近期似乎发现有人伪造校方邮件地址,进行一些名为诈骗的活动。且不论是否是真的诈骗,既然发生了这种事,还是给大家普及一下安全知识为好。
Part 1: 伪造邮件
要获得你的信任,首先是需要一个正确的电子邮件地址。比较低级的方式是使用近似的域名,比如@cuhk.edn.cn。
比较高端的方式,是使用自建的SMTP服务器进行伪造。这样,看起来完全就是@cuhk.edu.cn了。然而,目前国际各大邮件提供商均采用了DMARC协议防止电子邮件的伪造。关于DMARC,可以参考这篇知乎的科普文。
幸运的是,如果一个恰当配置了的电子邮件提供商,比如Gmail、Hotmail等符合国际规范的提供商,应有完全的保护。比如说在Gmail,如果有人给我发送了假冒的电子邮件,那么Gmail会提示我这可能是一封假冒的电子邮件。
Part 2: 获得足够的信息进行诈骗
光是伪造电子邮件地址是完全不够的,犯罪者们需要一定的社会工程学来获得信息。比如近期需要缴费的游学项目就提供了一个很好的诈骗契机。
要获得这些信息,诈骗者们可以在学校官网、相关通知、通过攻击学校IT设施并盗取密码获得相关信息。然而通常这是不够的,截取学校官方的邮件将会让事情变得简单。符合标准的邮件客户端(比如Google Android原版 邮件客户端,iOS自带邮件客户端,Outlook,Google 官方Gmail客户端)、浏览器(比如Firefox,未安装插件的IE,Chrome,Safari等国际大厂出品的浏览器,国内的包括360就难说了)在连接邮件提供商时,通常会采用TSL或SSL加密(不知道TSL和SSL的你们对不起Wilson( ̄^ ̄)ゞ)。
然而,可能会有MITM攻击,同时你的第三方邮件客户端也可能因为不符合加密规范而易于被攻击。甚至,一些不良客户端和在第三方应用市场(针对Android而言,非Google Play、Amazon Market的市场均是第三方市场;对于iOS,各同步助手之类的可能带来风险)下载的官方客户端都可能被植入了恶意代码并重新打包。这可能导致信息泄漏。
你可能会遇到如下情况:
这便是典型的MITM攻击,攻击者会伪造证书,以截获我们的加密通讯。
于是,我能做什么?
比起国内大学,我们学校的邮箱系统几乎是最安全的。比起其他学校自己搭建的邮件系统,或者外包给Tencent做的邮件系统,我校采用微软的邮件服务,结合Exchange等协议,几乎提供了最完美的邮件体验。(啊请让我表扬一下学校(≧∇≦))
结合上述,我们应尽量使用有信誉的软件厂商,适当的本地安全防护(建议不要用XX管家、XX安全卫士之类的,Windows Defender、Avast!等免费杀毒软件足够了。),不要从第三方软件下载站下载软件(有官网尽量去官网下,特别提醒用百度的同学注意甄别真假官网)。
遭遇MITM时,我们不应信任该证书,应启用VPN或者代理来试图绕过MITM攻击,或者等候MITM攻击结束。
最后,最重要的是,提高自身安全防范意识,社工攻击才是最可怕的。