收到釣魚郵件，你可以注意這些

近日，在郵箱看到一封釣魚郵件。由於近期郵件系統多次受到釣魚郵件侵襲，便想以這封釣魚郵件為例，一起分析下其工作原理和防範措施。

郵件已被郵箱管理員以附件形式放置到病毒文件夾待處理，如下圖：

我們下載附件（病毒郵件）後，通過 Foxmail 等郵件客戶端打開（這裡建議沒有經驗的用戶在沙箱中或虛擬機中操作），發現其僅包含一個名為 ng5c1 的 .jpg 圖片文件。

釣魚郵件的主要功能代碼就在附件圖片中。如果操作系統存在相關漏洞（如緩衝區溢出），那麼用戶打開或者處理圖片時利用漏洞（如發生溢出）會導致圖片內攜帶的惡意指令得以執行。而這些惡意指令是可以通過圖片木馬合成工具或者 Dos 命令添加到圖片中的。我們通過十六進位打開這副圖片。如下圖：

我們可以看到，代碼最後顯示這幅圖片通過用戶的點擊瀏覽使用戶下載比特幣相關的推廣程序。圖中 IP 顯示伺服器在境外。根據筆者經驗推測，該 exe 推廣程序還可能具備竊取用戶計算機信息、傳播甚至自我修復等功能。該封郵件具有釣魚郵件基本特徵。

那麼，到底什麼是釣魚郵件呢？

釣魚郵件指通過偽裝的電子郵件欺騙獲取收件人賬號、口令等重要信息或引導收件人瀏覽特定頁面、文件等的一種電子欺詐手段。

下面，筆者將演示釣魚郵件的製作和攻擊的過程，便於讀者更好地理解其原理。我們以著名購物網站某寶為例（筆者承諾文中模板僅為測試用，未有非法攻擊等違法行為）：

一． 偽造受信任網站

釣魚前，我們需要偽造一個用戶熟悉信任的網站來誘騙用戶登錄，從而獲取他們的登錄賬戶、密碼等重要信息。這裡我們通過 set 工具包克隆某寶網站，如下圖：

二．進行郵件偽造

如何讓用戶點擊該釣魚鏈接，進而竊取其賬戶信息呢？這涉及社會工程學範疇。我們通常見到的有退款通知、中獎通告、補丁升級等具有一定吸引力的標題內容。就文中示例而言，我們可以偽造成退貨進度通知，退款申請或者申請售後查詢等相關信息去發布該鏈接。

這裡，我們先了解下社會工程學的定義。社會工程學（Social Engineering）是一種通過人際交流的方式獲得信息的非技術滲透手段。對於黑客而言，或許通過一個用戶名、一串數字或英文代碼、一段自述文字，並加以篩選、整理，就可以把個人的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、上網痕迹等個人信息基本掌握。

我們製作好釣魚網站並編寫代碼接受用戶賬戶信息後，便可以發布該網站鏈接了。如下圖：

我們可以發現從收件箱看來，並無異常。當然，我們這裡僅為說明起見，郵件內容做的較為粗糙。黑客在真實釣魚過程中會將郵件內容做到更加逼真，並將該類型郵件群發。若有用戶點擊，則其賬戶相關信息將如上文所示發到指定人那裡。

在了解釣魚郵件基本原理後，下面將討論釣魚郵件識別防範措施。

作為伺服器端而言，通常會採取以下措施：

1. Email網關反向查詢郵件來源的域名。若域名未設置MX（郵件交換記錄）或無MX記錄，網關會丟棄該郵件。MX的作用是給發信者指明該域名的郵件伺服器有哪些。

2. 有的郵件伺服器具備whois功能，能夠判斷郵件內容和郵箱對應域名提供業務是否匹配，從而判斷該郵件是否正常。

3. SPF技術

SPF是跟DNS相關的一項技術，它的內容寫在DNS的TXT類型的記錄裡面。SPF的作用跟MX相反，可理解為一個反向DNS，將郵箱域名和固定的IP源綁定，它向收信者表明，哪些郵件伺服器是經過該域名認可發送郵件的。主要針對發信人偽造域名的危險郵件。例如上文中我們偽造發件人是service@taobao的郵件，我們通過查詢郵件頭會發現，其spf值為fail，表明該封自稱為來自淘寶的郵件發送地址是非法的。如下圖：

看到這裡，各位應該明白為什麼本文開頭說的俄羅斯黑客使用的Gmail郵箱地址是偽造的了吧。

4. DKIM技術

DKIM，Domain Key Identified Mail，中文名稱為域名密鑰識別郵件標準。是 yahoo 的 domainkey 技術跟 cisco 的 identified mail 技術結合的產物。

DKIM 基本工作原理是基於傳統的密鑰認證方式。其會產生兩組鑰匙，公鑰（public key）和私鑰（private key）。公鑰將會存放在 DNS 中，而私鑰會存放在寄信伺服器中。數字簽名會自動產生，並依附在郵件頭中，發送到寄信者的伺服器里。公鑰則放在 DNS 伺服器上，供自動獲得。收信的伺服器，將會收到夾帶在郵件頭中的簽名和在 DNS 上自己獲取公鑰，然後進行比對，比較寄信者的域名是否合法，如果不合法，則判定為危險郵件。

簡單來說，發送方會在電子郵件的標頭插入 DKIM-Signature 及電子簽名信息。而接收方則通過 DNS 查詢得到公開密鑰後進行驗證。

國外很多郵件服務提供商，像 Google 的 Gmail 都採用了 DKIM 技術。而國內大部分郵件服務提供商尚未使用該技術來屏蔽危險郵件。

作為普通用戶來說，我們可以簡單通過下面方法來防範釣魚郵件：

1. 可以通過查看郵件頭的源 IP 來確認是否可靠。如下圖：

2. 如果郵箱提示由 XXX 代發，即顯示發件人和實際發件人不一致，要引起我們注意。像 Foxmail 便提供設置顯示發件人的功能。

3. 通過上面提到的查看郵件原文代碼，觀察 SPF 的值。不同值的含義如下圖：

4. 當然，如果我們有一定計算機基礎，還可以查詢郵件伺服器是否有 MX 設置。

Windows: nslookup -type=mx qq.com（以qq郵箱服務為例）

Linux:dig mx qq.com

5. 用戶對郵箱中的鏈接和附件要謹慎對待，不要盲目打開或者點擊。

釣魚郵件的詐騙方法不會僅拘泥於一種，除了會造成經濟損失外，也可能造成嚴重政治危機。因此，我們要時刻保持對郵件的甄別，對被隔離或者警告的郵件謹慎操作。一旦發現有被攻擊跡象，立即斷開本機網路，第一時間修改個人賬戶信息，並請專業人員檢查計算機系統。

來源：中國科學院西北生態環境資源研究院（籌）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！