瑞星专家详解伪造邮件攻击和防范措施

    泡泡网安全相关频道8月13日 据瑞星“云安全”监测系统统计显示，从2011年起，钓鱼攻击就已经成为网络环境中最主要的恶意攻击方式，其攻击数量是恶意挂马攻击数量的数十倍。网民经常收到黑客伪造官网发来的各种钓鱼邮件，要甄别这些钓鱼邮件并不容易，很多人经常采用的方法是查验发件人地址信息是否为官网邮件地址。但是，是否显示为官方地址发送的邮件就是安全可信的呢？答案是否定的。据瑞星安全专家介绍，在现有的技术下，黑客可以把钓鱼邮件伪装成任何地址发送给用户，从而达到钓鱼攻击的目的。

    伪造邮件攻击方法详解

    下面我们结合黑客常用的伪造邮件手法进行分析，然后结合实例对伪造邮件攻击的原理进行描述。首先黑客可以通过提供在线匿名邮件服务的网站进行发送，如下图1所示。

    正如网站上面介绍的，通过点击菜单栏的“send fake mail”的标签，我们就可以进行伪造邮件的发送了，需要填写的内容如下图2所示。

    这里From表示邮件发送者信息，我们可以在此进行伪造，例如伪造内容为腾讯服务的邮箱地址service@tencent.com，这里为了实现钓鱼攻击的目的，我们将邮件的标题和内容写成腾讯QQ安全提示的内容，并将邮件正文中的链接地址指向钓鱼网站地址http://aq.qq-1.tk/ss，最后发送邮件。片刻后，我们收到了该伪造邮件的信息，如下图3所示。

    我们可以发现，发件地址为service@tencent.com，邮件的主题和内容也是刚刚我们发送邮件内容的自定义内容，但是在邮件正文的第一行中，多了一行来自于deadfake的提示信息，提示用户这封邮件不是真的。那么在这封邮件中，惟一的瑕疵就是deadfake的提示信息内容，然而这对于黑客来说，也不是不能处理的。黑客可以将这个提示信息隐藏，实现的方法就是通过一个与邮件背景颜色相同的图片进行覆盖，我们重新构造邮件内容如下图4所示。

    与构造的上一封伪造邮件类似，我们增加了一行HTML代码，主要作用是在邮件正文中插入一个图片，图片显示为纯白色，然后通过style属性对图片的位置和大小信息进行设定，保证图片在显示时可以将deadfake提示的内容进行覆盖，然后再次进行发送，当接收到该伪造邮件时，我们可以看到deadfake的提示信息不见了，如下图5所示。

    但是，通过邮件的源代码文件我们发现，deadfake的提示信息还是有的，只是在邮件显示的时候不可见了，因为该文字信息已经被我们纯白色的图片覆盖了。