绝密追踪：利用像素图片收集攻击目标信息

像素图片追踪是一门古老的技艺，已有数十年历史。它通常表现为一张在邮件里嵌入的1*1像素、透明色或和背景色相同的图片。

当用户收到嵌有像素图片（也称作信标）的邮件时，如果没有设置默认手动加载图片，打开邮件会从发送者服务器下载图片，对方就能知道你已经打开了邮件。

来看看一段像素追踪的代码：

< img width="1" height="1" class="beacon-o" src="[SERVER_URL][TRACKING_CODE]" style="float:left;margin-left:-1px;position:absolute;" >

具体实践中，可以在邮件营销活动ID中指定收件人的邮箱地址，比如"?ref=victim@company.com"。

像素追踪器收集敏感信息

和所有网站的统计服务一样，营销邮件的服务器可以为图片配置统计服务，记录用户的各种详细信息。包括：

使用WebMail还是某个邮件客户端
电子邮件地址
浏览器
IP地址
主机名
操作系统
Cookie使用设置
打开邮件的日期和时间等等

只需要采用相同的技巧，攻击者也能获取上述信息。

这是一种极佳的侦查工具

例如，攻击者在邮件中添加像素图片，将邮件发送到公司对外联络的邮箱中，并要求接受者将邮件转发给特定的部门或人员。

经过多次尝试，攻击者可以创建一份目标公司的内部网络映射图。由于是像素图片追踪方式的定向性，这份映射将极为精准，可以看到攻击目标的IP、操作系统和浏览器等细节。

像素图片追踪也可以用在常规钓鱼广告中，它能收集到一批更容易打开此类邮件的用户列表。

利用浏览器和操作系统等信息，攻击者可以更新钓鱼页面或攻击套件，为每个受害者定制适当的攻击代码。

此外，如果一家公司的员工都使用WebMail，那么这家公司很可能使用托管云服务来处理内部的业务，识别到云平台的攻击者将能够进行更有针对性的漏洞攻击。

防御像素追踪器

过去一年，安全公司Check Point曾数次发布利用像素图片追踪进行攻击侦察行为的警告。

Check Point数据中心和云安全部门的营销主管Donald Meyer表示，到目前为止，像素图片追踪并不被认为是安全漏洞，但它的侦察功能对后续攻击极为有利。为抵御这一威胁，他建议企业在云安全防护中增设邮件反钓鱼安全规则。

企业之外，用户也可以使用一些简单防御技巧，比如使用UglyEmail、PixelBlock等Chrome扩展来阅读邮件。

本地邮件客户端中，Outlook和Thunderbird默认都不会加载图片，因此使用它们也可以避免类似攻击。

不过，营销人员早就知晓这些缺陷，他们通过在邮件中嵌入大量图片暗示内容的丰富性，诱导用户点击。只要用户允许加载图片，像素跟踪器也一并加载了。