釣魚郵件攻擊中的猥瑣技巧與策略

新聞 05-10

*本文原創作者：sarleon，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

引言

釣魚郵件攻擊是社會工程學攻擊中的一種常見的手段，其目的是欺騙受害人來進行一些

操作，最終控制受害人。一般來說,釣魚郵件從後續的攻擊手段來說，可以分為兩類：

純粹利用社會工程學手段對受害人進行進一步的欺騙，和電信詐騙的手段更加類似

使得受害人點擊一些鏈接，然後使用CSRF,XSS，偽造登錄網站等技術方式來進行進一步的攻擊

這篇文章主要介紹第二種情況的一些猥瑣的技巧和策略，以求能使得更多的人不被這些手腕所迷惑和欺騙，也希望能給安全人員一些啟發。

1、釣魚郵件鏈接

這是一種最為基礎的方法，就是在郵件中放入一個鏈接，期待用戶來點擊，而這個鏈接可以鏈接到一個帶有反射性XSS的網站，或者是一個CSRF，或者是偽造的登錄入口。

如上圖

但是在今日，人們的安全意識已經是大大的提升了，能夠意識到不可靠郵箱發來的郵件中的鏈接最好不要輕易的點擊。

因此，攻擊者發明了一些更加猥瑣的手段，來對用戶進行欺騙和攻擊。

下面將依次介紹幾種方法。

2、利用鏈接的顯示與實際不同進行欺詐

這種欺騙方法很好理解，就如同html中的a標籤一樣，郵件的發件一般是在一個富文本編輯器中進行的，一個超鏈接有兩部分，一部分是顯示出來的文本，另一部分是這個指向的URL，通常，我們會將鏈接的描述填寫在顯示出來的文本中，就像這樣：

點擊此處跳轉到百度

攻擊者也可以像這樣，放置一個鏈接，就像0×00中的那樣，比如：

點擊此處查看詳細信息

但是，這種鏈接，是很容易引起用戶的警覺的，尤其是一個陌生的，不那麼靠譜的郵箱發來的郵件中。於是，攻擊者產生了一種更加猥瑣的辦法,請看下面這個鏈接：

http://www.baidu.com/

上面這個鏈接，看上去是一個百度的鏈接，實際卻跳向了必應（本來想放谷歌，怕有些師傅沒翻牆）這就是利用了這個技巧。

來看一個郵件中的例子

如果是這樣的一個鏈接，完全就是淘寶網的域名，而且是https的，大部分人都不會有什麼遲疑，而攻擊者的目的也就達到了。

3、利用近似URL來進行欺騙

上面一種欺騙方法有一個嚴重的缺點，就是只能在郵件內進行欺騙，一旦跳轉到了瀏覽器內，就很容易被發現，因此攻擊者需要找一種方法，使得進入瀏覽器，看到URL之依舊能夠欺騙用戶，防止用戶警覺，不方便下一步的攻擊。

最初的方法：相近字元替換

比如說像下表一樣的：

進階的方法：利用子域名

假設攻擊者有一個 abc.com的域名，那麼他可以註冊如下的子域名進行仿冒和欺騙：

但是近些年來大家都知道看根域名了orz，所以這種方法也逐漸銷匿了蹤跡。

猥瑣的方法：仿冒子域名

大家都明白，只要根域名保證了正確，下面的子域名就基本上可以確定是沒有問題的，比如：

這些，形如xxx.qq.com都可以認為是鵝場的網站。

但是，重點來了！如果你看到下面的url：

還會有那麼多懷疑嗎？這種用連接線來混淆視聽假裝自己是子域名的偽裝策略，可以欺騙過大多數人的眼睛。

4、郵件偽造

我們現在郵件系統的實現大多是使用SMTP協議，SMTP協議中，使用HELO欄位來向接受伺服器標識發送方的身份。

但是，由於HELO標識是由發送方提供的，也就是說，這個標識是可以被偽造的。

我們使用kali的swaks工具可以進行郵件偽造。

發送成功後，我們可以在自己的郵箱中收到這一封郵件，這次，我們偽裝自己是 a@b.com

讀者可以把目標郵箱換成自己的郵箱進行嘗試。

5、利用子域偽名造的郵件

為了防止郵件偽造，郵件廠商也採取了一些措施，比如SPF，原理大致是一個反向的DNS，將郵箱地址和固定的IP源綁定。

郵件接收方的收件伺服器在接受到郵件後，首先檢查域名的SPF記錄，來確定發件人的IP地址是否被包含在SPF記錄裡面，如果在，就認為是一封正確的郵件，否則會認為是一封偽造的郵件進行退回。[3]SPF 記錄允許郵件系統管理員指定哪些郵件伺服器可以使用該域名來發送郵件，接收伺服器會在收到郵件時驗證發件人在 SMTP 會話中執行 MAIL FROM 命令時的郵件地址是否與域名 SPF 記錄中所指定的源 IP 匹配，以判斷是否為發件人域名偽造。