电子邮件假冒是指攻击者篡改电子邮件,将自己伪装成合法的发件人。这种策略在网络钓鱼攻击中很常见。
阅读本文后,您将能够:
复制文章链接
在电子邮件假冒中,攻击者使用一个电子邮件头掩盖自己的身份,冒充成一个合法的发件人。(电子邮件头是一个代码片段,其中包含有关邮件的重要细节,如发件人、收件人和跟踪数据。)
虽然电子邮件假冒是一种涉及伪造电子邮件头信息的特定策略,但是攻击者可以使用其他策略来达到类似的效果。例如,攻击者可能创建一个外观与合法发件人的域名非常相似的电子邮件域名,希望收件人不会注意到这个错误。例如,使用与“@legitimatecompany.com”类似的域名“@1egitimatecompany.com”。攻击者还可能更改显示名称以冒充发件人:例如,从“LegitimateCEOName@gmail.com”而非“LegitimateCEOName@legitimatecompany.com”发送恶意邮件。
这些技术之间的关键区别在于,成功的电子邮件假冒尝试将显示为合法的域名(如 cloudflare.com),而不是拼写错误的域名(janeexecutive@jan3scompany.com)或与该域名完全无关的地址(janetherealceo@gmail.com)。本文将集中介绍伪造邮件头的电子邮件。
电子邮件假冒属于更大范围的域名假冒。在域名假冒中,攻击者会尝试伪造一个网站名称(或电子邮件地址),这通常是网络钓鱼攻击的一部分。域名假冒不仅限于电子邮件,还可用于创建虚假网站或欺诈性广告。
攻击者使用脚本伪造电子邮件收件人可以看到的字段。这些字段位于电子邮件头中,包括“发件人”和“回复”地址。如下例子显示了这些字段在一封假冒电子邮件中的样子:
之所以能够伪造这些字段,原因是简单邮件传输协议(SMTP)没有内建验证电子邮件地址的机制。事实上,发件人和收件人的电子邮件存在于电子邮件的两个位置:邮件头和 SMTP 信封。电子邮件头包括收件人可见的字段。然而,SMTP 信封包含用于邮件服务器用于将电子邮件发送到正确地址的信息。但这些字段不必一致,电子邮件也能成功发送。因为 SMTP 信封从不检查邮件头,而且收件人不能看到信封中的信息,因此电子邮件假冒相对容易实现。
由于伪造的电子邮件看似来自一个合法的发件人,收件人可能会被骗泄露敏感信息,点击恶意链接,或采取其他本不会进行的操作。为此,电子邮件假冒常被用于网络钓鱼攻击中。
某些情况下,攻击者会使用其他策略来增强被假冒的电子邮件域名的可信度。这可能包括复制某家公司的标识、品牌图案和其他设计元素,或者使用与被冒充公司相关的信息和语言。
电子邮件收件人可按照如下步骤来防范电子邮件假冒:
域名所有者也可采取措施来防止攻击者从其域发送消息。为此,组织可创建专用于身份验证的域名系统(DNS)记录。其中包括:
在组织层面,安全主管也可以采取措施,通过实施网络钓鱼和恶意软件保护,防止员工受到电子邮件假冒侵害。
虽然电子邮件身份验证有助于防范电子邮件假冒,但它不是一个全面的电子邮件安全解决方案。例如,电子邮件身份验证不考虑其他常见的网络钓鱼技术,例如仿冒的域,或从已遭入侵的合法域发送的电子邮件。
Cloudflare Area 1 电子邮件安全提供一个更全面的解决方案。它先发制人地在互联网上进行扫描,以识别攻击者的基础设施,从而预防钓鱼攻击和保护收件箱。