為什麼收到的郵件會警示你加載圖片?答案在這裡

攻擊者在發動商務郵件詐騙(BEC)時常常在準備工作上費盡心思。當他們假裝成被授權轉帳或者發送機密訊息的人時,他們發送的消息看上去要盡可能合情合理,因為細節決定成敗。

我們最近查獲一封有意思的郵件,攻擊者通過它來接觸企業員工。

該郵件中的文字經過精心修改,攻擊者明確表明郵件發送人正在會議中,因而無法使用其他通訊方式。他們這麼做同時也是為了打消收件人檢查郵件簽名是否和發送人相匹配的念頭。我們發現攻擊者毫不掩飾郵件來自公共郵件服務這一事實,他們要麼知道偽裝對象曾使用過該服務,要麼整個公司已經對使用第三方郵件進行通信習以為常。
不過另外一些事情引起了我們的注意,即“來自我的iPhone”簽名,這是iOS郵件程式發送郵件時默認的簽名,然而郵件的頭部卻顯示郵件來自網頁接口,更具體地說是火狐瀏覽器。
攻擊者為何試圖將郵件偽造成來自蘋果手機呢?也許這可以讓郵件消息整體看起來更加得體,但這並不是該把戲中最狡猾的部分,攻擊者在電子郵件詐騙中大多偽裝成收件人的同事,而收件人很可能知道同事使用的設備類型。
因此,網路罪犯們一定是故意為之,但是他們是怎麼得知偽裝目標使用的設備類型的呢?實際上這並非難事,攻擊者只需要使用所謂的像素追蹤技術(也被稱為網路信標)提前進行一些偵察即可。

何為像素追蹤?它有何作用?

當公司群發郵件給客戶或者合作夥伴時,他們幾乎都想知道該郵件效果如何。理論上說,電子郵件帶有內置的選項可以發送已讀收據,但是這必須經過收件人的允許,而大多數人又不會這麼做,於是機智的市場部門人員想出了像素追蹤技術。
追蹤像素是一張極小的圖片,只有一個像素那麼大,因此肉眼無法看見它。它存在於網站中,當郵件客戶端程式請求獲取圖片時,網站的擁有者可以確認郵件被打開並且收到設備IP地址、郵件打開時間以及郵件程式的相關訊息。你是否注意過,有時郵件客戶端並不顯示圖片,除非你點擊連結下載?這並不是為了提高效能或者限製網路流量,事實上,出於安全角度考慮,圖片自動下載功能通常都會被關閉。

網路不法分子是如何利用像素追蹤技術的?

設想以下場景:當你在國外旅遊時,你的工作信箱收到一封看似和工作有關的消息,在你打開郵件並意識到這只是無關緊要的消息之後,你隨手將其刪除。與此同時,攻擊者獲得了以下訊息:

  • 你的IP地址顯示你在國外,也就是說和同事聯繫相對困難,因此你可能被選為理想的偽裝目標;
  • 你使用的手機是iPhone(假設你之前打開郵件使用的是iOS的郵件程式),因此添加”來自我的iPhone”前面可以讓偽造的郵件看起來更加可信;
  • 你在上午11點閱讀郵件,這本身並非重要訊息,但是如果你定期查閱郵件,網路犯罪分子可能會摸清你的日程安排並在你相對繁忙難以聯繫上的時間段來發動攻擊。

如何應對攻擊者的詭計?

像素追蹤往往難以防範,但這並不代表你應該束手就擒,我們這裡提出以下防范建議:

  • 如果郵件客戶端提示你“點擊這裡下載圖片”,這代表圖像內容由於隱私相關原因被阻攔了。在允許顯示圖片之前你應該考慮清楚,沒有圖像的郵件可能看起來並不好看,但是允許下載圖片之後,你和設備的相關訊息將會被陌生人獲取;
  • 不要輕易打開被轉移至垃圾信箱的郵件,現今的垃圾郵件過濾器準確率極高,尤其是使用卡巴斯基的安全技術來保護郵件伺服器;
  • 小心提防B2B大量群發郵件,有時你主動訂閱某公司的更新郵件,而有時這些郵件則來自不認識的公司且原因不明,這時最好不要打開郵件消息;
  • 使用帶有反垃圾郵件和反釣魚郵件技術的可靠安全解決方案來保護你的企業信箱。

卡巴斯基企業安全解決方案(卡巴斯基安全軟體微軟郵件伺服器,卡巴斯基安全軟體Linux郵件伺服器,卡巴斯基郵件網關安全組件)和卡巴斯基安全軟體Microsoft Office365都使用了我們的反垃圾郵件和反釣魚郵件技術。

資料來源: https://mp.weixin.qq.com/s/yqme2pUssdfbwnWseNCIuQ

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: