【电子数据取证】网络钓鱼邮件取证:从识别到追踪

文章关键词:电子数据取证、邮件取证、电脑取证

一、前言

在数字化时代,电子邮件已成为我们日常生活和工作中不可或缺的一部分。然而,随着技术的不断发展,网络钓鱼邮件这一威胁也日益猖獗,对个人隐私、企业安全乃至国家安全构成了严峻挑战。网络钓鱼邮件通过伪装成来自可信来源的邮件,诱骗收件人点击恶意链接、下载附件或泄露敏感信息,从而达到非法获取利益的目的。

本文旨在提供一份实用的网络钓鱼邮件取证指南,从识别技巧到追踪方法,帮助读者增强防范意识,掌握取证技能,以应对日益复杂的网络威胁。

二、网络钓鱼邮件基础

钓鱼邮件的核心在于社会工程学和技术手段的结合。攻击者首先通过伪造可信机构的邮件,设计诱人的主题和内容,吸引用户点击邮件中的链接或下载附件。链接通常指向伪装成合法网站的钓鱼网站,诱导用户输入敏感信息如用户名、密码或信用卡信息。这些信息一旦被输入,攻击者即可获取并利用。附件则可能包含恶意软件,一旦下载并运行,恶意软件会感染用户设备,窃取数据或控制系统。

为了提高邮件的可信度,攻击者会利用邮件系统中存在的漏洞,通过伪造邮件头信息、设置钓鱼服务器等手段,使钓鱼邮件看起来更真实,难以识别。这就要求用户和安全系统在邮件过滤和检测上更加严格,同时加强安全教育,提高用户对钓鱼邮件的识别能力。

钓鱼邮件结合了技术漏洞和心理攻击,是一种高效的网络攻击手段。理解其原理和工作方式,有助于采取有效的防御措施,保护个人和企业的网络安全。通过合理配置和使用SPF、DKIM和DMARC等邮件安全协议,可以大大降低钓鱼邮件的威胁,提升邮件系统的安全性。

三、识别技巧

网络钓鱼电子邮件如此狡诈的原因之一是,它们经过精心设计,看起来是合法的,而且遗憾的是,它们常常能够取得成功。有时,很难辨别真实的邮件和网络钓鱼企图。通常,以下特征在网络钓鱼电子邮件中十分常见,应引发危险信号:

1、附件或链接

2、拼写错误

3、语法糟糕

4、不专业的图像

5、不必要地催促您立即验证电子邮件地址或其他个人信息

 

四、初步响应与证据收集

在应对网络钓鱼邮件的初步响应与证据收集阶段,以下是一些关键的步骤和策略。

4.1 初步响应

1、立即停止操作:一旦怀疑收到网络钓鱼邮件,首先应立即停止所有与该邮件相关的操作,包括不点击邮件中的任何链接、不下载任何附件、不回复邮件等。

2、隔离设备:如果邮件已在计算机或移动设备上打开,并且怀疑设备可能已受到感染,应立即将该设备从网络中隔离,以防止恶意软件进一步传播。

3、报告给相关部门:立即向企业的网络安全团队或IT部门报告可疑邮件,以便他们采取进一步的调查和处理措施。

4、通知其他用户:如果认为该网络钓鱼邮件可能已发送给组织内的其他用户,应尽快通知他们,并提醒他们不要点击邮件中的链接或下载附件。

4.2 证据收集

1、保存邮件:将可疑邮件作为证据保存下来,包括邮件的完整内容、发件人信息、邮件头信息等。这些信息在后续的调查和分析中可能会非常有用。

2、截图:对邮件中的关键部分进行截图,特别是那些看起来异常或可疑的部分,如拼写错误、语法错误、不合逻辑的请求等。

3、收集系统日志:如果怀疑设备已受到感染,应收集相关的系统日志,这些日志可能包含有关恶意软件如何进入系统的线索。

4、分析邮件头信息:邮件头信息包含了邮件的传输路径和发送者的详细信息。通过分析这些信息,可以追踪邮件的来源,并确定邮件是否真的是来自声称的发件人。

5、使用专业工具:可以使用专业的网络安全工具来分析和检测邮件中的恶意内容,如反病毒软件、反钓鱼软件等。这些工具可以帮助识别邮件中的恶意链接、附件和伪装手法。

6、记录详细信息:记录所有与可疑邮件相关的信息,包括时间、日期、邮件主题、发件人地址、邮件内容摘要等。这些信息对于后续的调查和报告非常重要。

五、深入追踪与分析

5.1 邮件头信息分析

通过查看完整的邮件头,可以跟踪一个电子邮件地址发送者。由于完整的邮件标题充满了技术数据和一些无用信息,多数电子邮件客户端不显示其作为标题。但大多数的电子邮件客户端都提供了一种查看完整的电子邮件标题的途径。这些信息正是至关重要的跟踪邮件的来源。

