为垃圾邮件;reject为拒绝该邮件。DMARC协议的初期建议设置为none,但安全公司一般建议,至少设置为quarantine,保险一点,应该直接reject。

  也就是说,那些被仿冒的邮箱服务器,尽管设置了DMARC校验,但都没有对初始状态进行修改,当收件箱“回拨”询问收到的邮件是否安全时,这些被仿冒的发件服务器直接回复“不做处理”,也即默认安全。收件方便很自然将假邮件放入收件箱,而不会再用其他垃圾邮件工具进行过滤, 这个过程有点像此前流行的“改号软件”,诈骗者用“改号软件”将自己的网络IP电话显示为110或者95588等电话号码,以此获得接听者的信任,接听者最好的辨别办法就是挂掉电话后回拨。但DMARC校验时的“none”设置就好像你打电话给110,问我刚才收到一个疑似仿冒110的电话,该怎么处理?而对方告诉你,不用处理,默认接收就好。

  当然,如果不做DMARC校验,风险更大,因为攻击者可以使用正常的信封地址发送邮件,但是修改信头地址,这样收件方的邮件服务器在检测时,由于没有做DMARC,只会检查信封地址,而不检查信头的显示发件人地址,很容易让伪冒邮件直接进入收件箱。

  在金科的测试中,发现Gmail和QQ邮箱都有做Dmarc,但p=none,163邮箱和139邮箱没做Dmarc。他尝试伪造发件人来自这些域名,最终仿冒邮件都能进入收件方的收件箱。

  之所以如此设置,金科分析,一种可能是这些公司的安全人员“偷懒”,另一方面也可能是企业担心自己的营销邮件也被收件方拒收,因此干脆给所有询问都“开绿灯”。

  危害:精准钓“鲸鱼”

  “这种改名邮件最大的危害在于用户无法辨别。”上海市信息安全行业协会专家委员会副主任张威告诉《IT时报》记者,黑客用“改名软件”诈骗的手段通常有两种:一种是一次性攻击,目的是骗取你点击,植入木马;还有一种是精准攻击,行话叫“鲸钓”,将目标锁定一些中高端人群,通过已有的社工库分析社会关系,然后通过邮件精准钓鱼,比如仿冒老板的邮箱地址,给会计发一封要求付款的邮件,或者用仿冒的Apple邮箱,骗用户点击钓鱼网站,盗取Apple ID和密码,这种手段因为成功率高,且收获大,被称为“钓鲸鱼”。

  作为一种“古老”的互联网诈骗手段,钓鱼邮件不仅依然大量存在,而且不断使出新花样。据不完全统计,全球范围内被投递的钓鱼邮件每天约达到1亿封。

  张威认为,从这个漏洞上可以看出,很多公共邮箱和企业机构在安全防范上缺乏专业性,以为花钱就可以买“安全”,殊不知,安全工具如果部署不好,其危害甚至高于没有工具。

  在国外,这个问题已经开始被重视。2018-12-15,美国国土安全部(DHS)发布《约束性操作指令18-01》(BOD 18-01),要求联邦机构须在90天内应用两项协议:DMARC和STARTTLS,而且明确指出,指令发布后一年内,为所有二级域名和邮件发送主机设置DMARC“拒绝”(reject)策略(在邮件服务器端拒绝未经验证的电邮)。

  但张威也指出,除了相关机构意识不强外,这种部署也并不简单,即使DHS已经明确了时间点,但截至今年9月14日,美国所有。gov域名中DMARC采用率在为83%,而已经使用“p = reject”策略运行的行政部门域名,该数字只有64%,“要在旗下所有域名中部署DMARC,工作量还是很大的,尤其是一些中小企业在QQ邮箱、网易邮箱等公邮上部署了自己的企业邮箱,需要自己修改,但这些企业往往不具有这样的能力,因此,这些公共邮箱不仅要修改自己的服务器,还要告诉这些企业客户,该如何操作。”

  12月5日,测试后第三天,苹果修改了它的DMARC校验策略,假冒苹果邮件被收入垃圾邮箱,这意味着,它将收件方对于真假邮件的询问,回答从none改为了quarantine,但依然不拒绝(reject)。

(文章来源:IT时报)

(责任编辑:DF381)

您可能感兴趣
  • 要闻
  • 股票
  • 全球
  • 港股
  • 美股
  • 期货
  • 外汇
  • 生活
    >
点击查看更多
没有更多推荐
  • 名称
  • 最新价
  • 涨跌幅
  • 换手率
  • 资金流入
请下载东方财富产品,查看实时行情和更多数据
郑重声明:东方财富网发布此信息目的在于传播更多信息,与本网站立场无关。东方财富网不保证该信息(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担。

扫一扫下载APP

扫一扫下载APP
信息网络传播视听节目许可证:0908328号 经营证券期货业务许可证编号:913101046312860336 违法和不良信息举报:021-34289898 举报邮箱:jubao@eastmoney.com
沪ICP证:沪B2-20070217 网站备案号:沪ICP备05006054号-11 沪公网安备 31010402000120号 版权所有:东方财富网 意见与建议:021-54509966/021-24099099
范家园镇 弥勒县 百汇街 矿技校 朝阳开发
梁平县 柯华桥 一元里 金海社区 五环路
澳门巴黎人网上赌场 巴黎人游戏 新濠天地赌场网站 澳门永利官网 澳门威尼斯人官网
威尼斯人平台娱乐 澳门威尼斯人官网 澳门永利赌场 同乐城官网 威尼斯人平台娱乐
轮盘机 威尼斯人网站 同乐城官网 捕鱼达人无限金币版 威尼斯人网站
mg空手道猪 美高梅娱乐网站 葡京贵宾会手机版 墓穴探险 澳门威尼斯人平台
克隆侠蜘蛛池 http://www.kelongchi.com/