据瑞星“云安全”监测系统统计显示,从2011年起,钓鱼攻击就已经成为网络环境中最主要的恶意攻击方式,其攻击数量是恶意挂马攻击数量的数十倍。网民经常收到黑客伪造官网发来的各种钓鱼邮件,要甄别这些钓鱼邮件并不容易,很多人经常采用的方法是查验发件人地址信息是否为官网邮件地址。但是,是否显示为官方地址发送的邮件就是安全可信的呢?答案是否定的。据瑞星安全专家介绍,在现有的技术下,黑客可以把钓鱼邮件伪装成任何地址发送给用户,从而达到钓鱼攻击的目的。
伪造邮件攻击方法详解
下面我们结合黑客常用的伪造邮件手法进行分析,然后结合实例对伪造邮件攻击的原理进行描述。首先黑客可以通过提供在线匿名邮件服务的网站进行发送,如http://www.deadfake.com/,如下图1所示。
图1
正如网站上面介绍的,通过点击菜单栏的“send fake mail”的标签,我们就可以进行伪造邮件的发送了,需要填写的内容如下图2所示。
图2
这里From表示邮件发送者信息,我们可以在此进行伪造,例如伪造内容为腾讯服务的邮箱地址service@tencent.com,这里为了实现钓鱼攻击的目的,我们将邮件的标题和内容写成腾讯QQ安全提示的内容,并将邮件正文中的链接地址指向钓鱼网站地址http://aq.qq-1.tk/ss,最后发送邮件。片刻后,我们收到了该伪造邮件的信息,如下图3所示。
图3
我们可以发现,发件地址为service@tencent.com,邮件的主题和内容也是刚刚我们发送邮件内容的自定义内容,但是在邮件正文的第一行中,多了一行来自于deadfake的提示信息,提示用户这封邮件不是真的。那么在这封邮件中,惟一的瑕疵就是deadfake的提示信息内容,然而这对于黑客来说,也不是不能处理的。黑客可以将这个提示信息隐藏,实现的方法就是通过一个与邮件背景颜色相同的图片进行覆盖,我们重新构造邮件内容如下图4所示。
图4
与构造的上一封伪造邮件类似,我们增加了一行HTML代码,主要作用是在邮件正文中插入一个图片,图片显示为纯白色,然后通过style属性对图片的位置和大小信息进行设定,保证图片在显示时可以将deadfake提示的内容进行覆盖,然后再次进行发送,当接收到该伪造邮件时,我们可以看到deadfake的提示信息不见了,如下图5所示。
图5
但是,通过邮件的源代码文件我们发现,deadfake的提示信息还是有的,只是在邮件显示的时候不可见了,因为该文字信息已经被我们纯白色的图片覆盖了。
deadfake网站的伪造邮件是由网站提供的服务,同样,黑客也可以构建本地的SMTP服务器实现伪造邮件的发送。例如通过软件Advanced Direct Remailer这款软件,如图6所示。
图6
当电脑安装并运行Advanced Direct Remailer后,就相当于是一台SMTP服务器了。这里我们使用网易闪电邮作为邮件客户端软件进行演示,运行以后我们需要对邮箱进行配置,作为演示,我们仍然使用腾讯提供服务的邮箱地址service@tencent.com,如下图7所示
图7