钓鱼邮件攻击中的猥琐技巧与策略

FB客服

发布于 2018-02-24 14:53:08

1.7K0

发布于 2018-02-24 14:53:08

文章被收录于专栏：FreeBuf FreeBufFreeBuf

引言

钓鱼邮件攻击是社会工程学攻击中的一种常见的手段，其目的是欺骗受害人来进行一些操作，最终控制受害人。一般来说,钓鱼邮件从后续的攻击手段来说，可以分为两类：

纯粹利用社会工程学手段对受害人进行进一步的欺骗，和电信诈骗的手段更加类似

使得受害人点击一些链接，然后使用CSRF,XSS，伪造登录网站等技术方式来进行进一步的攻击

这篇文章主要介绍第二种情况的一些猥琐的技巧和策略，以求能使得更多的人不被这些手腕所迷惑和欺骗，也希望能给安全人员一些启发。

1、钓鱼邮件链接

这是一种最为基础的方法，就是在邮件中放入一个链接，期待用户来点击，而这个链接可以链接到一个带有反射性XSS的网站，或者是一个CSRF，或者是伪造的登录入口。

如上图

但是在今日，人们的安全意识已经是大大的提升了，能够意识到不可靠邮箱发来的邮件中的链接最好不要轻易的点击。

因此，攻击者发明了一些更加猥琐的手段，来对用户进行欺骗和攻击。

下面将依次介绍几种方法。

2、利用链接的显示与实际不同进行欺诈

这种欺骗方法很好理解，就如同html中的a标签一样，邮件的发件一般是在一个富文本编辑器中进行的，一个超链接有两部分，一部分是显示出来的文本，另一部分是这个指向的URL，通常，我们会将链接的描述填写在显示出来的文本中，就像这样：

点击此处跳转到百度

攻击者也可以像这样，放置一个链接，就像0×00中的那样，比如：

点击此处查看详细信息

但是，这种链接，是很容易引起用户的警觉的，尤其是一个陌生的，不那么靠谱的邮箱发来的邮件中。于是，攻击者产生了一种更加猥琐的办法,请看下面这个链接：

http://www.baidu.com/

上面这个链接，看上去是一个百度的链接，实际却跳向了必应（本来想放谷歌，怕有些师傅没访问外国网站）这就是利用了这个技巧。

来看一个邮件中的例子

如果是这样的一个链接，完全就是淘宝网的域名，而且是https的，大部分人都不会有什么迟疑，而攻击者的目的也就达到了。

3、利用近似URL来进行欺骗

上面一种欺骗方法有一个严重的缺点，就是只能在邮件内进行欺骗，一旦跳转到了浏览器内，就很容易被发现，因此攻击者需要找一种方法，使得进入浏览器，看到URL之依旧能够欺骗用户，防止用户警觉，不方便下一步的攻击。

最初的方法：相近字符替换

比如说像下表一样的：

进阶的方法：利用子域名

假设攻击者有一个 abc.com的域名，那么他可以注册如下的子域名进行仿冒和欺骗：

但是近些年来大家都知道看根域名了orz，所以这种方法也逐渐销匿了踪迹。

猥琐的方法：仿冒子域名

大家都明白，只要根域名保证了正确，下面的子域名就基本上可以确定是没有问题的，比如：

这些，形如xxx.qq.com都可以认为是鹅场的网站。

但是，重点来了！如果你看到下面的url：

还会有那么多怀疑吗？这种用连接线来混淆视听假装自己是子域名的伪装策略，可以欺骗过大多数人的眼睛。

4、邮件伪造

我们现在邮件系统的实现大多是使用SMTP协议，SMTP协议中，使用HELO字段来向接受服务器标识发送方的身份。

但是，由于HELO标识是由发送方提供的，也就是说，这个标识是可以被伪造的。

我们使用kali的swaks工具可以进行邮件伪造。

发送成功后，我们可以在自己的邮箱中收到这一封邮件，这次，我们伪装自己是 a@b.com

读者可以把目标邮箱换成自己的邮箱进行尝试。

5、利用子域伪名造的邮件

为了防止邮件伪造，邮件厂商也采取了一些措施，比如SPF，原理大致是一个反向的DNS，将邮箱地址和固定的IP源绑定。

邮件接收方的收件服务器在接受到邮件后，首先检查域名的SPF记录，来确定发件人的IP地址是否被包含在SPF记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。[3]SPF 记录允许邮件系统管理员指定哪些邮件服务器可以使用该域名来发送邮件，接收服务器会在收到邮件时验证发件人在 SMTP 会话中执行 MAIL FROM 命令时的邮件地址是否与域名 SPF 记录中所指定的源 IP 匹配，以判断是否为发件人域名伪造。