EchoSpoofing來詐騙 你的電子郵件被攻擊洪嘉宏 (2024-08-01 16:34:30)

「EchoSpoofing」是一種新型的電子郵件詐騙手法，透過利用受信任的域名來發送大量釣魚郵件，對電子郵件安全造成重大威脅。

編譯／Cynthia

「EchoSpoofing」是一種新型的電子郵件詐騙手法，透過利用受信任的域名來發送大量釣魚郵件，對電子郵件安全造成重大威脅。這種攻擊手法會偽造電子郵件標頭，使郵件看起來像是來自合法來源，實際上卻是精心策劃的詐騙。一起了解EchoSpoofing的運作原理及如何識別，對於提升網路安全防護非常重要。

電子郵件標頭的作用

電子郵件標頭包含重要的資訊，如寄件人地址（From）、收件人地址（To）、主題（Subject）、經過的伺服器記錄（Received）、以及退回郵件地址（Return-Path），這些資訊對追蹤郵件來源和處理過程至關重要。郵件在轉發過程中，簡易郵件傳輸通訊協定（Simple Mail Transfer Protocol，SMTP）伺服器會將郵件從一個伺服器傳送到另一個伺服器，而攻擊者可能會利用開放中繼伺服器，將偽造的標頭注入郵件中，然後通過這些伺服器將郵件發送給收件人，從而達到欺詐目的。

更多新聞：偽裝成Microsoft Forms 釣魚攻擊增多

攻擊者如何偽造電子郵件

在進行欺騙標頭攻擊時，攻擊者會使用各種工具和腳本來製作偽造的電子郵件標頭。舉例來說，他們可能會利用指令列工具如sendmail或程式語言中的郵件發送功能來創建這些郵件。接下來，攻擊者會尋找開放中繼伺服器，這些伺服器允許來自任何來源的郵件進行轉發。攻擊者會使用Python的smtplib模組和MIMEText來等設置郵件標頭中的寄件人（From）、收件人（To）和主題（Subject），然後通過這些伺服器發送偽造郵件。最後，這些偽造的郵件會通過這些伺服器送到收件人手中，實現其欺詐目的。

Exchange的前端傳輸服務

在Microsoft Exchange中，前端傳輸服務處理來自網際網路的郵件流量。如果電子郵件標頭顯示「透過前端傳輸」（via Frontend Transport），這表示郵件已經經過Exchange的前端傳輸服務。如果Exchange伺服器配置不當，可能會出現開放中繼問題，使郵件在未經充分驗證的情況下被轉發。這樣的漏洞可能被攻擊者利用，進行濫用或發送欺詐郵件。

最新攻擊案例分析

最近的攻擊案例中，攻擊者利用正版的Microsoft Office 365帳戶發送釣魚郵件，並偽裝成來自迪士尼的電子郵件。因為 Gmail 在處理來自 Outlook 伺服器的大量郵件時不會施加流量限制，所以這些攻擊郵件能夠順利到達收件人。由於郵件經過「發件人政策框架」（Sender Policy Framework, SPF）檢查，它是從官方的 Microsoft 伺服器發送，即便郵件標頭被偽造，仍然會顯得合法。

域名金鑰辨識郵件

域名金鑰辨識郵件（DomainKeys Identified Mail，DKIM）是一種使用數位簽章來驗證郵件真實性的技術，能有效防止電子郵件欺詐，確保郵件來自授權的發件人。如果攻擊者能夠成功簽署郵件並使DKIM簽名與域名匹配，就有可能繞過DKIM防護。這需要攻擊者擁有有效的簽名密鑰，而這通常只有在入侵目標域名的簽名系統後才有可能實現。

防範EchoSpoofing攻擊的措施

EchoSpoofing攻擊利用受信任的域名和開放中繼伺服器的漏洞，成功發送大量偽造的釣魚郵件。這種攻擊手法突顯了電子郵件安全配置的重要性。為了有效防範這類攻擊，企業和個人應加強伺服器的配置檢查，並提升電子郵件識別和驗證技術的應用。透過這些措施，可以更好地保護自己的網路安全，減少受到攻擊的風險。

資料來源：Information Security Newspaper、Disney Plus

這篇文章 EchoSpoofing來詐騙 你的電子郵件被攻擊 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。