中国邮箱网讯 8月14日消息 仿冒电子邮件就是其中热门的网络仿冒之一,也叫作网络钓鱼邮件。这是打开内网通道的绝佳入口方式。电子邮件可以包含文本,图片,URL,附件和其他多种信息作为媒介,结合社工手段,它可以对未经培训的人员进行“降维打击”。网络钓鱼电子邮件有极强的针对性,可以针对运营和维护部门以及企业高管等更高价值的目标进行精准打击。
网络钓鱼电子邮件种类繁多,但主流的攻击方法大致可分为以下几种:
(一) 邮件正文插入恶意链接
这是一种最基础的攻击方式,就是在邮件正文中放入一个恶意诱导链接,等待用户进行点击,链接后面是一个伪造的网站,可能是一个恶意程序下载链接或者一个用于伪造的登录入口等。
攻击者会利用一些近期一些热点事件或者公司内部信息如疫情、产品介绍、系统账号升级等,以提高内容可信度,诱导用户点击链接。而恶意链接部分也进行伪装。
(二) 邮件附件藏毒
此类也是常见的一种,攻击者的payload含在邮件附件里,载体有直接的文档、图片、压缩包、脚本程序(exe、vbs、bat)等。
最直接的方式当然是直接发送脚本程序,但是容易被邮箱安全机制拦截或者人员识破,因此攻击者会使用一些伪装手段,如使用超长文件名隐藏后缀等。
最常用来攻击的办公文件为Word文件,其次为Excel文件。此类恶意文档简单的是利用宏代码调用powershell进行命令执行,高级的直接利用office等客户端软件漏洞。而ZIP压缩格式较常被用来夹带恶意文件,用于躲避邮件沙箱或者安全杀软的直接查杀。
屡试不爽的 Office 文件漏洞,一直是攻击者爱用的武器之一。除了作业人员、防病毒软件对文档的警觉性较低外,许多人所使用的 Office 不会经常性更新。除了公司预算的问题外,原本就使用了非正版Windows,或担心兼容性、使用上的适应性,以及缺乏漏洞修补的概念,都是使用者不愿更新的原因。
(三) 利用软件漏洞攻击
此类做法主要是使用邮件进行投递攻击武器,武器本身利用了邮箱、客户端软件如浏览器、office、系统等本身的漏洞,此类攻击需要配合操作系统/浏览器的 0day 或者 Nday,而且需要对攻击者使用的终端应用软件进行比较精准的识别,因此攻击成本较高,但是最终的效果还是很不错的,如利用邮箱的xss漏洞获取了大量员工邮箱账户cookie信息。
其他常见利用的漏洞有windows系统漏洞、office漏洞、Winrar目录穿越等。
(四) 利用邮件协议漏洞攻击
主要利用了邮箱本身安全设置问题,若邮箱地址没有设置spf,那么就会有人假冒真实域名发送邮件。
·邮件伪造
使用swaks可以非常简单的向目标投送伪造的钓鱼邮件。
·邮件协议爆破
使用万能爆破工具hydra可以对常见邮件协议进行爆破。
(五) 邮件发件人身份“伪造”
这里面伪造笔者使用了引号,为什么呢?这个伪造可能是使用真实的发件人邮箱身份,如攻击者通过一些方式窃取了一些真实可信的邮箱身份。
当然还有一些比较迂回的方式,如果通过邮箱直接攻击B单位人员无法成功,那么攻击B单位的上级单位或者有较强业务往来的A单位人员邮箱,然后利用B对A的可信度,伪造邮件向其索要一些敏感信息或者要求安装一些异常软件等。实际的对抗中确实有某攻击队通过此方式直接获得了目标单位全员信息(姓名、电话、邮箱、住址)。
RSS订阅
