恶意邮件不完全分类及防范指南

   邮件是我们日常工作中进行交流、获取工作信息或文件的最重要通道，由于凡是知道你邮箱的人都可以给你发邮件，因此这个通道很早就被不良企图者盯上，用于实施一些恶意行为。邮件是社工或APT的重要入口或着手点，这也已经成为网络安全行业的共识。那么，我们日常可能会接触到哪些恶意邮件，如何防范呢？这里总结了一些常见的恶意邮件类型以及一些极其简单实用的建议，给大家日常参考。

   从发件人角度来看，恶意邮件一般有两种，伪造身份邮件和陌生人邮件。

   伪造身份邮件一般是从发件人名称、邮箱地址、正文和签名这些方面伪造成你熟悉的角色，比如领导、IT管理员、某银行等，不明真相的群众一看这些发件人就蒙圈，智商猛降50%，生怕出什么事，立即按照邮件指示进行操作，然后回头冷静时一想才发现中招了。这类邮件里其实正文写的什么，写的像不像真的无关紧要，主要靠冒充发件人行骗。由于邮件服务器传送邮件的原理限制，你的邮件服务器接收到其他邮件服务器传过来的邮件时，如果不做特殊配置，就无法验证邮件中写的发件人邮箱是真是假，伪造者可以随意编写发件人邮箱地址。发件人名称更是可以随意编造了。

   另一类陌生人邮件可能就有难度，因为大家看到陌生人的邮件本来就警惕性很高，会认真谨慎操作，这类邮件就必须编造非常有吸引力，让人眼睛一亮的内容来诱使你按指示操作，比如我捡到你手机了，这是你的发票，这儿有你的照片等等。

   从恶意行为的角度来看，恶意邮件可以分为如下四种：

1. 骗回复敏感信息

2. 骗打开钓鱼页面链接

3. 骗点挂马页面链接

4. 骗打开带毒附件

   我们一一来看：

   骗回复敏感信息

   

   我们的同事经常收到类似的邮件后然后转给我。这种邮件就是在发件人名称、语气、正文和签名处伪造身份，冒充公司领导、IT部门或一些政府、银行等机构，直接索要通讯录、密码、转账等，从性质上来说跟钓鱼有点类似，但由于索要信息更直接，缺少伪造页面，就更容易被识别。

   骗打开钓鱼页面链接

   这是同事转给我的邮件截图，第一张图片是邮件正文里的内容，第二张是点击“请点这里进行升级”后弹出的页面。这就是一个典型的网络钓鱼邮件。

   钓鱼邮件有如下特点：

   A 诱惑性强：

   要使受害者收到邮件后动动鼠标打开钓鱼页面，邮件内容必须有很强的诱惑性，迫使你对这个页面里的内容非常感兴趣，或者必须打开否则会有损失。

   B 仿冒页面：

   顾名思义，钓鱼首先要有鱼饵，鱼饵后面藏着鱼钩。鱼饵一定要香，要诱人。钓鱼页面就要做得像真正网站页面一样，才会有人相信。钓鱼者肯定是先研究了真正网站的登录页面，然后做出一个一模一样的页面，诱使他人输入用户名和密码，登陆后就传入钓鱼者的数据库。但是，页面的域名是很难作假的，除非你的DNS也被劫持了，但一般邮件钓鱼不会利用DNS劫持的方法，这样效率和难度会大大提高，失去了群发钓鱼邮件的意义。所以看清楚登录页面的域名是关键。

   C 涉及敏感信息：

   就如同电信诈骗最终都会提到钱一样，钓鱼邮件及其衍生的网页肯定也会涉及到敏感信息，如账户密码等。

   骗点挂马页面链接

   

   这是网上发的一个真实案例，之前我也发文分析过。一个网友丢了一台iPhone，直到某一天收了一封QQ邮件，几分钟后他的APPLE ID被修改了。这封邮件不是钓鱼邮件，也没有输入任何账户密码，唯一的操作就是就打开了一个图片附件，为什么Apple ID密码就丢了呢？实际的过程是这样：

   1 点击附件图片链接会跳转到某境外伪造网站，内嵌恶意js脚本。

   2 此脚本搜索浏览器cookie，获取了QQ号和skey。

   3 黑客利用skey登陆QQ邮箱（即appleid的密保邮箱），重置了appleID的密码。

   这个案例的看点其实在于伪造的附件框。这个qq邮箱的附件框其实是发件人截取的真实附件框的一个图片，然后将这个图片加了个超链接，指向挂马网站。真假附件框的辨别方法如下：

   主要看邮件主题下面有无附件行以及鼠标移到附件框上的图标。

   骗打开带毒附件

   

   防范邮件附件病毒，这是一个老生常谈的话题了。以往都是直接挂一些伪装成图片的exe后缀的恶意可执行文件或者带宏病毒的office文档，近年来邮件客户端都对直接挂的这类文件做了限制，office也默认不执行宏命令，附件病毒得到了一些遏制。不过近年来又有新的招数，上图是这两年流行的一个典型附件病毒：勒索软件。这个病毒从我所收到的样本来看一般都是英文邮件说附件有发票诱使你打开看，附件是个压缩包，里面有伪装TXT后缀的JS文件。JS文件也是一类双击后可自己执行任意命令的文件。虽说比以前的exe、office文件看起来更高端，但其实是换汤不换药。

   那么，我们在日常工作中如何防范恶意邮件呢？一般文章的建议都是让你要“谨慎”，那到底“谨慎”怎么操作呢，还有的教你一堆方法，比如查看邮件头，但有人说我看了也不明白啊。那我们这里从邮件要你做的操作来分类讲述安全建议，这些建议尽量做到简单好用，不动脑子，适合不懂电脑的人士。

   当你收到一封邮件，先不管是正常邮件还是恶意邮件，如果：

   要你敏感信息

   如果是领导、IT管理员、银行等突然给你发邮件问你要敏感信息，以前从来没遇到过，那么你的动作是：

   不管或者用电话短信问一下发件人。

   要你点击链接

   这一类包括点击链接后出现钓鱼页面或者访问了挂马页面。

1. 如果你知道这封邮件的前因后果，你正在等这封邮件，比如你刚问某同事要个淘宝链接，那么这个链接放在这非常合情合理，那就点吧，我说不让你点你肯定也不会听。

2. 如果你觉得这封邮件来的挺突然，第一次知道有这个事，比如邮箱要升级了，比如我捡到你手机了，不管邮件里自己说的多合理多诱人，那你的动作是：

3. 不管不点或者用电话短信问一下发件人（如果有可能的话）。

   要你点击图片

   邮件正文中的图片如果有链接的情况（鼠标变小手），那么陌生人发的不要点，熟人发的一般不会在正文图片中加链接（挺麻烦的），加了就有嫌疑，所以也不要点。总之你的动作是：一概不要点击。

   要你打开附件

1. 如果你知道这封邮件的前因后果，你正在等这封邮件，比如你刚问某同事要个文件，那么这个附件放在这非常合情合理，那就打开吧。

2. 如果你觉得这封邮件来的挺突然，第一次知道有这个事，比如这是不是你的发票，这是不是你的手机，不管邮件里自己说的多合理多诱人，你的动作是：不管不打开或者用电话短信问一下发件人（如果有可能的话）。

建议继续学习：