电子邮件欺骗基本上归结为发送电子邮件与虚假的发件人地址。这可以被威胁行为者以各种方式使用。显然,假装成别人也有好处,尤其是当别人拥有权力或对接收者有信任的时候。

为什么欺骗发件人地址?

虽然大多数人都知道网络钓鱼的目的,但实际上有几个原因欺骗发件人地址:

  • 隐藏你的真实身份,虽然如果这是唯一的目标,它可以更容易地实现注册匿名邮件地址。
  • 易于旋转。如果您正在垃圾邮件,您必须快速列入黑名单。如果您能够切换发件人地址,谁会关心?
  • 假装是收件人认识的人。这可以用来询问敏感信息,也可以只是简单的询问转帐命令
  • 假装来自接收者与之关系的组织。网络钓鱼试图掌握银行登录详细信息等是最常见的例子。
  • 给发件人一个坏名声。发送侮辱或其他信息,让所谓的发送者处于不利的地位。
  • 身份盗窃。能够在某人名称中发送消息可以是一个开始身份盗窃过程。

对策

由于电子邮件协议SMTP(简单邮件传输协议)缺乏身份验证,它曾经非常容易欺骗发件人地址。因此,大多数电子邮件提供商在拦截您的收件箱之前已成为垃圾邮件的专家。但如果他们能够阻止它在第一个地方发送它会不会更好?嗯,有几次尝试执行可以实现这一目标的规则:

  • SPF (Sender Policy Framework):检查某个IP是否被授权从给定的域发送邮件。此方法使用记录来告诉接收邮件服务器某个IP是否在发送域的列表中。不幸的是,使用SPF会导致许多误报,并且规则充其量也只是松散地应用。所以这仍然把工作留给了接收服务器。
Spffail.

尽管SPF失败,垃圾邮件将被送到我的邮箱

  • DKIM(域密钥识别邮件):此方法使用邮件传输代理(MTA)获取的私有和公钥。这些比较,只有当它是匹配时,邮件将被发送。但是DKIM只签署了消息的指定部分,可以转发消息,签名仍然匹配。这被称为重播攻击。
  • DMARC(基于域的消息身份验证、报告和一致性):该策略为发送方提供了一个选项,让接收方知道其电子邮件是否受到SPF或DKIM的保护,以及在处理身份验证失败的邮件时应采取什么操作以及向谁报告。这消除了接收机端的疑虑,但遗憾的是,DMARC并没有得到广泛的应用。

他们如何将其拉下来?

欺骗邮件的最简单方法是,如果不法分子发现一个拥有开放SMTP(简单邮件传输协议)端口的邮件服务器。

如前所述,SMTP本身缺乏身份验证,因此以这种方式配置不佳的服务器是滥用者的牺牲品。没有任何内容可以阻止确定的攻击者设置自己的电子邮件服务器。

这样做之后,就有了免费的软件,可以让你使用任何你喜欢的发送地址。接收方必须检查邮件的全部标题,以确定邮件是否来自“真正的发件人”或是否被欺骗。这需要一些知识和时间,你可能不想花在每一封邮件上。但是在这些情况下回复会被发送到电子邮件地址的实际处理程序,而不是攻击者

这就是为什么,因为CEO / CFO欺诈您将经常看到,攻击者注册的域名与他们试图欺骗的公司的域名非常相似。

目标受害者可以容易地错过的域中的差异,例如ma1warebytes.org。这将使他们能够从受害者那里获得任何回复,以防他们被要求提供更多信息或确认。

链接

电子邮件发件人地址欺骗的对策

电子邮件身份验证:如何将Wannabes从真实的东西中分开了SPF,DKIM和DMARC

Pieter Arntz.