什么是电子邮件假冒?

电子邮件假冒是指攻击者篡改电子邮件,将自己伪装成合法的发件人。这种策略在网络钓鱼攻击中很常见。

学习目标

阅读本文后,您将能够:

  • 了解什么是电子邮件假冒
  • 了解电子邮件假冒如何工作
  • 了解防范电子邮件假冒的方法

复制文章链接

什么是电子邮件假冒?

电子邮件假冒中,攻击者使用一个电子邮件头掩盖自己的身份,冒充成一个合法的发件人。(电子邮件头是一个代码片段,其中包含有关邮件的重要细节,如发件人、收件人和跟踪数据。)

虽然电子邮件假冒是一种涉及伪造电子邮件头信息的特定策略,攻击者可以使用其他手段来达到类似的效果。例如,攻击者可使用域名的细微拼写错误:“Jane Executive” janeexecutive@jan3scompany.com。或者,攻击者可改变他们的显示名称来冒充一个发件人,而不是电子邮件地址的域名部分。在这种情况下,显示名称和电子邮件可能看起来像这样:“Jane Executive”janetherealceo@gmail.com。

这些技术之间的关键区别在于,成功的电子邮件假冒尝试将显示为合法的域名(如 cloudflare.com),而不是拼写错误的域名(janeexecutive@jan3scompany.com)或与该域名完全无关的地址(janetherealceo@gmail.com)。本文将集中介绍伪造邮件头的电子邮件。

电子邮件假冒属于更大范围的域名假冒。在域名假冒中,攻击者会尝试伪造一个网站名称(或电子邮件地址),这通常是网络钓鱼攻击的一部分。域名假冒不仅限于电子邮件,还可用于创建虚假网站或欺诈性广告。

电子邮件假冒如何工作?

攻击者使用脚本伪造电子邮件收件人可以看到的字段。这些字段位于电子邮件头中,包括“发件人”和“回复”地址。如下例子显示了这些字段在一封假冒电子邮件中的样子:

  • From: “Legitimate Sender” email@legitimatecompany.com
  • Reply-to: email@legitimatecompany.com

之所以能够伪造这些字段,原因是简单邮件传输协议(SMTP)没有内建验证电子邮件地址的机制。事实上,发件人和收件人的电子邮件存在于电子邮件的两个位置:邮件头和 SMTP 信封。电子邮件头包括收件人可见的字段。然而,SMTP 信封包含用于邮件服务器用于将电子邮件发送到正确地址的信息。但这些字段不必一致,电子邮件也能成功发送。因为 SMTP 信封从不检查邮件头,而且收件人不能看到信封中的信息,因此电子邮件假冒相对容易实现。

由于伪造的电子邮件看似来自一个合法的发件人,收件人可能会被骗泄露敏感信息,点击恶意链接,或采取其他本不会进行的操作。为此,电子邮件假冒常被用于网络钓鱼攻击中。

某些情况下,攻击者会使用其他策略来增强被假冒的电子邮件域名的可信度。这可能包括复制某家公司的标识、品牌图案和其他设计元素,或者使用与被冒充公司相关的信息和语言。

如何防范电子邮件假冒

电子邮件收件人可按照如下步骤来防范电子邮件假冒:

  • 要警惕那些鼓励迅速或紧急采取行动的信息: 对于任何要求提供个人信息、付款或其他即时行动的意外或自发的电子邮件,收件人应持怀疑态度。例如,如果突然出现要求更改某个应用程序登录信息的要求,就应该表示怀疑。
  • 检查电子邮件头:很多电子邮件客户端提供查看电子邮件头的方法。例如, <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'>在 Gmail 中,在一封电子邮件中点击“显示原始邮件”,即可查看其电子邮件头的内容。查看邮件头时,寻找“Received”部分。如果域名不同于“发件人”地址中显示的域名,则该电子邮件很可能是伪造的。
  • 使用软件来过滤假冒邮件:反垃圾邮件软件可要求对传入的电子邮件进行身份验证,从而阻止假冒企图。

域名所有者也可采取措施来防止攻击者从其域发送消息。为此,组织可创建专用于身份验证的域名系统(DNS)记录。其中包括:

  • SPF 记录 发件人策略框架(SPF)记录列出被授权从特定域发送电子邮件的服务器。这样,如果有人编造了一个与某个域相关联的电子邮件地址,这个地址不会出现在 SPF 记录中,也不会通过认证。
  • DKIM 记录 域名密匙确认邮件(DKIM) 记录使用一对密钥进行身份验证:一个公钥和一个私钥。公钥存储于 DKIM 记录中,私钥对 DKIM 头进行数字签名。如果假冒电子邮件来自一个具有 DKIM 记录的域,无法使用正确的密钥签名,因而无法通过验证。
  • DMARC 记录 基于域名的消息认证报告与一致性(DMARC)记录包含 DMARC 策略,在检查 SPF 和 DKIM 记录后,告诉邮件服务器如何处理。域名所有者可以根据这些检查设置规则,决定是否阻止、允许或传递消息。由于 DMARC 策略会审查其他身份验证策略,并允许域所有者设置更具体的规则,因此这些记录为防止电子邮件假冒增加了另一层保护。

在组织层面,安全主管也可以采取措施,通过实施网络钓鱼和恶意软件保护,防止员工受到电子邮件假冒侵害。

电子邮件身份验证如何融入电子邮件安全中?

虽然电子邮件身份验证有助于防范电子邮件假冒,但它不是一个全面的电子邮件安全解决方案。例如,电子邮件身份验证不考虑其他常见的网络钓鱼技术,例如近似域名,或从已遭入侵的合法域名发送的电子邮件。

Cloudflare Area 1 电子邮件安全提供一个更全面的解决方案。它先发制人地在互联网上进行扫描,以识别攻击者的基础设施,从而预防钓鱼攻击和保护收件箱。