这封电子邮件的预期攻击媒介是什么?

信息安全 电子邮件 攻击向量
2021-09-08 16:33:40

我在收件箱中收到了这封电子邮件:

它似乎足够无害,消息的来源往往证实了这一点:

Return-Path: <info@retinaljessicandis.info>
X-Original-To: admin@quickmediasolutions.com
Delivered-To: admin@quickmediasolutions.com
Received: by quickmediasolutions.com (Postfix, from userid 117)
    id 1DBEB3F466; Fri, 17 Mar 2017 01:32:56 +0000 (UTC)
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
    mail.quickmediasolutions.com
X-Spam-Level: ***
X-Spam-Status: No, score=3.7 required=5.0 tests=BAYES_60,RCVD_IN_BRBL_LASTEXT,
    RDNS_NONE,SPF_HELO_PASS,SPF_PASS autolearn=no autolearn_force=no version=3.4.1
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=201.197.252.218; helo=retinaljessicandis.info; envelope-from=info@retinaljessicandis.info; receiver=admin@quickmediasolutions.com 
Received: from retinaljessicandis.info (unknown [201.197.252.218])
    by quickmediasolutions.com (Postfix) with ESMTP id 44D3B3F303
    for <admin@quickmediasolutions.com>; Fri, 17 Mar 2017 01:32:53 +0000 (UTC)
Message-ID: <00848281.1BB7F609@retinaljessicandis.info>
Date: Fri, 17 Mar 2017 02:32:58 +0100
From: "Nina" <info@retinaljessicandis.info>
X-Accept-Language: en-us
MIME-Version: 1.0
To: <admin@quickmediasolutions.com>
Subject: Hi
Content-Type: text/plain;
    charset="us-ascii"
Content-Transfer-Encoding: 7bit

Good luck :)

根据以上信息,我得出以下结论:

  • SPF 测试通过,确认我的邮件服务器收到邮件的 IP 地址被授权为该域发送电子邮件。

  • 该消息似乎不包含任何恶意软件——没有 JavaScript(它甚至不是多部分消息),也没有任何类型的附件。

  • 该消息不包含任何链接或 URL。

我在这里错过了攻击媒介吗?这是网络钓鱼的尝试吗?如果是这样,我应该被骗做什么?

4个回答

这样的问题只是征求意见,因为只有发送者真正知道自己的意图,其他人只能猜测。

我想在你的问题中你保留了真实的电子邮件地址:admin@quickmediasolutions.com这是一个有趣的部分,可以分为两部分:

  • admin:这是出现在大多数用户名列表顶部的常用词,经常用于电子邮件地址。这个用户名不仅很常见,而且有时会链接到一个同时针对多个人的邮件列表(恶意负载被打开的机会很多),这只是一个奖励,并且对他们使用的任何东西都具有管理权限的人,这是蛋糕上的樱桃。
  • quickmediasolutions.com:这只是一个工作域名,它们有很多方法可以获取大量工作域名。

对我来说,但这是我个人的猜测,攻击者正在向尽可能广泛的域名发送相同的无害电子邮件admin@<domain>(至少,我希望其他名称也成为目标)。webmaster使用这样无害的电子邮件是避免垃圾邮件过滤器以任何方式改变结果的最安全方法。

从那里尝试的所有域都将属于以下类别之一:

  • 那些拒绝了带有 SMTP550 Invalid Recipient消息的电子邮件的人,很可能会因为不是低垂的果实而被排除在外。
  • 那些接受电子邮件的人,他们将获得进入攻击者议程下一步的门票。

下一步包含什么?同样,只有攻击者(或雇用他的人)可能知道。也许目标只是构成一个列表并出售它,也许目标是直接使用此列表并尝试发送一些恶意有效载荷,也许两者兼而有之……

无论如何,这个想法是这样的电子邮件很可能本身并不携带任何恶意有效负载,而只是对大规模目标进行分类的低成本探测。

我能想到2种可能

  1. 钓鱼电子邮件地址以发送垃圾邮件(旧意义上的钓鱼)
  2. 潜在的鱼叉式网络钓鱼攻击,开始是无害的,然后是恶意附件

无论哪种方式,最好忽略

一种可能性是,这只是诱使您回复然后在以后欺骗您的诱饵。

社会工程师为人类天生的好奇心等事物祈祷。

使用这样的方法还有一个额外的好处,那就是只有那些更有可能受到诱惑,因此更有可能在第一时间回复电子邮件时被骗的人。

类似于尼日利亚王子骗局的提供者使用的自选方法。

自选择方法在 2012 年的此 Microsoft 论文中进行了描述

很难说……可能是一个无辜的妮娜,只是想对她的朋友说好运,只是用错了地址。或者一个不那么天真的妮娜,出于私人原因想更多地了解你(你是单身吗?;-))。

但更有可能是一封看起来很无辜的邮件,它试图验证邮件地址列表,并在有效负载不那么无辜时确定哪些邮件可以得到答案。或者尝试确定哪种邮件能够通过垃圾邮件和恶意软件过滤器。

恕我直言,你不应该回复这样的邮件,除非你能猜出 Nina 是谁。

其它你可能感兴趣的问题
上一篇为什么密码管理器会提供对 OTP 代码的支持? 下一篇为什么在创建 OpenPGP 密钥时询问我的个人信息?