近期似乎发现有人伪造校方邮件地址,进行一些名为诈骗的活动。且不论是否是真的诈骗,既然发生了这种事,还是给大家普及一下安全知识为好。
Part 1: 伪造邮件
要获得你的信任,首先是需要一个正确的电子邮件地址。比较低级的方式是使用近似的域名,比如 @cuhk.edn.cn。
比较高端的方式,是使用自建的 SMTP 服务器进行伪造。这样,看起来完全就是 @cuhk.edu.cn 了。然而,目前国际各大邮件提供商均采用了 DMARC 协议防止电子邮件的伪造。关于 DMARC,可以参考这篇知乎的 科普文 。
幸运的是,如果一个恰当配置了的电子邮件提供商,比如 Gmail、Hotmail 等符合国际规范的提供商,应有完全的保护。比如说在 Gmail,如果有人给我发送了假冒的电子邮件,那么 Gmail 会提示我这可能是一封假冒的电子邮件。
Part 2: 获得足够的信息进行诈骗
光是伪造电子邮件地址是完全不够的,犯罪者们需要一定的社会工程学来获得信息。比如近期需要缴费的游学项目就提供了一个很好的诈骗契机。
要获得这些信息,诈骗者们可以在学校官网、相关通知、通过攻击学校 IT 设施并盗取密码获得相关信息。然而通常这是不够的,截取学校官方的邮件将会让事情变得简单。符合标准的邮件客户端(比如 Google Android 原版 邮件客户端,iOS 自带邮件客户端,Outlook,Google 官方 Gmail 客户端)、浏览器(比如 Firefox,未安装插件的 IE,Chrome,Safari 等国际大厂出品的浏览器,国内的包括 360 就难说了)在连接邮件提供商时,通常会采用 TSL 或 SSL 加密(不知道 TSL 和 SSL 的你们对不起 Wilson( ̄^ ̄) ゞ)。
然而,可能会有 MITM 攻击 ,同时你的第三方邮件客户端也可能因为不符合加密规范而易于被攻击。甚至,一些不良客户端和在第三方应用市场(针对 Android 而言,非 Google Play、Amazon Market 的市场均是第三方市场;对于 iOS,各同步助手之类的可能带来风险)下载的官方客户端都可能被植入了恶意代码并重新打包。这可能导致信息泄漏。
你可能会遇到如下情况:
这便是典型的 MITM 攻击,攻击者会伪造证书,以截获我们的加密通讯。
于是,我能做什么?
比起国内大学,我们学校的邮箱系统几乎是最安全的。比起其他学校自己搭建的邮件系统,或者外包给 Tencent 做的邮件系统,我校采用微软的邮件服务,结合 Exchange 等协议,几乎提供了最完美的邮件体验。(啊请让我表扬一下学校(≧∇≦))
结合上述,我们应尽量使用有信誉的软件厂商,适当的本地安全防护(建议不要用 XX 管家、XX 安全卫士之类的,Windows Defender、Avast!等免费杀毒软件足够了。),不要从第三方软件下载站下载软件(有官网尽量去官网下,特别提醒用百度的同学注意甄别真假官网)。
遭遇 MITM 时,我们不应信任该证书,应启用 VPN 或者代理来试图绕过 MITM 攻击,或者等候 MITM 攻击结束。
最后,最重要的是,提高自身安全防范意识,社工攻击才是最可怕的。
Leave a commentAnonymous