垃圾郵件出新招?由Apple官方親自寄送的垃圾信

Gmail信箱收到一封怪信,內容如下:

信件來自id.apple.com,第一行明顯是垃圾郵件廣告或是釣魚詐騙,但後方緊接著標準Apple ID救援帳號驗證碼通知,其中Apple ID帳號頁面URL也是連到真的Apple ID網站無誤。經驗裡,Gmail的垃圾信檢核能力強大,鮮少有人破關,若這封信發信來源是偽造的卻闖關成功,其中使用技巧令人好奇。

檢查信件的SMTP Header,在其中看到Received: from nwk-txn-msbadger0702.apple.com (nwk-txn-msbadger0702.apple.com. [17.151.1.81])字樣,幾可確認信件的確來自Apple的郵件伺服器,依我的理解,此一軌跡變造難度頗高,尤其郵件收發端分別是Google、Apple,伺服器被呼嚨或動手腳的機率應不高。

Delivered-To: email_address@gmail.com
Received: by 10.202.67.194 with SMTP id q185csp240909oia;
        Thu, 7 Jul 2016 21:25:34 -0700 (PDT)
X-Received: by 10.98.201.210 with SMTP id l79mr6426805pfk.87.1467951934894;
        Thu, 07 Jul 2016 21:25:34 -0700 (PDT)
Return-Path: <Do_not_reply@id.apple.com>
Received: from nwk-txn-msbadger0702.apple.com (nwk-txn-msbadger0702.apple.com. [17.151.1.81])
        by mx.google.com with ESMTPS id 84si1805734pfs.131.2016.07.07.21.25.34
        for <email_address@gmail.com>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Thu, 07 Jul 2016 21:25:34 -0700 (PDT)
Received-SPF: pass (google.com: domain of do_not_reply@id.apple.com designates 17.151.1.81 as permitted sender) client-ip=17.151.1.81;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@id.apple.com;
       spf=pass (google.com: domain of do_not_reply@id.apple.com designates 17.151.1.81 as permitted sender) smtp.mailfrom=Do_not_reply@id.apple.com;
       dmarc=pass (p=REJECT dis=NONE) header.from=id.apple.com
DKIM-Signature: v=1; a=rsa-sha1; d=id.apple.com; s=id2048; c=relaxed/relaxed;
    q=dns/txt; i=@id.apple.com; t=1467951934;
    h=From:Subject:Date:To:MIME-Version:Content-Type;
    bh=5set+Ft2cOnQ+FGcv894n8DdbKw=;
    b=IpLQ6msyhZ0r+AQzg+BBkW3RuYFPq+ZbG+XGuuN/v19FONAUCVAJIVDVX9irSmA5
    fGbIY6iwrbVtZzFIDLpHN5OZ5IZxJ7cT9wiKHDwIrNguCjxPX1MiezjEnYfhiMIH
    zQlOEq9lF5sAMff8LWOHuQ==;
Date: Fri, 8 Jul 2016 04:25:34 +0000 (GMT)
From: Apple <appleid@id.apple.com>
REPLY-TO: appleid_cnzh@email.apple.com
To: email_address@gmail.com
Message-ID: <2047128433.80483757.1467951934576.JavaMail.email@email.apple.com>
Subject: =?gb2312?B?0enWpMT6tcS159fT08q8/rXY1rc=?=
MIME-Version: 1.0

由此推測,信件真是由Apple ID所寄沒錯,那第一行被人加料又是怎麼一回事?搞得我好亂。

滿頭霧水,把疑問丟上臉書想徵召朋友腦力激盪… 一分鐘後,我忽然看懂還「噗」一聲笑了出來。

答案就藏在信件第一行,「万部高清片……,您好:」

猜想這是垃圾信廠商想出的新招,直接用「万部高清片……」廣告詞當成使用者姓名註冊AppleID,再把垃圾信寄發對象的電子郵件設成該Apple ID的救援郵件,依Apple ID的驗證機制,系統會寄驗證碼到指定的救援郵件信箱。信件由Apple ID官方郵件伺服器寄出,順利通過Gmail等各大郵件系統的安全檢查順利送達,而信件一開頭稱呼收信人「万部高清片……,您好:」,廣告或詐騙內容就這麼送到了,一路使用Apple的主機、頻寬,郵件還因Apple官方身分加持以暢行無阻,大吃Apple豆腐。

沒想到除了SQL Injection、Cross-Site Scripting(XSS),居然還有UserName Injection,這也太有創意了~

依我的看法,這點可視為Apple ID註冊機制的瑕疵,可透過限制使用者姓名長度、過濾不合理文字(例如:URL),或限制救援郵件設定次數改善。而由此一案例,未來自己在設計系統時,除了XSS,也要考量UserName Injection的可能性。

歡迎推文分享:
Published 08 July 2016 06:45 PM 由 Jeffrey
Filed under:
Views: 49,117



意見

# SZC said on 08 July, 2016 10:35 AM

高啊~~~這招 只動腦不硬解

# 郭孝直 said on 09 July, 2016 01:46 AM

廣告詞當成使用者姓名註冊AppleID,再把垃圾信寄發對象的電子郵件設成該Apple ID的救援郵件....

.....這個可以做成自動化嗎?

有些會有阻擋機器人的圖片認證機制說...

# wenfei said on 18 July, 2016 05:20 AM

強!

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<July 2016>
SunMonTueWedThuFriSat
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456
 
RSS
創用 CC 授權條款
【廣告】
twMVC
最新回應

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication