深度 | 揭开常见电子邮件诈骗的“发件人伪装”的神秘面纱

“你不知道我是谁？我是你的首领！”

哈哈！ 这种情况大家都熟悉吗？ 多年前，这种冒充领导打电话给下属的电信诈骗非常流行。 很多人在不知情的情况下就上当了。 原因是这种骗局太中国化了。 接到领导的电话，我也不敢多问了。 在假领导的怂恿下，我可能忘记了核实身份和财务审批流程，迷迷糊糊把钱转给了骗子。

根据 Trustwave 全球安全报告，“CEO 邮件诈骗”等社会工程诈骗占企业网络威胁的 55% 以上，而且这一比例每年都在持续上升。

CEO邮件诈骗俗称老板诈骗，是指诈骗者以假领导的名义发送邮件进行诈骗，与“我是你的领导”电话诈骗如出一辙。 这种来自假领导的欺诈邮件是典型的假发件人（或发件人伪装，请记住这个词，这是我们文章的主题，我们在下面会多次提及）勒索和欺诈，诈骗者精心伪装每封​​邮件，伪造发件人身份，在邮件内容中编织各种威胁和引诱你，让每一封恶意邮件都像冷箭击穿一样轻易将你杀死。

可能大家更关心的是这些骗子是如何得逞的，谁会轻易上当呢？ 谁会傻到只收到一封邮件就把钱转到骗子的账户上？ 千万别大意，被此类诈骗邮件骗钱的公司和人太多了。

让我们举一个具体的例子。 我们有这种被骗了巨额钱的企业客户。

骗子事先收集作案对象，收集部分暴露在网络上的公司邮箱，然后冒充领导，发送主题为“你先放下工作性勒索邮件诈骗比特币性勒索邮件诈骗比特币，马上组织起来”的邮件。 “给我一份公司最新通讯录”的邮件，一些不警惕的员工会回复邮件。

骗子拿到公司财务人员、人力资源等管理人员的通讯录后，会再次向会计、出纳等财务人员发送准确的邮件，用领导的语气说急需用钱，转账到合作伙伴等，这样财务人员被骗的几率就会大大增加； 更有什者，骗子在拿到通讯录后，还会建一个QQ群，比如“×××内部群”，把公司的财务、出纳人员拉进这个提前群。 建立的诈骗群，当然包括其他员工和公司的“老板”，组成一个新的公司聊天群。 在这个群体中，财务人员可能会突然接到公司“老板”的紧急转账电话，一个紧急命令，结果是惨烈的。 . . . .

除了冒充领导，还有一种诈骗邮件更加奇葩，不过相信很多人都遇到过，那就是你收到了一封“发给自己的勒索邮件”，这也是一种典型的假冒发件人（或打电话给发件人伪装）勒索和欺诈邮件。 这类邮件的特点是，对方声称已经侵入了您的邮箱并在您的电脑中植入了木马程序，并威胁说他们已经掌握了您所有的文件、照片、视频等个人资料和互联网记录。 您将赎金支付到指定的比特币地址。 实际上？ 诈骗者根本没有侵入受害人的邮箱，也没有侵入你的电脑，只是冒充你自己的邮箱地址给你发了一封邮件，但邮件内容骇人听闻。 通过出示一系列“证据”，比如“出示被害人泄露的账号密码”等方式恐吓被害人，声称自己的邮箱被盗，设备被黑，然后声称一直在录屏当受害者访问成人网站和相机等不当内容时，如果受害者不向诈骗者指定的比特币钱包付款，这些内容就会被公开。 难以想象有多少受害人会被骗就范。

什么是发件人伪装？

好了，看到这里，大家应该明白“发件人伪装”邮件骗局的特点了吧。 其实很简单，就是骗子冒充一个身份，可能是你的领导，你的家人，你的同事，你的伴侣，甚至你自己:-)，通过伪造一个发件人账号，给你发送邮件，来找你说话，一步步把你拉进坑里，逼迫你提交，有的直接骗你转账，有的进一步钓鱼敲诈，在邮件内容中放置恶意链接，或放置木马、勒索软件在附件中。

揭秘发送者伪装的技术实现

那么大家最关心的问题就来了。 诈骗者如何伪造发件人，冒充他人发送邮件？ 接下来，我们就来揭开“发件人伪装”邮件骗局的秘密，进入技术链接：

通常，“发件人伪装”有两种方式：

1.使用高仿邮箱

这是一种比较低级的钓鱼邮件方法，具体方法有两种：

(1) 冒牌领导的邮箱账号前缀，但@后面是另一个邮箱域名，例如：被冒牌人的邮箱是tom@abc.com； 而假冒的邮箱地址是：tom@def.com（只是把@下面的域名换掉了）； 这种电子邮件伪造是最简单且相对容易识别的。

我们可以简单分析判断这类邮件的邮件头源代码信息。 您可以查看邮件头中“Received envelope-from”字段中的发件人地址与“From:”字段中的发件人地址是否一致。 如果没有，您可以确定这是一封由假冒发件人发送的勒索诈骗邮件。

