关于钓鱼邮件和网站你需要了解的一切

2023-12-11发布于misc | 最后更新于2023-12-11 20:12:00

安全知识 网络安全

起因与背景

近日,鄙人所在学校给所有同学的校园邮箱发送了一封钓鱼测试邮件,用于提高同学们的防诈骗意识。在平时生活中,大家也会经常见到有同学QQ被盗后在各个群里转发钓鱼链接的事情。借此机会,和大家讨论一下钓鱼链接中所包含的一些技术、互联网中对于此种链接的对抗方法以及我们平时生活中如何进行防护。

钓鱼链接介绍

钓鱼邮件

如上图所示,这就是学校给大家发的钓鱼测试邮件,几乎符合了钓鱼邮件的所有特征。下面对钓鱼邮件的一些可能特征进行列举

  1. 文字部分都是纯文本,没有任何格式
  2. 附带的图片往往都是路边小卡片、墙上贴的小广告的那种风格(当然此处没有)
  3. 文字部分会带很多稀奇古怪的符号,并且句子中会插入一些无逻辑的字,使得整句话不通顺
  4. 发件人邮箱地址的@符号后面的域名是非官方的

钓鱼链接中的技术

域名相关

以上述的邮件为例,邮件中附带的链接为https://coremail.humanrisk.cn/deployed/campaigns/b2id/a2ee/?uid=***&sign=***,星号部分是我故意省略的。可以注意到此链接的域名为coremail.humanrisk.cn,显然不是京东官方的域名。大家可以在工信部官方的ICP/IP地址/域名信息备案管理系统中查询主域名的所属单位,例如对于这个链接,我们查询humanrisk.cn即可:

域名查询结果

如果查不到域名的相关信息,或者查出来有提示域名异常的,99.99999%是钓鱼网站

当然,很多钓鱼链接在扩散时并不会以完整URI的形式出现,而是以短链的形式存在,例如常见的新浪短链https://t.cn/***。在点击跳转到达真正的页面后才会出现完整域名(但还是推荐别点进去),根据完整域名我们可以按照上述方法进行主域名查询。

使用短链的原因就在于避免被收信方邮箱系统检测到不合规的域名而导致直接拦截或进入邮箱的垃圾箱。

另外,可以尝试ping一下完整的域名,在此例中为coremail.humanrisk.cn,从而查看一下其对应的ip地址。然后在ip地址信息查询网站(例如cipcc)中进行查询,查询出来ip所属地为境外的,99.99999%是钓鱼链接

ping的结果

ip信息查询结果

邮箱地址相关

可以看到上面的示例钓鱼邮件的发件人地址为customer_service@jd.com,可以看到邮箱地址的主域名确实是京东官方的,但一般情况下这是做不到的(后面会说明),此处只是因为是邮箱服务官方在域内的一次测试发送,因此可以实现使用任意的邮箱地址主域名。

如果邮箱地址的主域名和邮件内容没有关联,那么100%是钓鱼邮件

钓鱼网站页面相关

进入钓鱼网站后,往往会出现和官方页面几乎一模一样的一个网页,并且钓鱼链接往往点进去(再次说明建议直接就不要点)就是登录页面,这是为了方便直接盗你号。

另外,钓鱼网站的页面往往做的十分垃圾,非常假,就以上例链接中的页面为例:

操作动画

可以观察到以下几点:

  1. 当前页面中的其他链接基本上点了都不会出现对应的页面
  2. 登录的用户名和密码随便输都会显示登录成功,往往在显示登录成功后会跳转到真正的官方页面(会发现在官方页面中并不处在登录态)
  3. 扫码登录无法使用

常见对抗方法

针对上面的钓鱼链接特点,都有对应的对抗方法,下面是一些常见的对抗技术

域名

近年来,工信部要求境内所有域名都进行实名注册,并且将注册信息公开,供大家自助查询,这就是一种保护。

但是,一些不法分子仍可通过域名劫持等非法手段,让自己的钓鱼链接使用官方的主域名。

因此,如果你有属于自己的域名,就要小心此种风险。由于域名劫持往往发生在局部网络,作为域名负责人可以做的事实上也比较有限:

  • 经常检查自己网页的源文件或网页使用的数据库,查看是否有多出奇怪内容
  • 在DNS服务商处检查自己域名的解析情况,删除一些未知的ip地址解析
  • 保护好自己在ISP处的账号,同时防止被社会工程学
  • 使用HTTPS相关内容进行传输加密和证书验证,防止网页内容被篡改

邮箱地址

邮箱提供商往往会对一些可疑的发件地址进行过滤,将其发送的邮件直接放到垃圾箱并对用户进行提醒。

另外,邮箱提供商还会根据邮件内容的特征对钓鱼邮件、垃圾邮件进行过滤。

SPF(Sender Policy Framework)

这是在RFC4408规范中定义了的一个防止钓鱼邮件和垃圾邮件的策略,这是通过DNS的TXT记录实现的一项技术,具体作用和MX记录相反:MX记录中登记了邮箱地址域名到邮箱服务器地址的映射;而SPF则通过TXT记录登记了某邮箱地址域名合法的发出地址。

例如,当尝试通过SMTP直接向QQ邮箱的收信服务器发送邮件,并且以校园邮箱域作为发信地址时:

SMTP结果

可以发现QQ邮箱的收件服务器返回“SPF check failed”的信息。

SMTP协议本身不会对发送来源用户做任何身份验证,因此SPF是十分必要的。

网站页面

大家可能会发现越来越多的网站希望你通过扫码进行登录,而不是输入用户名密码。这就是因为要仿造一个通过扫码登录盗取账号的钓鱼网站是十分困难的。

另外,对于那些官方的推广邮件,往往都是花里胡哨的,邮件内容本身就是通过html写的,本身看着就像一个网页:

官方推广邮件举例

日常判别和防护

  1. 无论访问什么网站,都要关注网址的主域名是否为官方的、是否和真正的官网一致

  2. 若打开的链接包含了登录部分,请先试一试随便输入:

    • 尝试一遍符合规则的帐号密码,例如对于可用手机号登录的,尝试18712342345这样符合手机号一般规则的账号,密码则随便输入(长一点)
    • 若输入的是自己的账号,请一定先尝试故意输错密码

    若错误密码能够弹出“登录成功”等内容的,100%是钓鱼邮件但是错误密码确实不能登录的也有可能是钓鱼网站!

  3. 无论是陌生人还是认识的好友发的链接都不要轻易点,因为你不知道好友是不是已经被盗号了

  4. 不要轻易输入自己的任何个人信息,即使是一些官方网站也有泄露你个人信息的风险!

  5. 天上不会掉馅饼,就算是真掉了,想想凭什么是你吃这个馅饼 ^_^