原标题:手机新骗术曝光:苹果、QQ 的「官方邮件」可能是假的
近日,一个白帽子团队向 IT 时报记者爆料,目前全球主流电子邮箱的邮件服务器普遍存在一个漏洞,黑客无需攻入服务器内部,便可以直接伪造一封官方邮件寄给用户,内容通常是钓鱼网站或者木马病毒。
与以往邮件诈骗不同,假邮件的地址与真实地址相同,用户根本无法分辨真伪,可谓防不胜防。据测试,苹果、万豪、Gmail、腾讯 QQ 邮箱、网易 163 邮箱、 139 手机邮箱等等国内外主流邮件服务器悉数中招,至少数亿用户的邮箱有安全隐患。
“手机邮件客户端尤其是重灾区,”金科告诉记者,有些邮箱的网页版对这些仿冒邮件会有一个提示:由 ×××@×××.com 代发,但这个显示出的代发地址同样也可以事先设定,手机端 App 的收件箱则无任何提示,在收件人看来,这就是一封来自官方的正常邮件。
“安全措施如果没有正确配置,反而会成为新的漏洞。”金科告诉记者,几个月前,国外逐渐出现了这种新型邮件诈骗手段,根本原因是原本用于邮件安全的 DMARC 协议,因为被服务商错误配置,不仅防钓鱼功能完全失效,其他几乎所有用于保护收件人不受欺诈电子邮件影响的防范措施,如垃圾邮件过滤器、IP信誉查询、SPF、DKIM 策略也都统统不再起作用。
DMARC(Domain-based Message Authentication, Reporting and Conformance 基于域的消息认证、报告和一致性)是 2012 年 1 月 30 日,由 Paypal、Google、微软、雅虎、ReturnPath 等联手推广的新电子邮件安全协议,此后中国的网易、QQ 等邮箱服务商也都加入其中。
DMARC 的根本原理是,允许域所有者发布一项策略,该策略会告知收件人如果邮件未通过安全验证,该如何处理。
在金科的测试中,发现 Gmail 和 QQ 邮箱都有做 Dmarc,但 p=none,163 邮箱和 139 邮箱没做 Dmarc。他尝试伪造发件人来自这些域名,最终仿冒邮件都能进入收件方的收件箱。
之所以如此设置,金科分析,一种可能是这些公司的安全人员“偷懒”,另一方面也可能是企业担心自己的营销邮件也被收件方拒收,因此干脆给所有询问都“开绿灯”。
选自 IT时报 等媒体的报道
经过重新编排
“特别声明:以上作品内容(包括在内的视频、图片或音频)为凤凰网旗下自媒体平台“大风号”用户上传并发布,本平台仅提供信息存储空间服务。
Notice: The content above (including the videos, pictures and audios if any) is uploaded and posted by the user of Dafeng Hao, which is a social media platform and merely provides information storage space services.”