概念研究:新型攻击可以修改已发送的电子邮件内容

简介: 本文讲的是概念研究:新型攻击可以修改已发送的电子邮件内容,近日,据外媒报道称,安全研究人员发现了一种新型攻击手段,攻击者可以通过这种简单的电子邮件攻击手段,在电子邮件送至用户收件箱后,对其内容进行更改,将邮件中无害的链接换成恶意链接。
本文讲的是 概念研究:新型攻击可以修改已发送的电子邮件内容近日,据外媒报道称,安全研究人员发现了一种新型攻击手段,攻击者可以通过这种简单的电子邮件攻击手段,在电子邮件送至用户收件箱后,对其内容进行更改,将邮件中无害的链接换成恶意链接。

概念研究:新型攻击可以修改已发送的电子邮件内容

“Ropemaker”攻击

电子邮件和云安全提供商Mimecast公司的安全研究员Francisco Ribeiro率先发现了该攻击手段,并将其命名为“Ropemaker”——代表“远程操纵发送成功的电子邮件,造成电子邮件安全威胁”的一种攻击形式。

成功利用Ropemaker攻击,可能会允许攻击者远程修改由攻击者本身发送的电子邮件的内容,例如将原本邮件中无害的链接替换成恶意链接。

即使电子邮件已经成功发送给收件人,并通过了所有必要的垃圾邮件和安全过滤器检测,攻击者仍然可以在无需访问用户计算机和电子邮件应用程序的情况下,令数亿桌面电子邮件客户端用户暴露于恶意软件攻击之下。

攻击是如何实现的?

据悉,Ropemaker攻击利用了层叠样式表(CSS)和超文本标记语言(HTML),而这些正是组成Internet上信息呈现方式的基本部分。

Mimecast公司高级产品营销经理Matthew Gardiner在一篇博文中写道,

ROPEMAKER攻击的起源在于一些基于PC的电子邮件应用程序使用了Web技术,更具体地说是同时使用了层叠样式表(CSS)和超文本标记语言(HTML)。虽然使用这些网络技术使电子邮件在视觉上比纯文本电子邮件更具吸引力和动态性,但这也为电子邮件引入了可利用的攻击向量。

研究人员表示,由于CSS是远程托管的,所以攻击者可以通过远程启动电子邮件来控制电子邮件的样式呈现方式和实际内容,然后在无需访问收件人电子邮件的情况下,将修改后的邮件呈现给用户,所以,即便是技术再精湛的用户也不会察觉到异常。

根据研究人员的说法,Ropemaker攻击可以根据攻击者的创造力发挥效用。例如,攻击者可以将原来指向用户的链接替换为恶意链接,该链接会将用户重定位至受感染的网站,该网站旨在用恶意软件感染用户或窃取敏感信息,如登录凭证以及银行信息等。

虽然有些系统已经加入了链接检测程序,防止用户打开恶意链接,但是不可避免地,仍然会有用户面临安全隐患。

被Mimecast称为“矩阵漏洞利用”(Matrix Exploit)的另一种攻击场景要比“Switch Exploit”复杂的多,因此也更难以发现和防御。

在“矩阵漏洞利用”攻击中,攻击者会在电子邮件中写入文本矩阵,然后使用远程CSS文件控制收件人电子邮件的显示内容,从而允许攻击者显示任何想要呈现的内容,包括在电子邮件正文中添加恶意链接。

这种攻击更难防御,因为用户收到的初始电子邮件不显示任何链接,大多数的软件系统不会将其标记为“恶意”。

研究人员指出,

由于电子邮件中的链接是在发送完成后呈现的,所以像Mimecast电子邮件网管解决方案这样的检测程序根本无法在页面中找到、重写或是检测目标站点。因为在发送时,文件中根本没有链接可供检测。想要实现这些,需要使用远程CSS文件,而这已经超出了当前电子邮件安全系统的能力范围。

安全建议

Mimecast暂未将该问题标记为产品漏洞或基本架构漏洞,因为该安全公司目前暂未发现任何与Ropemaker攻击相关的实例,但该公司认为,这并不意味着这种攻击不会在Mimecast视野以外的地方出现,所以建议电子邮件应用程序提供商可以采取措施更好地保护用户免遭Ropemaker攻击威胁。

据该安全公司介绍,黑客可以使用Ropemaker绕过大多数常见的安全系统,甚至是技术精湛的用户也能够被攻击者在不知情的情况下替换恶意链接。为了防范这种攻击,建议用户可以使用一些基于浏览器的电子邮件客户端,例如Gmail、Outlook以及icloud等,这些客户端目前还不受Ropemaker攻击中的CSS漏洞影响。

但是,像Apple Mail、Microsoft Outlook以及Mozilla Thunderbird这样的电子邮件客户端都很容易受到Ropemaker的攻击,但是使用Apple Mail电子邮件的用户可以通过设置阻止自动化执行远程资源来进行防御,只是用户很少使用这一功能。




原文发布时间为:2017年8月25日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
2月前
|
机器学习/深度学习 人工智能 安全
模型被投毒攻击,如今有了新的安全手段,还被AI顶刊接收
【4月更文挑战第25天】研究人员提出了一种结合区块链和分布式账本技术的联邦学习系统,以增强对抗投毒攻击的安全性。该系统利用智能合约支持的点对点投票和奖励惩罚机制,提高模型聚合的鲁棒性。此创新方法首次将区块链应用于联邦学习,减少中心化服务器的风险,但同时也面临计算成本增加、延迟问题以及智能合约安全性的挑战。论文已被AI顶刊接收,为金融、医疗等领域提供更安全的机器学习解决方案。[[1](https://ieeexplore.ieee.org/document/10471193)]
42 3
|
2月前
|
存储 安全 搜索推荐
解析商业电子邮件泄露:深度剖析攻击的含义
商业电子邮件泄露(BEC)攻击是精心策划的网络诈骗,通过假冒高管或供应商诱导受害者转账。例子包括谷歌和脸书被骗走1.21亿美元,丰田子公司损失3700万美元。BEC不仅导致财务损失,还损害企业声誉,影响员工信任和士气。防止措施至关重要,因为一旦中招,可能面临法律和经济双重打击。
38 1
|
8月前
|
机器学习/深度学习 人工智能 安全
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)(下)
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)
184 1
|
8月前
|
自然语言处理 安全 API
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)(上)
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)
283 0
|
安全 测试技术 数据安全/隐私保护
|
人工智能 安全 JavaScript
前后端通讯:非敏感信息Cookie的"强化"之路
我们公司鉴权走的是JWT, 但是有些数据走Cookie更方便通讯, 纵观今天,网上一大把说Cookie不好的文章. 但是我们还是要用,那怎么安全一丢丢呢?
128 0
|
大数据 数据库
《位置大数据隐私管理》—— 第2章 典型攻击模型和隐私保护模型 2.1 位置连接攻击
本章将对典型攻击模型和相应的隐私保护模型进行说明。攻击模型包括位置连接攻击、位置同质性攻击、查询同质性攻击、位置依赖攻击和连续查询攻击模型。隐私保护模型包括位置k-匿名模型、位置l-差异性模型、查询p-敏感模型和m-不变性模型。
1857 0
|
安全 数据采集 搜索推荐
Shodan新增主动欺骗能力,可识别全球僵尸网络控制中心
本文讲的是Shodan新增主动欺骗能力,可识别全球僵尸网络控制中心,根据ZDnet援引Shodan消息,网络空间搜索引擎Shodan刚刚宣布了一项新能力——Malware Hunter,识别全球范围各种僵尸网络的控制中心(C2)。
1521 0