几十年前的电子邮件漏洞可能会让攻击者掩盖自己的身份

到目前为止，希望你已经熟悉了避免网络钓鱼攻击的常用建议：不要下载附件太快，不要输入密码或突然汇款，当然，不要点击链接，除非你确定它们实际上会把你带到哪里。您甚至可以仔细检查每个发件人的电子邮件地址，以确保看起来像[email protected]的邮件不是真正的[email protected]。但是新的研究表明，即使你仔细检查寄件人的地址，你仍然可能上当受骗。

在周四的黑帽安全会议上，研究人员将展示全行业保护措施中的微妙缺陷，这些保护措施用于确保电子邮件来自他们声称的地址。这项研究考察了电子邮件发件人身份验证中使用的三大协议--发件人策略框架(SPF)、域密钥标识邮件(DKIM)和基于域的消息身份验证、报告和一致性(DMARC)，发现了18个研究人员所称的规避漏洞。这些漏洞不是源于协议本身，而是来自不同的电子邮件服务和客户端应用程序如何实现它们。攻击者可以利用这些漏洞使鱼叉式网络钓鱼攻击更难被检测到。

网络流量分析公司Corelight的联合创始人、加州大学伯克利分校(University of California，Berkeley)研究员弗恩·帕克森(Vern Paxson)表示：我认为我是一个精明、受过教育的用户，现实情况是，不，这实际上是不够的。他与国际计算机科学研究所(International Computer Science Institute)博士后陈建军和Shape Security高级工程总监江健共同参与了这项研究。

帕克森说，即使是非常精明的用户，看到Gmail或Hotmail或其他网站提供的指标也会上当受骗。

想想看，当你在朋友的聚会上递给他们一张生日贺卡时。你可能只在信封外面写上他们的名字，也许在信封下面划线或画一颗心。然而，如果你寄出那封信，你需要收信人的全名和详细地址，一张邮票，最后还需要一个写有日期的邮戳。通过互联网发送电子邮件的工作原理与此类似。虽然电子邮件服务只需要你填写“#34；到#34；”和“主题”两个字段，但有一整份更详细的信息在幕后填写。众所周知，这些行业标准标头包括发送和接收的日期和时间、语言、称为Message-ID的唯一标识符以及路由信息。

研究人员发现，通过战略性地操纵不同的标题字段，他们可以产生不同类型的攻击，所有这些攻击都可以用来欺骗电子邮件另一端的人。"；发送它的帐户是什么？它来自哪里？帕克森说，没有太多东西能让他们真正保持一致。

这18个漏洞分为三类。第一组攻击称为服务器内攻击，利用给定电子邮件服务从报头提取数据以验证发件人身份的方式不一致。假设电子邮件标题实际上有两个"；From字段：HELO和MAIL FROM。可以设置不同的身份验证机制来以不同的方式协调这两个字段。例如，可以实现一些方法来将以左括号开头的电子邮件地址([email protected])解释为空的MAIL FROM字段，从而使其转而依赖HELO字段进行完整性检查。这些不一致为攻击者设置战略电子邮件域或操纵邮件头冒充他人创造了机会。

第二类侧重于处理类似的不一致，但在接收消息的邮件服务器和实际向您显示消息的应用程序之间。例如，研究人员发现，不同的服务器和客户端在处理列出多个电子邮件地址或由不同数量的空格包围的地址的信头时存在极大的不一致。服务应该将此类消息标记为存在身份验证问题，但实际上，许多服务将接受列表中的第一个地址、列表中的最后一个地址或所有地址作为From字段。根据电子邮件服务在该频谱上的位置-以及邮件客户端的配置方式-攻击者可以玩弄这一过程，发送看起来与实际地址不同的电子邮件。

研究人员称第三类邮件为模棱两可的重放，因为它包括劫持和改变用途(或重放)攻击者收到的合法电子邮件的不同方法。这些攻击利用加密身份验证机制DKIM的已知特性，在该机制中，您可以接收已通过身份验证的电子邮件，创建一个新消息，其中所有报头和正文都与原始电子邮件中的相同，并实质上重新发送它，保留其身份验证。研究人员更进一步，意识到如果想要保持身份验证，您不能更改现有的标题或正文，但可以在已有的标题和正文上添加附加的标题和正文。通过这种方式，攻击者可以添加他们自己的邮件和主题行，将真正的邮件隐藏在一个模糊的地方，比如作为附件。这一点误导使其看起来像是攻击者的消息来自原始的、合法的发件人，并且已经完全经过身份验证。

虽然大多数人在使用他们的电子邮件账户时从来没有检查过所有这些隐藏的标题中有什么，但电子邮件服务提供了这个选项。访问方式因电子邮件提供商而异，但在Gmail上打开您要检查的邮件，单击更多，右上角回复旁边的三个垂直线，选择显示原始邮件，未简化的原始电子邮件将在新的选项卡中打开。问题是，即使有人梳理了所有的细粒度标题，如果他们不知道要找什么，也可能不会发现有什么不对劲的地方。

科瑞莱特的帕克森说：你会收到各种垃圾，网络流量中的合法垃圾都不是恶意的，你会写一些东西，试图用各种方式来处理它，科瑞莱特公司的帕克森说，这些垃圾都是合法的，它们并不是恶意的，你会写一些东西，试图用各种方式来处理它，科瑞莱特的帕克森说。如果你想投递邮件，如果可以的话，不要因为一些小的句法问题而把它掉在地上。因此，这是一种急于兼容，而不是严格的做法。我认为人们甚至没有意识到这些角落案例互动的存在。它几乎是愚蠢的，但却非常真实。

研究人员发现，总共有10个电子邮件提供商和19个电子邮件客户端容易受到他们的一种或多种攻击，包括谷歌的Gmail、苹果的iCloud、微软的Outlook和雅虎邮件。研究人员将他们的发现通知了所有的公司，许多公司向他们颁发了漏洞赏金，并修复了这些问题，或者正在努力修复这些问题。微软告诉研究人员，涉及社会工程的攻击超出了软件安全漏洞的范围。雅虎尚未采取行动。

研究人员表示，他们目前无法知道攻击者多年来是否利用了这些弱点。帕克森说，在分析他自己的电子邮件档案时，他看到了一些这些操纵的小例子，但它们似乎是无意的错误，而不是恶意攻击。

这些发现不应该促使你扔掉所有你听说过的关于网络钓鱼的建议。避免点击随机链接并检查邮件似乎来自的电子邮件地址仍然很重要。但这项研究确实强调了当涉及到网络钓鱼攻击时，指责受害者是徒劳的。即使你把每件事都做对了，攻击者仍然可能溜走。

🎙️收听“连线”，这是我们关于未来如何实现的新播客。收看最新剧集，订阅📩时事通讯，跟上我们所有节目的最新动态。

🏃🏽‍♀️想要最好的健康工具吗？看看我们Gear团队挑选的最好的健身跟踪器、跑步装备(包括鞋子和袜子)和最好的耳机