一封伪造发件人的勒索邮件

本文由 Ocrosoft 于 2019-02-16 14:43:55 发表

更新

现在勒索邮件升级了,没有伪造发件人,直接在邮件里写上我以前用过的密码,不过我很早就知道这个密码泄露,并且已经做过修改了。总之,这种邮件还是勒索邮件,说什么“随便你改密码,我已经控制了你的电脑”,实际上改了密码对方一点办法都没有。

这里可以查询自己的邮箱是否被以前刺激大规模泄露影响:https://haveibeenpwned.com/

=========================================================

6号的时候收到了一封英文邮件,邮件的主题是“This account has been hacked! Change your password right now!”,说这个账号已经被他破解了,赶紧修改密码。

如果只是这样,相信没几个人会去看邮件正文。看了邮件发送人之后,我还真去看了邮件的内容是什么,因为发送人显示是我自己发送的邮件:
邮件中说,他搭建了一个Porn(成人视频)网站,而且我还去看了,还 have fun 了,然后他就开启了我电脑的摄像头,还记录下了我的键盘操作,获取了我的密码。如果不希望我的视频流出去的话就给他的比特币账号打1000刀。
于是我想了想,假设我上了他的网站,一个成人网站为什么要获取摄像头权限(网站要打开摄像头的时候,Chrome会弹出授权窗口,默认是不允许的),而且仅仅依靠浏览器漏洞还能绕过杀软,做到远程控制电脑,记录键盘操作(有这技术还需要建钓鱼网站勒索吗…)。先全部当做他都做到了,最后一个问题是,你使用电脑时的视频,会值1000刀吗…(白送都没人要好吧,所以电脑不用时关掉)
话是这么说,虽然这个邮件应该是不需要去理会他的,但是为什么发件人会是自己呢?
马上登录网页邮箱,没有异地登录警告,手机也没有收到过登录验证码,收件时间前后也没有过登录行为,因此可以确定,这封邮件是伪造的。
查一下资料,使用 smtp 协议时,from 字段只要填写收件邮箱就可以伪造了,于是自己尝试一下:

telnet smtp.ocrosoft.com 25

telnet 到自己的邮件服务器,服务器返回220,然后 Helo 并登录,
邮件服务器是阿里云的,所以 Helo 是 aliyun-inc.com,登录的邮箱账号和密码要进行 base64:

Helo aliyun-inc.com
Auth Login
******bQ==
******cw==

服务器返回 235 后就可以发送邮件了:

Mail From: <111111@ocrosoft.com>
Rcpt To: <ocrosoft@ocrosoft.com>
Data
From: <ocrosoft@ocrosoft.com>
To: <ocrosoft@ocrosoft.com>
Subject: 邮件主题
邮件正文

上面 Mail From 的邮箱必须是自己刚刚登录的邮箱,否则服务器会提示这个邮箱未登录不能发送邮件。
Rcpt To 和 To 是收件人,To 可以不填,会变成密送的效果(未测试)
From 本来应该和 Mail From 填相同的邮件地址的,这里不同就达到了伪造的效果。
Subject 为邮件主题,邮件正文输入完后输入回车.(英文句号)回车发送邮件,服务器返回 250 发送成功。

这里可以发现,邮件的发件人头像和昵称后都有一个感叹号,警告这封邮件的 Mail From 和 From 两个字段不相同,这是邮箱系统给出的警告,之前因为我使用的是手机客户端,并没有看到这个警告。

所以,如果收到类似这种勒索邮件,到网页端确认一下真实发件人(如果系统没有警告,可以查看原文来检查真实发件人)。

最后,别问,我没上他说的网站。

欢迎转载,请保留出处与链接。Ocrosoft » 一封伪造发件人的勒索邮件

点赞 (12)or拍砖 (3)

评论 3

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #2

    滑稽 凑字数凑字数
    可以给个友链吗,加你很久辽

    Alanyhq9个月前 (02-24)回复
    • ok的

      Ocrosoft4个月前 (07-31)回复
  2. #1

    哈哈哈 大神有点幽默

    珍冰乐5个月前 (06-25)回复