欺骗邮件攻击|欺骗邮件攻击有何特别之处？ |第 3 部分#9 .com

欺骗攻击的独特特征是——“欺骗行为”充当大多数其他邮件攻击的先锋。
换句话说——欺骗邮件攻击伴随着另一种类型的邮件攻击，例如网络钓鱼邮件攻击或垃圾邮件。

欺骗邮件攻击，有什么用？

“欺骗阶段”的主要目的是——使目标接收者信任发送者身份。

“信任”是“邮件攻击大楼”的第一个组成部分。

当敌对分子设法在他和受害者之间建立起“信任”桥梁后，下一步的攻击很有可能成功完成。

欺骗电子邮件攻击本身并不存在，而是作为通向下一步的第一阶段（信任阶段），其中敌对分子要求受害者“做某事”。

例如

案例 1 - 电子邮件 + 恶意软件

敌对分子将自己伪装成值得信赖的发件人，并要求目标收件人打开电子邮件中的附件（恶意软件）。

案例 2 - 垃圾邮件

敌对分子将自己伪装成值得信赖的发送者，并要求目标接收者购买特定产品或特定服务。

案例 3 - 网络钓鱼邮件攻击

敌对分子将自己伪装成值得信赖的发件人，并要求目标收件人“做某事”，例如重置密码、访问特定网站、将钱存入特定银行账户等。

欺骗、欺骗电子邮件、欺骗攻击以及其他所有行为的含义是什么？

“欺骗”一词的简单解释是，实体 A 掩盖其真实身份，并呈现另一个身份，例如实体 B 的身份。

使用欺骗其身份的元素的主要目的是通过使用受害者可以信任的身份来“购买受害者的信任”。

“欺骗身份”可以是“属于”知名组织的发件人的身份，或者在某些情况下，攻击者提供目标收件人认识的发件人的身份，例如来自其组织的某人。

欺骗邮件攻击的目的

如前所述，“恶搞机制”的目的是作为旅社分子“打开受害堡垒之门”的工具。

如果攻击者设法绕过“信任障碍”，攻击者就会执行其余的攻击步骤，例如社交工程、网络钓鱼网站、恶意软件等。

利用“受害者信任”

敌对分子可以使用的身份类型。

1. 具有良好声誉的著名或知名公司的发件人身份。
例如来自 PayPal 等知名公司或领先银行的收件人身份。

2. 与受害者同一组织的发件人的身份。
这是 CFO 和 CIO 的经典场景，“经理和助理”的场景，来自帮助台的人员处理组织用户的场景等等。

在这种情况下，攻击者滥用人们信任组织中某人的自然倾向，特别是如果此人（攻击者使用的欺骗身份）被视为 VIP、经理或拥有权力或权威的身份。

3. 匿名身份
不太专业的攻击者，可以使用在主要邮件上创建的电子邮件帐户（电子邮件消息），提供例如 - Gmail、Hotmail、Yahoo 等。在这种情况下，“信任因素”会降低，因为目的地收件人不会相信发件人是“已知发件人”。 ”

关于欺骗电子邮件攻击的两个常见误解

在本节中，我想谈谈我们大多数人对欺骗电子邮件攻击主题的两个误解。

误解 1#2 - 欺骗电子邮件是由专业黑客执行的。

关于欺骗电子邮件攻击最常见的误解是，执行欺骗电子邮件攻击只能由专业人士或超级网络犯罪分子实施！

我们大多数人的脑海中都会浮现这样一个画面：一个戴着厚厚眼镜的家伙，坐在黑暗的房间里，满是电脑屏幕，狂怒地打印奇怪的计算机语言命令，试图攻击我们的系统。

事实要简单得多，当今，发送匿名电子邮件或欺骗发件人身份的能力非常简单和容易。

无需成为超级网络罪犯！

发送欺骗电子邮件的选项非常简单，如果我们想让变得更容易，有许多基于网络的在线工具可以帮助我们完成此任务。

在下面的屏幕截图中，我们可以看到搜索字符串“发送匿名邮件工具”的搜索结果示例。 ”

