与以往邮件诈骗不同,假邮件的地址与真实地址相同,用户根本无法分辨真伪,可谓防不胜防。据测试,苹果、万豪、Gmail、
QQ邮箱、网易163邮箱、139手机邮箱等等国内外主流邮件服务器悉数中招,至少数亿用户的邮箱有安全隐患。
亲测:2分钟炮制一封“老板邮件”
12月3日,白帽子金科(化名)给记者做了一次演示:在一个只有巴掌大小的盒子里,封装了一整套“黑客”程序,通过这套软件,金科可以随意编写一封邮件,并设置其邮箱地址,然后将其发送到指定的邮箱里。
2分钟后,记者的手机QQ邮箱收到了一封来自老板的邮件,发送邮件的地址与真实地址一模一样,后缀为@it-times.com.cn。随后,记者的邮箱又陆续收到来自service@apple.com、starwoodhotels@email-marriott.com等邮箱要求修改密码的邮件,甚至还有一封库克(tcook@apple.com)发来的锦鲤邮件。当然,这些都是金科发的。
在金科所做的测试中,几乎所有国内外主流的邮箱都存在同样漏洞,无论是像Gmail、QQ、163、139这样的免费邮箱,还是Apple、万豪等公司的企业公共邮箱,几乎都可以被仿冒,而更大的风险在于,对这些假邮件,收件邮箱很难识别。
“手机邮件客户端尤其是重灾区,”金科告诉记者,有些邮箱的网页版对这些仿冒邮件会有一个提示:由×××@×××.com代发,但这个显示出的代发地址同样也可以事先设定,手机端App的收件箱则无任何提示,在收件人看来,这就是一封来自官方的正常邮件。
原因:邮件服务器“偷懒”
“安全措施如果没有正确配置,反而会成为新的漏洞。”金科告诉记者,几个月前,国外逐渐出现了这种新型邮件诈骗手段,根本原因是原本用于邮件安全的DMARC协议,因为被服务商错误配置,不仅防钓鱼功能完全失效,其他几乎所有用于保护收件人不受欺诈电子邮件影响的防范措施,如垃圾邮件过滤器、IP信誉查询、SPF、DKIM策略也都统统不再起作用。
DMARC(Domain-based Message Authentication, Reporting and Conformance基于域的消息认证、报告和一致性)是2012年1月30日,由Paypal、Google、
、雅虎、ReturnPath等联手推广的新电子邮件安全协议,此后中国的网易、QQ等邮箱服务商也都加入其中。
DMARC的根本原理是,允许域所有者发布一项策略,该策略会告知收件人如果邮件未通过安全验证,该如何处理。
比如当收件方收到一封可疑邮件时,会向发件方发送一个信令,请求进行DMARC校验,它会询问真实的发件方,“我收到一封可疑邮件,请问我该如何处理?”DMARC协议中,对如何回复收件方做了明确说明,处理方式从轻到重依次为:none为不作任何处理;quarantine为将邮件标记为垃圾邮件;reject为拒绝该邮件。DMARC协议的初期建议设置为none,但安全公司一般建议,至少设置为quarantine,保险一点,应该直接reject。