你的电子邮箱够安全吗?

电子邮箱可以说是最重要的互联网信息交流工具,它本身除了最基本的存储和收发电子信息的功能,同时还是其他互联网产品或服务的注册入口,很多网站也将邮箱直接作为登录账号,邮箱供应商也在邮箱产品上面捆绑了联系人日历等日常功能。

邮箱一旦失控,影响很直接——存储在邮箱里的资料无法获取,通过邮箱建立的关系无法联系,安排好的行程全部丢失。损失还可能远不止于此,他人掌握了邮箱,可以通过邮箱过往资料了解这个人的工作及社会关系,可以用密码找回功能控制用这个邮箱注册的其他账号,还可以继续对邮箱联系人发起钓鱼攻击。因此,邮箱往往最容易成为入侵者攻击的目标、以及攻击其他目标的跳板。

大家最常使用的Gmail就曾饱受攻击。在2010年谷歌退出中国事件中,Google曾声称,在2009年12月中旬,Google旗下的Gmail受到来自中国“精心策划且目标明确”的黑客攻击,导致其知识产权被窃。虽然Google并未明确指出攻击账户是中国大陆政府所为,但媒体报道称,据与谷歌关系密切的人士透露,Google工程师确实追踪到中国政府或是其代理人。

不少Gmail的用户都曾在登录邮箱后,在上方的显眼位置看到这样一条警告信息:“您的帐户可能面临遭到国家资助的攻击者攻击的危险” 。Google解释说:

“如果您是通过 Gmail 收件箱上方显示的警告转到此页面,我们认为国家资助的攻击者可能正在试图盗用您的帐户或攻击您的计算机。您收到的电子邮件很可能包含恶意附件、下载恶意软件的链接、或指向旨在窃取您的密码或其他个人信息的伪网站链接。例如,攻击者通常会发送包含恶意内容的 PDF 文件、Office 文档或 RAR 文件。我们强烈建议您不要点击可疑邮件中的链接或附件。”

伪网站链接
Google在上述提示当中,罗列了可能受到的攻击。实际的情况要更复杂和隐密一些。最常见的形式是“旨在窃取您的密码或其他个人信息的伪网站链接”这种方式。

后面这段文本来自于一封钓鱼邮件:“为了你的帐户不再接收垃圾邮件和遭受他人的恶意攻击,我们Google官方进行了邮箱系统安全认证,只要你点击下面的帐户安全认证,然后重新登陆既可安全使用。请立即点击下面进行帐户安全认证:帐户安全认证。”其中“帐户安全认证”加了超链接。

这段文本下面还提供了几点安全建议,具有颇高的欺骗性。点击上面的链接后,会出现一个与Gmail登录界面完全一样的页面,如果不慎信以为真,输入了自己的账号密码,页面会跳转回到正常的邮箱页面。但在这个过程当中,账号和密码已经被第三方网页提交到其他地方。

有的钓鱼邮件不使用链接,直接在邮件内容页面中显示账户和密码的输入框。这种攻击方式针对特定或不特定用户的都有,无论如何不要在登入邮箱页面后,再次输入账号密码,没有邮件服务商会要求用户这么做

恶意附件
“包含恶意附件”这种方式也非常常见,多用于在系统中植入木马,实现对系统的控制或盗取用户的数据,而不是获取邮箱的控制权。这种攻击且有更强的针对性,一般用于攻击一个特定的群体目标。寄信人及地址看起来是熟悉的人,或是附件标题是与近期时事相关的内容,以吸引人打开附件。如果仔细分辩的话,可以发现其中的破绽,寄信人邮箱地址作了细微的变换,如用“1”和“l”、“0”和“0”、“w”和“vv”、“u”和“v”、“en”和“eng”等近似的数字字箱对假冒对象的邮箱进行变换,不注意分辩的话,很容易中招。有人就曾经用“vv”置换“w”,即用“[email protected]”仿冒我的邮箱,成功加入北美一个留学生群组,活动了很长时间才被发现。

攻击者为了增加欺骗性,往往会针对特定对象撰写邮件内容,甚至还会提前部署。例如攻击者先给目标群体群发一封邮件,说自己原来的邮箱因为遭到入侵而失效,改用现在使用的邮箱,过段时间后,再用这个邮箱发送有恶意内容的附件。

黑客攻击
还有一些Google未在上述警告文本中提及的入侵方式。低级的有暴力拆解密码,高级的则是利用系统的漏洞。在2011年“六四”纪念日前夕,我监测到一种对Gmail的攻击,这个攻击利用了Adobe Flash Player插件的一个漏洞,装有这个插件的浏览器在访问Gmail的同时,访问一个带有攻击代码的Flash文件,就会导致Gmail自动授权给特定账号(被入侵过程视频) 。另外,Google方面称,Gmail在2009年12月中旬受到来自中国“精心策划且目标明确”的黑客攻击,入侵的手段就是利用Internet Explorer上的一个漏洞来进行攻击。普通用户对这种攻击几乎无能为力,启用两步验证也无济于事,只能通过周期性的检查来发现是否被攻击或入侵。(详细做法,下一篇文章再讲)

恶意举报
除此之外,有两种非入侵式的攻击。一种是举报,即通过邮箱服务商的反垃圾邮件机制“举报滥用行为和非法活动”功能,对目标邮箱进行大量恶意举报。举报成功后轻则短期无法使用,重则永久封闭,从而达到瘫痪目标邮箱的作用。一些人喜欢用邮箱的群发功能分享时政文章,很容易遭到这种恶意举报。一般来说,只要是正常使用的邮箱,没有恶意发送垃圾邮件等行为,在登录遇到邮箱被停用的提示,可以通过系统提供的入口表格提交自己的申诉,一次不行可再次申诉,例如Gmail对于表格申诉的次数没有限制。

海量发送垃圾邮件
另一种非入侵式的攻击是对目标邮箱发送海量的垃圾邮件,瘫痪目标邮箱的使用。我在2011年8月起,曾遭受过半年多的这种攻击,最多的时候一个小时有5G的邮件涌入我的Gmail邮箱。Gmail的免费服务只有8G容量,我已经用掉了大半,也就是说,不到一小时,我的邮箱就将因为空间不足而无法接受新的邮件。这些邮件的寄信人及内容都是一些随机文本,通过第三方的SMTP中转服务发送,我无法通过设置过滤条件自动删除这些邮件。(见附图)



我向Gmail方面求助,他们没能完全杜绝这种攻击,但成功将攻击数量降至每小时数百封,不过对于我来说还是太多了。最后我只能通过设置白名单来避免这种干扰,只让我的联系人的邮件才能送达我的收件箱。白名单的副作用很明显,我无法收到陌生人的来信——攻击者一定程度上达到了他们的目的。

在我Gmail遭受海量邮件攻击的同时,我的Twitter账号也遭受海量的攻击,最多一天有数十万个信息 @ 我。有意思的是,北京时间2012年5月28日下午4时,对我Twitter及Gmail的海量攻击同时停止了。我不得不相信,我是“遭到国家资助的攻击者攻击”。政府作恶,更无下限。

评论

Zithromax Pack Buy Kamagra Kaufen Gunstig Vendita Viagra Pfizer <a href=http://levicost.com>levitra wholesale no prescription</a> Acheter Cialis 5mg Kamagra Ajanta Pharma Limited Was Ist Viagra Fur Manner

Misoprostol 20mg Avis Cephalexin Cap 500mg <a href=http://leviplus.com>levitra 40 mg</a> On Line Macrobid Cialis Kamagra In Linea Prix En Pharmacie Du Levitra

冒个泡吧!

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。