正如我们所看到的，该特定搜索词有 28,000,000 个结果。

我们非常欢迎您亲自尝试一下，您会发现欺骗您的电子邮件地址身份的过程是多么简单和直接。

如果您想了解更多有关模拟电子邮件欺骗攻击方式的信息，可以阅读文章 - 如何模拟电子邮件欺骗攻击|第 11#12 部分

误解 2#2 - 我的邮件服务器“知道”如何识别和阻止欺骗电子邮件。

简单的事实是，假设我们的邮件基础设施包含一个保护机制，可以保护我们免受欺骗电子邮件攻击，但大多数情况下，这个假设是错误的！

换句话说，大多数现有的邮件基础设施无法处理欺骗电子邮件和网络钓鱼邮件攻击的情况，因此不能很好地处理或不能处理所有情况。

欺骗电子邮件不是病毒，也不是垃圾邮件！

大多数邮件基础设施都包括某种防病毒保护和某种反垃圾邮件过滤器，并且这种抗议机制提供了不错的保护。

大多数邮件基础设施不能很好地处理欺骗电子邮件这一事实的奇怪答案是因为 SMTP 邮件协议的固有弱点。

SMTP 协议可以被描述为“天真的协议”或“无辜的协议”，因为 SMTP 协议在创建时并没有意识到敌对分子会试图欺骗其身份的情况。

创建 SMTP 协议的人的主要目标是实现邮件的传送

电子邮件信息从 A 点快速高效地发送到 B 点。

代表发件人的邮件服务器向代表目标收件人的邮件服务器发送地址，并要求他将电子邮件消息传递给特定的收件人。

非常简单而且非常直接。

代表目标收件人的邮件服务器（接收邮件服务器）未配置为怀疑或怀疑有关发件人身份的信息。

如果发件人声称自己的身份是X，只要电子邮件地址格式正确，目标邮件服务器就会“相信”有关发件人身份的信息。

假设我们已经提高了目标邮件服务器对某些发件人可能是敌对分子的认识。

我们如何验证发件人的身份，以便我们能够信任他？

好消息是，如今，我们有一些邮件发件人身份验证标准，例如 SPF、DKIM 和 DMARC，可以帮助验证发件人身份。

不太好的消息是，该协议的实施并不那么简单，因为我们将在本文后面回顾许多原因 - 在我们开始项目之前我们需要回答的问题 - 构建一个可以保护的防御系统我们免受欺骗邮件攻击|第7部分#9

欺骗电子邮件攻击的两种主要类型

我想强调的一个最重要的主题是，当我们使用“欺骗电子邮件攻击”这个术语时，该术语可以翻译成两种主要场景：

场景 1 - 针对“其他用户”（不是我们的用户）的欺骗邮件攻击，但攻击者在执行欺骗邮件攻击时使用我们的组织身份。

场景 2 - 欺骗邮件攻击，其中攻击针对我们的用户。

攻击者可以使用包含我们的域名的虚假发件人电子邮件地址，或使用“外部电子邮件地址”（包含代表其他组织的其他域名的电子邮件地址）良好的声誉被认为是值得信赖的组织。

我们脑海中出现的有关欺骗邮件攻击的常见联想与“场景 2”有关，其中我们的用户成为欺骗邮件攻击的受害者。

尽管这种类型的攻击更“可行”且更具体，但必须强调的是，另一种情况，即敌对行为窃取我们的组织身份并通过攻击另一个组织来滥用它，也是一种“有问题的情况”，可能会导致不必要的攻击。可能损害我们组织声誉的结果。

场景 1 - 针对“其他用户”（不是我们的用户）的欺骗邮件攻击。

攻击者“窃取”我们的组织身份的场景。

例如，我们的组织域名是 - o365info.com

敌对分子通过使用发件人电子邮件地址来呈现自己，其中包括我们的域名，例如 - [email protected]

