欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  移动技术

手机新骗术曝光:苹果、QQ 的「官方邮件」可能是假的

程序员文章站 2022-05-28 11:00:17
手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的  原标题:手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的 近日,一个白帽子团队向 it&nb...

手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的

  原标题:手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的 近日,一个白帽子团队向 it 时报记者

  原标题:手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的

  近日,一个白帽子团队向 it 时报记者爆料,目前全球主流电子邮箱的邮件服务器普遍存在一个漏洞,黑客无需攻入服务器内部,便可以直接伪造一封官方邮件寄给用户,内容通常是钓鱼网站或者木马病毒。

手机新骗术曝光:苹果、QQ 的「官方邮件」可能是假的

  与以往邮件诈骗不同,假邮件的地址与真实地址相同,用户根本无法分辨真伪,可谓防不胜防。据测试,苹果、万豪、gmail、腾讯 qq 邮箱、网易 163 邮箱、 139 手机邮箱等等国内外主流邮件服务器悉数中招,至少数亿用户的邮箱有安全隐患。

  “手机邮件客户端尤其是重灾区,”金科告诉记者,有些邮箱的网页版对这些仿冒邮件会有一个提示:由 ×××@×××.com 代发,但这个显示出的代发地址同样也可以事先设定,手机端 app 的收件箱则无任何提示,在收件人看来,这就是一封来自官方的正常邮件。

  “安全措施如果没有正确配置,反而会成为新的漏洞。”金科告诉记者,几个月前,国外逐渐出现了这种新型邮件诈骗手段,根本原因是原本用于邮件安全的 dmarc 协议,因为被服务商错误配置,不仅防钓鱼功能完全失效,其他几乎所有用于保护收件人不受欺诈电子邮件影响的防范措施,如垃圾邮件过滤器、ip信誉查询、spf、dkim 策略也都统统不再起作用。

  dmarc(domain-based message authentication, reporting and conformance 基于域的消息认证、报告和一致性)是 2012 年 1 月 30 日,由 paypal、google、微软、雅虎、returnpath 等联手推广的新电子邮件安全协议,此后中国的网易、qq 等邮箱服务商也都加入其中。

  dmarc 的根本原理是,允许域所有者发布一项策略,该策略会告知收件人如果邮件未通过安全验证,该如何处理。

手机新骗术曝光:苹果、QQ 的「官方邮件」可能是假的

  在金科的测试中,发现 gmail 和 qq 邮箱都有做 dmarc,但 p=none,163 邮箱和 139 邮箱没做 dmarc。他尝试伪造发件人来自这些域名,最终仿冒邮件都能进入收件方的收件箱。

  之所以如此设置,金科分析,一种可能是这些公司的安全人员“偷懒”,另一方面也可能是企业担心自己的营销邮件也被收件方拒收,因此干脆给所有询问都“开绿灯”。

  选自 it时报 等媒体的报道

  经过重新编排

手机新骗术曝光:苹果、QQ 的「官方邮件」可能是假的