手机新骗术曝光:苹果、QQ 的「官方邮件」可能是假的
手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的
原标题:手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的 近日,一个白帽子团队向 it 时报记者
原标题:手机新骗术曝光:苹果、qq 的「官方邮件」可能是假的
近日,一个白帽子团队向 it 时报记者爆料,目前全球主流电子邮箱的邮件服务器普遍存在一个漏洞,黑客无需攻入服务器内部,便可以直接伪造一封官方邮件寄给用户,内容通常是钓鱼网站或者木马病毒。
与以往邮件诈骗不同,假邮件的地址与真实地址相同,用户根本无法分辨真伪,可谓防不胜防。据测试,苹果、万豪、gmail、腾讯 qq 邮箱、网易 163 邮箱、 139 手机邮箱等等国内外主流邮件服务器悉数中招,至少数亿用户的邮箱有安全隐患。
“手机邮件客户端尤其是重灾区,”金科告诉记者,有些邮箱的网页版对这些仿冒邮件会有一个提示:由 ×××@×××.com 代发,但这个显示出的代发地址同样也可以事先设定,手机端 app 的收件箱则无任何提示,在收件人看来,这就是一封来自官方的正常邮件。
“安全措施如果没有正确配置,反而会成为新的漏洞。”金科告诉记者,几个月前,国外逐渐出现了这种新型邮件诈骗手段,根本原因是原本用于邮件安全的 dmarc 协议,因为被服务商错误配置,不仅防钓鱼功能完全失效,其他几乎所有用于保护收件人不受欺诈电子邮件影响的防范措施,如垃圾邮件过滤器、ip信誉查询、spf、dkim 策略也都统统不再起作用。
dmarc(domain-based message authentication, reporting and conformance 基于域的消息认证、报告和一致性)是 2012 年 1 月 30 日,由 paypal、google、微软、雅虎、returnpath 等联手推广的新电子邮件安全协议,此后中国的网易、qq 等邮箱服务商也都加入其中。
dmarc 的根本原理是,允许域所有者发布一项策略,该策略会告知收件人如果邮件未通过安全验证,该如何处理。
在金科的测试中,发现 gmail 和 qq 邮箱都有做 dmarc,但 p=none,163 邮箱和 139 邮箱没做 dmarc。他尝试伪造发件人来自这些域名,最终仿冒邮件都能进入收件方的收件箱。
之所以如此设置,金科分析,一种可能是这些公司的安全人员“偷懒”,另一方面也可能是企业担心自己的营销邮件也被收件方拒收,因此干脆给所有询问都“开绿灯”。
选自 it时报 等媒体的报道
经过重新编排
上一篇: 我经历的一些Android面试题及答案
下一篇: 出冷汗吃什么好,值得你收藏