攻击者选择使用我们的域的原因是 - 可能是因为我们的组织被认为是一个具有良好声誉、可以信任的组织。

在这种情况下，攻击者的主要目的是——说服受害者（其他组织的收件人）“相信他”，因为他的身份（他使用我们域名的电子邮件地址）是可以信任的。

在本案中，敌对分子利用“我们组织的良好声誉”来辱骂其他组织的收件人。

场景 2 - 欺骗邮件攻击，其中攻击针对我们的用户。

敌对分子通过提供虚假发件人身份来攻击我们组织收件人的场景。

攻击者使用的虚假发件人身份可以通过两种方式实现：

场景 2.1 - 攻击者使用“众所周知的”电子邮件地址攻击我们的组织。

在这种情况下，攻击者使用基于电子邮件的虚假身份，其中包含众所周知的或被视为受信任组织的公司的域名。

场景 2.2 - 攻击者使用包含我们域名的电子邮件地址攻击我们的组织。

这种情况是最“痛苦”的情况，因为在这种情况下，攻击者使用与他攻击的人（受害者）来自同一组织的人员的身份来伪装自己。

这种场景的一个例子是鱼叉式网络钓鱼，这是一种特殊类型的网络钓鱼邮件攻击，其中攻击者使用我们组织中“知名”人员的身份，例如公司 CFO 的电子邮件地址。

攻击者使用此身份来攻击组织中的关键人员。

由于受害者看到熟悉的发件人身份，他很容易受到诱惑而相信“发件人电子邮件”。

注意：从技术上讲，对于网络钓鱼邮件攻击针对我们组织用户的情况，这种情况可能还有一种额外的变化，即敌对分子懒得“掩盖他的真实身份”。身份”使用“好的假身份”，而是使用通用身份或公共邮件提供商，例如 Yahoo、Hotmail、Gmail 等。

欺骗电子邮件攻击|可能造成的损害有哪些？

让我们简要回顾一下攻击者成功执行欺骗电子邮件攻击的情况下最明显的损害。

如前所述，实际上，该敌对分子并不满足于欺骗电子邮件攻击，因为成功完成此类攻击他无法获得任何好处。

攻击者使用欺骗电子邮件攻击作为“主菜”的“开胃菜”。

敌对分子设法完成攻击（例如欺骗电子邮件攻击和网络钓鱼电子邮件攻击）时的可选损害是从执行的特定攻击中实现的损害。

例如，在包含恶意软件的电子邮件的情况下，我们将遭受的损害取决于恶意软件被编程执行的恶意活动。

我们脑海中可能出现的另一个问题是——这是唯一可能发生的损害吗？是否有可能造成额外和进一步的损害？

“攻击”造成的损害可能是轻微的，但另一方面也可能造成巨大的损害。

例如，假设攻击者执行网络钓鱼电子邮件攻击（包括欺骗电子邮件攻击），说服公司首席执行官将价值 500, 000$.$的金额转入他的银行账户。

除了经济损失之外，这次攻击还会造成什么损害？

这种损害可能是“CEO 愤怒攻击”，这可能会导致我们需要更新简历，因为我们需要寻找新工作（政治正确的术语是——寻找新挑战）。

攻击者使用我们的组织身份攻击其他受害者的场景。

现在我们来谈谈敌对分子利用我们组织的身份攻击其他组织可能造成的损失。

假设攻击者设法完成了攻击，并且假设我们不关心另一个组织造成的损害是什么。

那么，如果敌对分子使用我们的组织身份，我们又何必关心呢？

答案是我们应该关心！

事实上，攻击是使用“我们的身份”执行的，这对我们的声誉来说是很糟糕的。

在许多情况下，作为欺骗电子邮件攻击受害者的“其他组织”将奖励我们向黑名单提供商报告此信息。

我们的域名在电子邮件黑名单中注册的过程非常简单（因为有确凿的证据证明我们的组织“攻击”其他组织）。

“除名”过程并不那么简单，在许多情况下，我们认识到我们的域名出现在众所周知的黑名单中，并要求将我们的名字从这个“受人尊敬的名单”中删除，这个过程可能会很长，精疲力竭的过程。

同时，虽然我们的域名出现在黑名单上，但结果可能是组织用户发送给外部收件人的许多外发电子邮件将被邮件目标基础设施阻止或拒绝，因为我们的域名显示为有问题的域。

当前文章系列的下一篇文章

邮件网络钓鱼攻击简单来说是什么意思？ |第 4 部分#9