两大类mail系统的攻击技巧(二)

4.1.3配合漏洞

当mail系统有漏洞的时候,结合漏洞攻击是最有效的也是最省事的。对于邮箱系统的漏洞那就是xss了。当下大多数mail系统使用了session机制这样就导致了普通的xss拿cookie变的鸡肋起来。现在黑客已经完全脱离了单纯的那cookie了,他们将xss与钓鱼或者直接转发邮件功能结合起来同时做,通过xss来加载js做一个延迟跳转的功能,目标打开邮件后触发xss然后调用js在指定时间后弹出登录超时提示并跳转至黑客构造好的登录页面。此时只要是个标题党基本就会中招,他们一般会发类似会议提醒采访请求等邮件。这种方法黑客们百试百灵成功率可到90%

4.2公共邮箱钓鱼技巧

由于可随意注册的公共邮箱的多样性,我在这里只利用gmail和yahoo邮箱作为例子进行介绍。

Gmail和yahoo邮箱的安全性是世界上数一二的,不论是垃圾邮件处理还是钓鱼邮件过滤他们在这方面做的都很给力,所以说Gmail和yahoo最容易把黑客的恶意邮件扔进垃圾箱。但是防不胜防,黑客们也有自己的一套办法来绕过gmail和yahoo的过滤。在这里介绍几种黑客常用的钓鱼思路和方法。

黑客喜欢将gmail或yahoo原生态的页面修改成为钓鱼页面。比如:gmail或yahoo发送给用户的新产品介绍邮件页面他们会把页面改造成邮件升级页面,然后发送给用户邮件升级提醒;官方发送给用户的异地登录页面黑客也会发同样的邮件内容,但是超链接跳转连接被换成了他们精心构造好的钓鱼页面。由于gamil和yahoo不会对发件源来做验证所以可以通过advanced direct remailer伪造发信,但是伪造的发件人一般也不会是gmail或雅虎的邮箱。

两大类mail系统的攻击技巧(二)

他们经常构造gmail或yahoo的功能推送页面,比如谷歌眼镜,雅虎新闻等。黑客会保持一定的频率向用户发送这样的邮件内容,邮件中有退订按钮,如果用户点击退订后就会跳转到黑客构造好的钓鱼登录验证页面。

如果有xss 0day的话对于黑客来说就如虎天翼了。一般yahoo的xss会多一些,构造好的xss基本功能是用户点击打开邮件或查看邮件内容时xss就会执行,xss执行后就会在规定时间内,弹出yahoo的登录超时提示,让用户重新登录。黑客就会发送很有诱惑性的标题(比如:会议提醒,会议通知等)让用户点击邮件,最后获取用户的密码。
此系列为本人2013年的手稿(国外那些年),转载请附带链接并注明来自404网络与安全(404.so)

发表评论

您必须登录才能发表评论!