攻击者在发动商务邮件诈骗(BEC)时常常在准备工作上费尽心思。当他们假装成被授权转账或者发送机密信息的人时,他们发送的消息看上去要尽可能合情合理,因为细节决定成败。
我们最近遇到一封有意思的邮件,攻击者通过它来接触企业员工。
该邮件中的文字经过精心修改,攻击者明确表明邮件发送人正在会议中,因而无法使用其他通讯方式。他们这么做同时也是为了打消收件人检查邮件签名是否和发送人相匹配的念头。我们发现攻击者毫不掩饰邮件来自公共邮件服务这一事实,他们要么知道伪装对象曾使用过该服务,要么整个公司已经对使用第三方邮件进行通信习以为常。
不过另外一些事情引起了我们的注意,即”来自我的iPhone”签名,这是iOS邮件程序发送邮件时默认的签名,然而邮件的头部却显示邮件来自网页接口,更具体地说是火狐浏览器。
攻击者为何试图将邮件伪造成来自苹果手机呢?也许这可以让邮件消息整体看起来更加得体,但这并不是该把戏中最狡猾的部分,攻击者在电子邮件诈骗中大多伪装成收件人的同事,而收件人很可能知道同事使用的设备类型。
因此,网络罪犯们一定是故意为之,但是他们是怎么得知伪装目标使用的设备类型的呢?实际上这并非难事,攻击者只需要使用所谓的像素追踪技术(也被称为网络信标)提前进行一些侦察即可。
何为像素追踪?它有何作用?
当公司群发邮件给客户或者合作伙伴时,他们几乎都想知道该邮件效果如何。理论上说,电子邮件带有内置的选项可以发送已读收据,但是这必须经过收件人的允许,而大多数人又不会这么做,于是机智的市场部门人员想出了像素追踪技术。
追踪像素是一张极小的图片,只有一个像素那么大,因此肉眼无法看见它。它存在于网站中,当邮件客户端程序请求获取图片时,网站的拥有者可以确认邮件被打开并且收到设备IP地址、邮件打开时间以及邮件程序的相关信息。你是否注意过,有时邮件客户端并不显示图片,除非你点击链接下载?这并不是为了提高性能或者限制网络流量,事实上,出于安全角度考虑,图片自动下载功能通常都会被关闭。
网络犯罪分子是如何利用像素追踪技术的?
设想以下场景:当你在国外旅游时,你的工作邮箱收到一封看似和工作有关的消息,在你打开邮件并意识到这只是无关紧要的消息之后,你随手将其删除。与此同时,攻击者获得了以下信息:
- 你的IP地址显示你在国外,也就是说和同事联系相对困难,因此你可能被选为理想的伪装目标;
- 你使用的手机是iPhone(假设你之前打开邮件使用的是iOS的邮件程序),因此添加”来自我的iPhone”前面可以让伪造的邮件看起来更加可信;
- 你在上午11点阅读邮件,这本身并非重要信息,但是如果你定期查阅邮件,网络犯罪分子可能会摸清你的日程安排并在你相对繁忙难以联系上的时间段来发动攻击。
如何应对攻击者的诡计?
像素追踪往往难以防范,但这并不代表你应该束手就擒,我们这里提出以下防范建议:
- 如果邮件客户端提示你”点击这里下载图片”,这代表图像内容由于隐私相关原因被阻拦了。在允许显示图片之前你应该考虑清楚,没有图像的邮件可能看起来并不好看,但是允许下载图片之后,你和设备的相关信息将会被陌生人获取;
- 不要轻易打开被转移至垃圾邮箱的邮件,现今的垃圾邮件过滤器准确率极高,尤其当使用我们的安全技术来保护邮件服务器时;
- 小心提防B2B大量群发邮件,有时你主动订阅某公司的更新邮件,而有时这些邮件则来自不认识的公司且原因不明,这时最好不要打开邮件消息;
- 使用带有反垃圾邮件和反钓鱼邮件技术的可靠安全解决方案来保护你的企业邮箱。
卡巴斯基企业安全解决方案(卡巴斯基安全软件微软邮件服务器,卡巴斯基安全软件Linux邮件服务器,卡巴斯基邮件网关安全组件)和卡巴斯基安全软件Microsoft Office365都使用了我们的反垃圾邮件和反钓鱼邮件技术。