Gmail:打开您的 Gmail 账户——打开要跟踪的电子邮件——点击右上角的「更多操作」按钮——在弹出菜单中选择「显示原始邮件」。

Microsoft Outlook:打开您的 Outlook 邮箱账户——打开要跟踪的电子邮件——点击「文件」菜单——打开「属性」选项——在弹出的「属性」窗口中可以看到「Internet 邮件头」内容。

QQ 邮箱:打开您的 QQ 邮箱账户——打开要跟踪的电子邮件——点击右上角的「向下箭头」按钮——在展开的选项中选择「显示邮件原文」。

电子邮件标题行有很多的信息,每行的具体意义如下:

Reply-To:发送回复的电子邮件地址。

From:显示邮件发件人,很容易伪造。

Content-Type:告诉您的浏览器或电子邮件客户端如何解释电子邮件的内容。最常见的字符集是UTF-8 和ISO-8859-1。

MIME-Version:声明正在使用的电子邮件格式标准。MIME-Version版本通常为1.0。

Subject:电子邮件的主题内容。

To:电子邮件的收件人地址,可能会显示其他地址。

DKIM-Signature:DomainKeys Identified Mail对发送电子邮件的域进行身份验证,并应防止电子邮件欺骗和发件人欺诈。

Received:「Received」行从下往上列出了电子邮件在到达收件箱之前所经过的每个服务器。

Authentication-Results:包含了执行过身份验证检查的记录,可以包含多个身份验证方法。

Received-SPF:发件人策略框架(SPF)构成电子邮件的一部分。

Return-Path:非发送或退回邮件最终的地址。

电子邮件原始发件人的信息也藏在这一行行文字中。要跟踪原始电子邮件发件人的 IP 地址就在完整电子邮件标头中的第1个Received,除第1 个「Received」外,还有发送电子邮件的服务器的IP地址。有时,显示为 X-Originating-IP 或 Original-IP。

5.2 附件与链接安全分析

1、附件分析

把附件临时人员xxx.zip下载下来,使用file命令,判断文件类型。

010验证,发现确实为zip文件,且其中包含了以exe结尾但docx字段进行迷惑的文件。

放到微步云沙箱进行静态动态分析,发现该可执行文件在执行的过程中会对一个外部IP发起网络连接,得到ip。

对该IP的开放端口进行扫描,可以看到该IP开启了许多端口

该可执行程序访问的是45234端口,具体的URL是http://IP:45234/VVXY。使用curl对URL请求数据,发现是一堆乱码,应该是加密数据。

通过浏览器访问3333端口,是一个gophish钓鱼管理后台。

访问5003端口,是一个灯塔资产管理平台,这次使用默认的用户名密码登录成功。

访问1022端口,发现一个SQLI-LABS。可通过漏洞利用getshell。

六、总结

法律与合规性提示

在网络钓鱼邮件取证过程中,务必遵守相关法律法规,尊重个人隐私和数据保护原则。处理敏感信息时,应采取适当的脱敏和保护措施,确保数据安全和合规性。读者需谨慎操作,避免侵犯隐私权,确保所有取证活动在法律允许的范围内进行。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/48819.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux的RPM包 -- 制作

1.简单实现rpm包的制作 1.首先我们需要编写源代码 2.把源代码打包成压缩包 3.在自定义的路径下创建一个rpmbuild文件目录,其中必须包括有{SPECS,SOURCES,RPMS,SRPMS,BUILD,BUILDROOT}这几个文件目录 4.将压缩包存储到SOURCE中 5.在SPECS文件目录中创建一个spec file文件,对其进…

铁塔二轮充电桩协议对接稳定运营大数据面板汽车充电桩系统

信号标准名 信号类型 单位 备注 信号量ID 枚举值 告警级别新设备标准 充电口状态 遥测 0:待连接 05102001 1:空闲 2:充电中 3:已充满 4:异常 5:掉线 电压 遥测 V100 总电压放大100倍 05104001 电流 …

智能爬虫管理:定制化数据抓取方案为企业赋能

摘要: 在数据驱动的时代,精准而高效的数据抓取成为企业决策的命脉。本文将探讨如何通过定制化的智能爬虫管理方案,赋能企业实现数据洞察力的飞跃。我们将深入解析定制化数据抓取的核心优势,分享成功案例,并揭秘如何利…

InteliJ IDEA最新2024版下载安装与快速配置激活使用教程+jdk下载配置

第一步:下载ideaIC-2024.1.4 方法1:在线链接 IntelliJ IDEA – the Leading Java and Kotlin IDE (jetbrains.com) 选择社区版进行下载 方法2:百度网盘 链接:https://pan.baidu.com/s/1ydS6krUX6eE_AdW4uGV_6w?pwdsbfm 提取…

vue3+g2plot实现词云图

词云图 效果预览: 核心代码: import {WordCloud } from @antv/g2plot;fetch(https://gw.alipayobjects.com/os/antfincdn/jPKbal7r9r/mock.json).then((res) => res.json()).then((data) => {const wordCloud = new WordCloud(container, {data,wordField: x,weigh…