(2)注册相似域名造假：骗子会注册一个与受害人非常相似的高仿域名，例如：受害人的邮箱为tom@example.com； 而假冒的邮箱地址为：tom@examp1e.com（域名中的“l”被替换为“1”）； 这种伪造很容易被粗心的员工所愚弄。

上述通过高仿邮箱账号进行诈骗邮件的方式比较低。 只要注意不要盲目相信人，基本上就可以避免上当受骗。

2.使用“假发件人”技术

这是一种高级的、有点技术含量的邮件诈骗，因为我们普通人已经无法分辨这种钓鱼邮件，即使是有技术背景的专业人士也无法分辨。 如果我们企业或组织的邮件服务器没有启用特殊的功能，或者没有相应的邮件安全网关来防范，那么对于这种来自“假发件人”的假冒邮件基本上是无能为力的。

首先说一下“假发件人”的具体特点和原理：

1、特点：邮件头中的envelope-from和from信息完全一致； 收件人无法判断来自发件人的邮件或邮件标题信息的真实性； 如果不查看邮件服务器的详细日志，是不可能发现并辨别这封钓鱼邮件的真伪的。

2. 原理：这种假冒邮件的前提是黑客必须在您的组织域中拥有一个可以通过密码验证的帐户。 只要在邮件服务器上随机得到一个邮箱账号和密码，就可以冒充域内任何​​人的账号发送信件。 发信的方法很简单，用Outlook、Foxmail等客户端就可以了。 如下图，黑客获取到你公司Jack的邮箱账号和密码，并在Outlook和foxmail中使用Jack的账号和密码作为验证项，但是邮箱可以随意伪装成tom，andy，whoever你爱一切都会做。

黑客是如何获取可以通过密码验证的账户信息的呢？ 这当然有些困难。 黑客通常会先在互联网上搜索一些公司公布的邮箱账号，然后利用字典工具对邮箱服务器的密码进行猜测和暴力破解。 如果那些被强行猜测的邮箱账号密码非常简单，而你公司的邮箱服务器没有专业的邮箱网关来保护这些密码猜测行为，那么黑客就比较容易获得多个邮箱账号的密码。你的公司。

如何防止发件人伪装这种恶意邮件

既然假发件人之类的欺骗邮件如此可怕，那么大家一定很关心如何应对呢？

假冒发件人发送欺骗性邮件的前提是黑客已经获得了网络中的邮箱账号密码，所以首要任务是防止您的邮箱服务器被暴力破解，可以提高邮件的安全防护能力通过部署专业的电子邮件安全网关，您的电子邮件服务器； 另外就是增加邮件服务器的密码复杂度，要求员工定期修改密码。 互联网安全邮件安全网关具有防密码猜测、防暴力破解等安全防护功能。 它还具有弱账号密码扫描检测功能，可以检测域内的弱账号密码，对企业邮件服务器免遭暴力破解有一定的保护作用。

其次，要保护企业邮件服务器的安全，检查邮件服务器是否具备防伪认证功能。 比如常见的MDaemon服务器其实有发件人身份验证“验证证书必须匹配邮件发件人”，也就是我们所说的防伪认证判断功能，但是这个功能默认是不开启的，必须开启.

使用此选项要求发件人仅使用他们自己的凭据进行身份验证。 因此，例如：user1@example.com 只能使用 user1@example.com 帐户进行身份验证。 如果他尝试使用 user2@example.com 进行身份验证，即使 user2@example.com 凭据有效，他也会被禁止。

接下来通过具有“防伪认证功能”的邮件安全网关进行身份验证，并对认证账号和发件人账号进行一致性校验。 只有两者信息一致，才能发送邮件。 拦截所有假冒发件人的邮件，彻底杜绝假冒伪造邮件的发送，也彻底杜绝此类假冒发件人的欺诈邮件进入邮件系统。

对于我们普通个人用户来说，如何防范此类虚假、欺诈的勒索邮件或不明身份的伪装邮件？

1. 收件箱中遇到莫名其妙的邮件不要惊慌，先查看发件人的具体邮箱，核实发件人身份；

2、如果发现邮件内容生硬，语法莫名其妙，具有威胁性，语气很焦急，要提高警惕，不要轻易相信邮件内容，不要盲目回复，想办法确认邮件内容的真实性；

3、不要轻易点击不明邮件中的任何链接；

4、不要下载未知邮件中的附件；

5、如果真的收到恐吓邮件，分不清真假，可以第一时间报警求助。

对于上述无法人工识别真伪的“假发件人”诈骗邮件，如果公司内部员工收到类似邮件，公司应予以重视，并仔细检查邮件服务器是否开启了防伪认证功能，或抓紧部署具有“防伪认证功能”的邮件安全网关产品。

专业的人做专业的事。 如果您对邮件安全有任何疑问，欢迎随时联系北京网吉思安科技：400-099-6608。

【声明】本文部分图文来自网络。 如对版权有异议，请及时联系我们，立即删除。