| 对付网页仿冒欺诈电子邮件新技术 |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
名为“网页仿冒”(Phishing)的新型欺诈邮件受害开始增多。所谓网页仿冒,就是利用电子邮件将用户引诱到模仿某个实际企业的网站上,诱骗他们输入信用卡号码等来进行欺诈的行为(参阅本站报道)。针对这一问题,已经有人提出了多项新技术(参阅本站报道)。但为什么非要采用新技术呢?仅靠原来的电子邮件技术为什么就难以应对呢?在这里我们就对这些问题进行解答。
在网页仿冒邮件中,发件人冒充某个实际公司的邮件地址,利用“请更新信用卡信息”等看起来很正常的字眼的来引诱受害者。如果不了解网页仿冒的话,即便是很仔细的人也会把邮件当成真的是来自这家公司。然后点击一个很难弄清楚真正去向的链接,就被引诱到一个酷似真网页的假冒网站上。
网页仿冒邮件之所以看起来象是真的,就在于发件人使用了真正企业的邮件地址。与链接到约会网站的邮件不同,由于正文的内容非常正规,所以利用过滤技术等现有反垃圾邮件对策还难以阻拦。
网页仿冒邮件为什么能够冒充发件人呢?要弄清这个问题,需要了解邮件发送过程中的协议。
邮件服务器处理邮件的步骤是由SMTP这种协议来规定的。SMTP首先要求进行TCP对话。这个时候接收方的邮件服务器知道发信方的IP地址。然后通知发件人的邮件地址和收件人的邮件地址。最后再发送包括邮件头在内的邮件数据。
也就是说,在接收邮件时获得的发件人信息有三项:(1)发信方的IP地址;(2)发信方通知的发件人邮件地址;(3)邮件头部内记述的发件人地址。如果这些信息都准确的话,自然也就没什么问题了。但在这三项信息中,只有发信方IP地址是确凿可靠的。另外2项的发件人地址由于发件人邮箱或服务器设置问题,总是可以冒充的。电子邮件中显示的“发件人”信息,本来就毫无信用可言。
在SMTP标准中,一直是将电子邮件的安全性放在便利性之后。例如,在家里或出差地发送邮件时,有的人设定的发件人不是当时登录的网页地址,而是公司的地址。如果电子邮件使用的标准不允许冒充发件人的话,就不能这么使用了。
虽说如此,由于出现了网页仿冒这样的受害问题,电子邮件就不能再一味追求便利性了。但仅靠SMTP还是难以确认发信方通知的发件人信息是否准确。因此,需要对邮件标准作部分修改,增加能够确认发件人身份是否准确可靠的内容。
在防止网页仿冒邮件的发件人认证技术方面,目前有美国微软及美国Pobox.com与IETF联合提出的“Sender ID”、美国雅虎提出的“DomainKeys”。在进行标准化作业的同时,也正加紧把这些技术安装到各种邮件服务器上。随着标准化的完成,我们很快就能用上防止网页仿冒邮件的发件人认证功能了。
 |
|
| 上一篇文章: UPD论坛安全性分析 |
| 下一篇文章: 三种途径彻底解决JPEG图片病毒 |
|
|
|
|