电场、磁场、麦克斯韦方程组

电场和磁场 电场和磁场并不是一个虚拟的概念,而是一种确实存在的物质。法拉第提出了电场和磁场,法拉第认为之所以两个电荷之间有力的作用,是因为有一个电荷会在周围空间产生一种物质,这种物质叫做电场。法拉第提出:电场是由电荷产生的。之后人…

【笔记:3D航路规划算法】二、RRT*

目录 一、RRT*于RRT的不同之处1、路径优化:2、成本计算:3、重连线步骤: 二、图解1、初始化2、路径搜索3、效果展示 3D路径规划是在三维空间中寻找从起点到终点的最短或最优路径的一种技术。它广泛应用于无人机导航、机器人运动规划、虚拟现实…

Linux基础命令之用户管理常用命令

在Linux操作系统中,有许多用于用户管理的命令。以下是一些常用的命令 # 1、whoami 显示当前登录的用户名。 $ whoami将返回当前用户的名称。这个命令在所有Linux发行版中都可以使用。 例如,如果你是 root 用户,那么输出可能是这样的&…

Docker部署Elasticsearch8.6.0 Kibana8.6.0

(1)Docker部署Elasticsearch8.5.3(失败…) 为了匹配springboot3.0.x,安装Elasticsearch:8.5.3 拉取镜像,遇到问题! [rootserver01 ~]# docker pull elasticsearch:8.5.3 8.5.3: Pulling from…

Modbus转EtherCAT网关将Modbus协议的数据格式转换为EtherCAT协议

随着工业自动化技术的快速发展,不同通信协议之间的互操作性变得越来越重要。Modbus作为一种广泛使用的串行通信协议,与以太网为基础的EtherCAT协议之间的转换需求日益增长。本文将从网关功能、硬件设计、性能以及应用案例来介绍这款Modbus转EtherCAT网关…

数据库-浅谈储存过程

数据库-浅谈储存过程 缘起储存过程示例小结 缘起 数据库,已经是这个时代大部分软件系统架构里的标配。一个可靠的数据管理系统的 ACID特性也保证了我们使用到的数据的准确性。 作为软件架构中的基础部分,数据库的操作不应该暴露给用户应用层。所以相关数…

第31篇 计算数据中最长的连续1的个数<一>

Q:如何用Nios II指令计算一个数据中最长的连续1的个数? A:基本原理:所有Nios II指令都是32位长,除了由处理器直接执行的机器指令外,Nios II指令集还包括许多可用于汇编语言的伪指令程序。本实验我们会用…

权限(linux)

权限就是文件权限(linux万物皆文件) 本文主要涉及文件/文件夹权限 涉及指令: shell: kernal : linux内核 shell : 外壳 shell可以方便交互与操作 bash是一个具体的shell su su 切换用户 su -root 变…

【SpringCloud】企业认证、分布式事务,分布式锁方案落地-1

目录 HR企业入驻 HR企业入驻 - 认证流程解析 HR企业入驻 - 查询企业是否存在 HR企业入驻 - 上传企业logo与营业执照 HR企业入驻 - 新企业(数据字典与行业tree结构解析) 行业tree 行业tree - 创建节点 行业tree - 查询一级分类 行业tree - 查询子分…

CSS前端面试题之哪些CSS属性可以继承?

推荐答案 在 CSS 中,并不是所有的属性都可以继承。下面是一些常见的可继承属性 font-family font-size font-weight font-style color letter-spacing word-spacing line-height text-align text-indent text-transform visibility 这些属件在父元素中设置后&#…

网络安全之不同阶段攻防手段(四)

前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏。 4. 建立立足点阶段 **攻击手段:**攻击者通过恶意软件、远程访问工…

普中51单片机:DS1302时钟芯片讲解与应用(十)

文章目录 引言基本特性什么是RAM?什么是涓流充电? 电路图和引脚说明通信协议以及工作流程寄存器控制寄存器日历/时钟寄存器 DS1302读写时序代码演示——数码管显示时分秒 引言 DS1302 是一款广泛使用的实时时钟 (RTC) 芯片,具有低功耗、内置…

多层感知机(神经网络)

目录 一、感知机(逻辑回归、二分类)定义:二、感知机不能解决XOR问题:三、多层感知机定义:四、训练过程:1.参数维度:2.常用激活函数:2.1Sigmoid激活函数:2.2Tanh激活函数&…

深入分析 Android ContentProvider (三)

文章目录 深入分析 Android ContentProvider (三)ContentProvider 的高级使用和性能优化1. 高级使用场景1.1. 数据分页加载示例:分页加载 1.2. 使用 Loader 实现异步加载示例:使用 CursorLoader 加载数据 1.3. ContentProvider 与权限管理示例&#xff1…

【工具】轻松转换JSON与Markdown表格——自制Obsidian插件

文章目录 一、插件简介二、功能详解三、使用教程四、插件代码五、总结 一、插件简介 JsonMdTableConverter是一款用于Obsidian的插件,它可以帮助用户在JSON格式和Markdown表格之间进行快速转换。这款插件具有以下特点: 轻松识别并转换JSON与Markdown表格…