文章关键词：电子数据取证、邮件取证、电脑取证

一、前言

在数字化时代，电子邮件已成为我们日常生活和工作中不可或缺的一部分。然而，随着技术的不断发展，网络钓鱼邮件这一威胁也日益猖獗，对个人隐私、企业安全乃至国家安全构成了严峻挑战。网络钓鱼邮件通过伪装成来自可信来源的邮件，诱骗收件人点击恶意链接、下载附件或泄露敏感信息，从而达到非法获取利益的目的。

本文旨在提供一份实用的网络钓鱼邮件取证指南，从识别技巧到追踪方法，帮助读者增强防范意识，掌握取证技能，以应对日益复杂的网络威胁。

二、网络钓鱼邮件基础

钓鱼邮件的核心在于社会工程学和技术手段的结合。攻击者首先通过伪造可信机构的邮件，设计诱人的主题和内容，吸引用户点击邮件中的链接或下载附件。链接通常指向伪装成合法网站的钓鱼网站，诱导用户输入敏感信息如用户名、密码或信用卡信息。这些信息一旦被输入，攻击者即可获取并利用。附件则可能包含恶意软件，一旦下载并运行，恶意软件会感染用户设备，窃取数据或控制系统。

为了提高邮件的可信度，攻击者会利用邮件系统中存在的漏洞，通过伪造邮件头信息、设置钓鱼服务器等手段，使钓鱼邮件看起来更真实，难以识别。这就要求用户和安全系统在邮件过滤和检测上更加严格，同时加强安全教育，提高用户对钓鱼邮件的识别能力。

钓鱼邮件结合了技术漏洞和心理攻击，是一种高效的网络攻击手段。理解其原理和工作方式，有助于采取有效的防御措施，保护个人和企业的网络安全。通过合理配置和使用SPF、DKIM和DMARC等邮件安全协议，可以大大降低钓鱼邮件的威胁，提升邮件系统的安全性。

三、识别技巧

网络钓鱼电子邮件如此狡诈的原因之一是，它们经过精心设计，看起来是合法的，而且遗憾的是，它们常常能够取得成功。有时，很难辨别真实的邮件和网络钓鱼企图。通常，以下特征在网络钓鱼电子邮件中十分常见，应引发危险信号：

1、附件或链接

2、拼写错误

3、语法糟糕

4、不专业的图像

5、不必要地催促您立即验证电子邮件地址或其他个人信息

 

