超级会员免费看
电子邮件攻击向量的实战指南
在进行电子邮件攻击时,有一个重要的问题需要先了解,那就是伪造电子邮件与虚假域名的区别。
伪造电子邮件与虚假域名
如今,人们仍然会提及伪造电子邮件,但实际上,这种方式很少能奏效。许多邮件网关采用了多种技术,使得伪造邮件变得非常困难。
- 邮件来源检测 :大多数产品能够识别出外部邮件不应来自内部或企业域名。例如,若伪造邮件显示来自 bob@offensivesite.com,邮件网关会判定该邮件不属于内部,从而将其移除。
- 反向 DNS 查找 :邮件网关会在建立 SMTP 连接时,检查你的 IP 地址是否与你声称发送邮件的域名相匹配。若不匹配,邮件将被删除或隔离。这意味着你需要有一个设置正确的 SMTP 服务器,并且拥有一个可使用的域名。所以,几乎不可能以 bill.gates@microsoft.com 为发件人地址向微软的人员发送邮件。
伪造电子邮件还存在一个问题,即即便你认为它可能有效,也可能会浪费大量时间等待回复。因为电子邮件攻击是一种盲目的尝试,除非收到对方的自动回复或实际回复,否则你无法确定邮件是否到达目标。
若想让邮件看起来来自内部联系人,最佳选择是注册一个相似的域名,或者是与目标域名相同但顶级域名(TLD)不同的域名。例如,目标使用 offensivesite.com,你可以注册 offensivesite.net。组织中的非技术员工可能很难察觉这种差异,即便察觉了,也不一定会质疑。这也提示组织应将此类情况纳入员工教育政策中。
另外,在大多数邮件客户端中,收到邮件时,发件人字段显示的是姓名而非电子邮件地址
订阅专栏 解锁全文
扫一扫
1390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
