據瑞星“云安全”監測系統統計顯示，從2011年起，釣魚攻擊就已經成為網絡環境中最主要的惡意攻擊方式，其攻擊數量是惡意掛馬攻擊數量的數十倍。網民經常收到黑客偽造官網發來的各種釣魚郵件，要甄別這些釣魚郵件并不容易，很多人經常采用的方法是查驗發件人地址信息是否為官網郵件地址。但是，是否顯示為官方地址發送的郵件就是安全可信的呢？答案是否定的。據瑞星安全專家介紹，在現有的技術下，黑客可以把釣魚郵件偽裝成任何地址發送給用戶，從而達到釣魚攻擊的目的。

偽造郵件攻擊方法詳解

下面我們結合黑客常用的偽造郵件手法進行分析，然后結合實例對偽造郵件攻擊的原理進行描述。首先黑客可以通過提供在線匿名郵件服務的網站進行發送，如http://www.deadfake.com/，如下圖1所示。

圖1

正如網站上面介紹的，通過點擊菜單欄的“send fake mail”的標簽，我們就可以進行偽造郵件的發送了，需要填寫的內容如下圖2所示。

圖2

這里From表示郵件發送者信息，我們可以在此進行偽造，例如偽造內容為騰訊服務的郵箱地址service@tencent.com，這里為了實現釣魚攻擊的目的，我們將郵件的標題和內容寫成騰訊QQ安全提示的內容，并將郵件正文中的鏈接地址指向釣魚網站地址http://aq.qq-1.tk/ss，最后發送郵件。片刻后，我們收到了該偽造郵件的信息，如下圖3所示。

圖3

我們可以發現，發件地址為service@tencent.com，郵件的主題和內容也是剛剛我們發送郵件內容的自定義內容，但是在郵件正文的第一行中，多了一行來自于deadfake的提示信息，提示用戶這封郵件不是真的。那么在這封郵件中，惟一的瑕疵就是deadfake的提示信息內容，然而這對于黑客來說，也不是不能處理的。黑客可以將這個提示信息隱藏，實現的方法就是通過一個與郵件背景顏色相同的圖片進行覆蓋，我們重新構造郵件內容如下圖4所示。

圖4

與構造的上一封偽造郵件類似，我們增加了一行HTML代碼，主要作用是在郵件正文中插入一個圖片，圖片顯示為純白色，然后通過style屬性對圖片的位置和大小信息進行設定，保證圖片在顯示時可以將deadfake提示的內容進行覆蓋，然后再次進行發送，當接收到該偽造郵件時，我們可以看到deadfake的提示信息不見了，如下圖5所示。

圖5

但是，通過郵件的源代碼文件我們發現，deadfake的提示信息還是有的，只是在郵件顯示的時候不可見了，因為該文字信息已經被我們純白色的圖片覆蓋了。

deadfake網站的偽造郵件是由網站提供的服務，同樣，黑客也可以構建本地的SMTP服務器實現偽造郵件的發送。例如通過軟件Advanced Direct Remailer這款軟件，如圖6所示。

圖6

當電腦安裝并運行Advanced Direct Remailer后，就相當于是一臺SMTP服務器了。這里我們使用網易閃電郵作為郵件客戶端軟件進行演示，運行以后我們需要對郵箱進行配置，作為演示，我們仍然使用騰訊提供服務的郵箱地址service@tencent.com，如下圖7所示

圖7