四、初步响应与证据收集

在应对网络钓鱼邮件的初步响应与证据收集阶段，以下是一些关键的步骤和策略。

4.1 初步响应

1、立即停止操作：一旦怀疑收到网络钓鱼邮件，首先应立即停止所有与该邮件相关的操作，包括不点击邮件中的任何链接、不下载任何附件、不回复邮件等。

2、隔离设备：如果邮件已在计算机或移动设备上打开，并且怀疑设备可能已受到感染，应立即将该设备从网络中隔离，以防止恶意软件进一步传播。

3、报告给相关部门：立即向企业的网络安全团队或IT部门报告可疑邮件，以便他们采取进一步的调查和处理措施。

4、通知其他用户：如果认为该网络钓鱼邮件可能已发送给组织内的其他用户，应尽快通知他们，并提醒他们不要点击邮件中的链接或下载附件。

4.2 证据收集

1、保存邮件：将可疑邮件作为证据保存下来，包括邮件的完整内容、发件人信息、邮件头信息等。这些信息在后续的调查和分析中可能会非常有用。

2、截图：对邮件中的关键部分进行截图，特别是那些看起来异常或可疑的部分，如拼写错误、语法错误、不合逻辑的请求等。

3、收集系统日志：如果怀疑设备已受到感染，应收集相关的系统日志，这些日志可能包含有关恶意软件如何进入系统的线索。

4、分析邮件头信息：邮件头信息包含了邮件的传输路径和发送者的详细信息。通过分析这些信息，可以追踪邮件的来源，并确定邮件是否真的是来自声称的发件人。

5、使用专业工具：可以使用专业的网络安全工具来分析和检测邮件中的恶意内容，如反病毒软件、反钓鱼软件等。这些工具可以帮助识别邮件中的恶意链接、附件和伪装手法。

6、记录详细信息：记录所有与可疑邮件相关的信息，包括时间、日期、邮件主题、发件人地址、邮件内容摘要等。这些信息对于后续的调查和报告非常重要。

五、深入追踪与分析

5.1 邮件头信息分析

通过查看完整的邮件头，可以跟踪一个电子邮件地址发送者。由于完整的邮件标题充满了技术数据和一些无用信息，多数电子邮件客户端不显示其作为标题。但大多数的电子邮件客户端都提供了一种查看完整的电子邮件标题的途径。这些信息正是至关重要的跟踪邮件的来源。

Gmail：打开您的 Gmail 账户——打开要跟踪的电子邮件——点击右上角的「更多操作」按钮——在弹出菜单中选择「显示原始邮件」。

Microsoft Outlook：打开您的 Outlook 邮箱账户——打开要跟踪的电子邮件——点击「文件」菜单——打开「属性」选项——在弹出的「属性」窗口中可以看到「Internet 邮件头」内容。

QQ 邮箱：打开您的 QQ 邮箱账户——打开要跟踪的电子邮件——点击右上角的「向下箭头」按钮——在展开的选项中选择「显示邮件原文」。

电子邮件标题行有很多的信息，每行的具体意义如下：

Reply-To：发送回复的电子邮件地址。

From：显示邮件发件人，很容易伪造。

Content-Type：告诉您的浏览器或电子邮件客户端如何解释电子邮件的内容。最常见的字符集是UTF-8 和ISO-8859-1。

MIME-Version：声明正在使用的电子邮件格式标准。MIME-Version版本通常为1.0。

Subject：电子邮件的主题内容。

To：电子邮件的收件人地址，可能会显示其他地址。

DKIM-Signature：DomainKeys Identified Mail对发送电子邮件的域进行身份验证，并应防止电子邮件欺骗和发件人欺诈。

Received：「Received」行从下往上列出了电子邮件在到达收件箱之前所经过的每个服务器。

Authentication-Results：包含了执行过身份验证检查的记录，可以包含多个身份验证方法。

Received-SPF：发件人策略框架（SPF）构成电子邮件的一部分。

Return-Path：非发送或退回邮件最终的地址。

电子邮件原始发件人的信息也藏在这一行行文字中。要跟踪原始电子邮件发件人的 IP 地址就在完整电子邮件标头中的第1个Received，除第1 个「Received」外，还有发送电子邮件的服务器的IP地址。有时，显示为 X-Originating-IP 或 Original-IP。

5.2 附件与链接安全分析

1、附件分析

把附件临时人员xxx.zip下载下来，使用file命令，判断文件类型。

010验证，发现确实为zip文件，且其中包含了以exe结尾但docx字段进行迷惑的文件。

放到微步云沙箱进行静态动态分析，发现该可执行文件在执行的过程中会对一个外部IP发起网络连接，得到ip。

对该IP的开放端口进行扫描，可以看到该IP开启了许多端口

该可执行程序访问的是45234端口，具体的URL是http://IP:45234/VVXY。使用curl对URL请求数据，发现是一堆乱码，应该是加密数据。

通过浏览器访问3333端口，是一个gophish钓鱼管理后台。

访问5003端口，是一个灯塔资产管理平台，这次使用默认的用户名密码登录成功。

访问1022端口，发现一个SQLI-LABS。可通过漏洞利用getshell。

六、总结

法律与合规性提示

在网络钓鱼邮件取证过程中，务必遵守相关法律法规，尊重个人隐私和数据保护原则。处理敏感信息时，应采取适当的脱敏和保护措施，确保数据安全和合规性。读者需谨慎操作，避免侵犯隐私权，确保所有取证活动在法律允许的范围内进行。