欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

恶意邮件不完全分类及防范指南

来源:本站整理 作者:佚名 时间:2016-12-17 TAG: 我要投稿

 邮件是我们日常工作中进行交流、获取工作信息或文件的最重要通道,由于凡是知道你邮箱的人都可以给你发邮件,因此这个通道很早就被不良企图者盯上,用于实施一些恶意行为。邮件是社工或APT的重要入口或着手点,这也已经成为网络安全行业的共识。那么,我们日常可能会接触到哪些恶意邮件,如何防范呢?这里总结了一些常见的恶意邮件类型以及一些极其简单实用的建议,给大家日常参考。

从发件人角度来看,恶意邮件一般有两种,伪造身份邮件和陌生人邮件。

伪造身份邮件一般是从发件人名称、邮箱地址、正文和签名这些方面伪造成你熟悉的角色,比如领导、IT管理员、某银行等,不明真相的群众一看这些发件人就蒙圈,智商猛降50%,生怕出什么事,立即按照邮件指示进行操作,然后回头冷静时一想才发现中招了。这类邮件里其实正文写的什么,写的像不像真的无关紧要,主要靠冒充发件人行骗。由于邮件服务器传送邮件的原理限制,你的邮件服务器接收到其他邮件服务器传过来的邮件时,如果不做特殊配置,就无法验证邮件中写的发件人邮箱是真是假,伪造者可以随意编写发件人邮箱地址。发件人名称更是可以随意编造了。

另一类陌生人邮件可能就有难度,因为大家看到陌生人的邮件本来就警惕性很高,会认真谨慎操作,这类邮件就必须编造非常有吸引力,让人眼睛一亮的内容来诱使你按指示操作,比如我捡到你手机了,这是你的发票,这儿有你的照片等等。

从恶意行为的角度来看,恶意邮件可以分为如下四种:

  1. 骗回复敏感信息
  2. 骗打开钓鱼页面链接
  3. 骗点挂马页面链接
  4. 骗打开带毒附件

我们一一来看:

骗回复敏感信息

我们的同事经常收到类似的邮件后然后转给我。这种邮件就是在发件人名称、语气、正文和签名处伪造身份,冒充公司领导、IT部门或一些政府、银行等机构,直接索要通讯录、密码、转账等,从性质上来说跟钓鱼有点类似,但由于索要信息更直接,缺少伪造页面,就更容易被识别。

骗打开钓鱼页面链接

mail2

这是同事转给我的邮件截图,第一张图片是邮件正文里的内容,第二张是点击“请点这里进行升级”后弹出的页面。这就是一个典型的网络钓鱼邮件。

钓鱼邮件有如下特点:

A 诱惑性强:

要使受害者收到邮件后动动鼠标打开钓鱼页面,邮件内容必须有很强的诱惑性,迫使你对这个页面里的内容非常感兴趣,或者必须打开否则会有损失。

B 仿冒页面:

顾名思义,钓鱼首先要有鱼饵,鱼饵后面藏着鱼钩。鱼饵一定要香,要诱人。钓鱼页面就要做得像真正网站页面一样,才会有人相信。钓鱼者肯定是先研究了真正网站的登录页面,然后做出一个一模一样的页面,诱使他人输入用户名和密码,登陆后就传入钓鱼者的数据库。但是,页面的域名是很难作假的,除非你的DNS也被劫持了,但一般邮件钓鱼不会利用DNS劫持的方法,这样效率和难度会大大提高,失去了群发钓鱼邮件的意义。所以看清楚登录页面的域名是关键。

C 涉及敏感信息:

就如同电信诈骗最终都会提到钱一样,钓鱼邮件及其衍生的网页肯定也会涉及到敏感信息,如账户密码等。

骗点挂马页面链接

这是网上发的一个真实案例,之前我也发文分析过。一个网友丢了一台iPhone,直到某一天收了一封QQ邮件,几分钟后他的APPLE ID被修改了。这封邮件不是钓鱼邮件,也没有输入任何账户密码,唯一的操作就是就打开了一个图片附件,为什么Apple ID密码就丢了呢?实际的过程是这样:

1 点击附件图片链接会跳转到某境外伪造网站,内嵌恶意js脚本。

2 此脚本搜索浏览器cookie,获取了QQ号和skey。

3 黑客利用skey登陆QQ邮箱(即appleid的密保邮箱),重置了appleID的密码。

这个案例的看点其实在于伪造的附件框。这个qq邮箱的附件框其实是发件人截取的真实附件框的一个图片,然后将这个图片加了个超链接,指向挂马网站。真假附件框的辨别方法如下:

主要看邮件主题下面有无附件行以及鼠标移到附件框上的图标。

骗打开带毒附件

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载