Gmail信箱收到一封怪信,內容如下:

信件來自id.apple.com,第一行明顯是垃圾郵件廣告或是釣魚詐騙,但後方緊接著標準Apple ID救援帳號驗證碼通知,其中Apple ID帳號頁面URL也是連到真的Apple ID網站無誤。經驗裡,Gmail的垃圾信檢核能力強大,鮮少有人破關,若這封信發信來源是偽造的卻闖關成功,其中使用技巧令人好奇。

檢查信件的SMTP Header,在其中看到Received: from nwk-txn-msbadger0702.apple.com (nwk-txn-msbadger0702.apple.com. [17.151.1.81])字樣,幾可確認信件的確來自Apple的郵件伺服器,依我的理解,此一軌跡變造難度頗高,尤其郵件收發端分別是Google、Apple,伺服器被呼嚨或動手腳的機率應不高。

Delivered-To: email_address@gmail.com
Received: by 10.202.67.194 with SMTP id q185csp240909oia;
        Thu, 7 Jul 2016 21:25:34 -0700 (PDT)
X-Received: by 10.98.201.210 with SMTP id l79mr6426805pfk.87.1467951934894;
        Thu, 07 Jul 2016 21:25:34 -0700 (PDT)
Return-Path: <Do_not_reply@id.apple.com>
Received: from nwk-txn-msbadger0702.apple.com (nwk-txn-msbadger0702.apple.com. [17.151.1.81])
        by mx.google.com with ESMTPS id 84si1805734pfs.131.2016.07.07.21.25.34
        for <email_address@gmail.com>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Thu, 07 Jul 2016 21:25:34 -0700 (PDT)
Received-SPF: pass (google.com: domain of do_not_reply@id.apple.com designates 17.151.1.81 as permitted sender) client-ip=17.151.1.81;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@id.apple.com;
       spf=pass (google.com: domain of do_not_reply@id.apple.com designates 17.151.1.81 as permitted sender) smtp.mailfrom=Do_not_reply@id.apple.com;
       dmarc=pass (p=REJECT dis=NONE) header.from=id.apple.com
DKIM-Signature: v=1; a=rsa-sha1; d=id.apple.com; s=id2048; c=relaxed/relaxed;
    q=dns/txt; i=@id.apple.com; t=1467951934;
    h=From:Subject:Date:To:MIME-Version:Content-Type;
    bh=5set+Ft2cOnQ+FGcv894n8DdbKw=;
    b=IpLQ6msyhZ0r+AQzg+BBkW3RuYFPq+ZbG+XGuuN/v19FONAUCVAJIVDVX9irSmA5
    fGbIY6iwrbVtZzFIDLpHN5OZ5IZxJ7cT9wiKHDwIrNguCjxPX1MiezjEnYfhiMIH
    zQlOEq9lF5sAMff8LWOHuQ==;
Date: Fri, 8 Jul 2016 04:25:34 +0000 (GMT)
From: Apple <appleid@id.apple.com>
REPLY-TO: appleid_cnzh@email.apple.com
To: email_address@gmail.com
Message-ID: <2047128433.80483757.1467951934576.JavaMail.email@email.apple.com>
Subject: =?gb2312?B?0enWpMT6tcS159fT08q8/rXY1rc=?=
MIME-Version: 1.0

由此推測,信件真是由Apple ID所寄沒錯,那第一行被人加料又是怎麼一回事?搞得我好亂。

滿頭霧水,把疑問丟上臉書想徵召朋友腦力激盪… 一分鐘後,我忽然看懂還「噗」一聲笑了出來。

答案就藏在信件第一行,「万部高清片……,您好:」

猜想這是垃圾信廠商想出的新招,直接用「万部高清片……」廣告詞當成使用者姓名註冊AppleID,再把垃圾信寄發對象的電子郵件設成該Apple ID的救援郵件,依Apple ID的驗證機制,系統會寄驗證碼到指定的救援郵件信箱。信件由Apple ID官方郵件伺服器寄出,順利通過Gmail等各大郵件系統的安全檢查順利送達,而信件一開頭稱呼收信人「万部高清片……,您好:」,廣告或詐騙內容就這麼送到了,一路使用Apple的主機、頻寬,郵件還因Apple官方身分加持以暢行無阻,大吃Apple豆腐。

沒想到除了SQL Injection、Cross-Site Scripting(XSS),居然還有UserName Injection,這也太有創意了~

依我的看法,這點可視為Apple ID註冊機制的瑕疵,可透過限制使用者姓名長度、過濾不合理文字(例如:URL),或限制救援郵件設定次數改善。而由此一案例,未來自己在設計系統時,除了XSS,也要考量UserName Injection的可能性。


Comments

# by SZC

高啊~~~這招 只動腦不硬解

# by 郭孝直

廣告詞當成使用者姓名註冊AppleID,再把垃圾信寄發對象的電子郵件設成該Apple ID的救援郵件.... .....這個可以做成自動化嗎? 有些會有阻擋機器人的圖片認證機制說...

# by wenfei

強!

Post a comment