EchoSpoofing來詐騙 你的電子郵件被攻擊
編譯/Cynthia
「EchoSpoofing」是一種新型的電子郵件詐騙手法,透過利用受信任的域名來發送大量釣魚郵件,對電子郵件安全造成重大威脅。這種攻擊手法會偽造電子郵件標頭,使郵件看起來像是來自合法來源,實際上卻是精心策劃的詐騙。一起了解EchoSpoofing的運作原理及如何識別,對於提升網路安全防護非常重要。
電子郵件標頭的作用
電子郵件標頭包含重要的資訊,如寄件人地址(From)、收件人地址(To)、主題(Subject)、經過的伺服器記錄(Received)、以及退回郵件地址(Return-Path),這些資訊對追蹤郵件來源和處理過程至關重要。郵件在轉發過程中,簡易郵件傳輸通訊協定(Simple Mail Transfer Protocol,SMTP)伺服器會將郵件從一個伺服器傳送到另一個伺服器,而攻擊者可能會利用開放中繼伺服器,將偽造的標頭注入郵件中,然後通過這些伺服器將郵件發送給收件人,從而達到欺詐目的。
更多新聞:偽裝成Microsoft Forms 釣魚攻擊增多
攻擊者如何偽造電子郵件
在進行欺騙標頭攻擊時,攻擊者會使用各種工具和腳本來製作偽造的電子郵件標頭。舉例來說,他們可能會利用指令列工具如sendmail或程式語言中的郵件發送功能來創建這些郵件。接下來,攻擊者會尋找開放中繼伺服器,這些伺服器允許來自任何來源的郵件進行轉發。攻擊者會使用Python的smtplib模組和MIMEText來等設置郵件標頭中的寄件人(From)、收件人(To)和主題(Subject),然後通過這些伺服器發送偽造郵件。最後,這些偽造的郵件會通過這些伺服器送到收件人手中,實現其欺詐目的。
Exchange的前端傳輸服務
在Microsoft Exchange中,前端傳輸服務處理來自網際網路的郵件流量。如果電子郵件標頭顯示「透過前端傳輸」(via Frontend Transport),這表示郵件已經經過Exchange的前端傳輸服務。如果Exchange伺服器配置不當,可能會出現開放中繼問題,使郵件在未經充分驗證的情況下被轉發。這樣的漏洞可能被攻擊者利用,進行濫用或發送欺詐郵件。
最新攻擊案例分析
最近的攻擊案例中,攻擊者利用正版的Microsoft Office 365帳戶發送釣魚郵件,並偽裝成來自迪士尼的電子郵件。因為 Gmail 在處理來自 Outlook 伺服器的大量郵件時不會施加流量限制,所以這些攻擊郵件能夠順利到達收件人。由於郵件經過「發件人政策框架」(Sender Policy Framework, SPF)檢查,它是從官方的 Microsoft 伺服器發送,即便郵件標頭被偽造,仍然會顯得合法。
域名金鑰辨識郵件
域名金鑰辨識郵件(DomainKeys Identified Mail,DKIM)是一種使用數位簽章來驗證郵件真實性的技術,能有效防止電子郵件欺詐,確保郵件來自授權的發件人。如果攻擊者能夠成功簽署郵件並使DKIM簽名與域名匹配,就有可能繞過DKIM防護。這需要攻擊者擁有有效的簽名密鑰,而這通常只有在入侵目標域名的簽名系統後才有可能實現。
防範EchoSpoofing攻擊的措施
EchoSpoofing攻擊利用受信任的域名和開放中繼伺服器的漏洞,成功發送大量偽造的釣魚郵件。這種攻擊手法突顯了電子郵件安全配置的重要性。為了有效防範這類攻擊,企業和個人應加強伺服器的配置檢查,並提升電子郵件識別和驗證技術的應用。透過這些措施,可以更好地保護自己的網路安全,減少受到攻擊的風險。
資料來源:Information Security Newspaper、Disney Plus
瀏覽 912 次