垃圾邮件和网络钓鱼是常见的社会工程攻击。在社会工程中，网络钓鱼攻击媒介可以是电话、短信或电子邮件。正如您应该已经猜到的那样，我们的重点是将电子邮件作为攻击媒介。

在这篇文章中，我们将深入探讨网络钓鱼分析基础知识室中介绍的核心概念和练习

网络钓鱼是一种严重的攻击媒介，作为防御者，您必须防御它。

许多产品有助于打击垃圾邮件和网络钓鱼，但实际上这些电子邮件仍然可以通过。当他们这样做时，作为安全分析师，您需要知道如何分析这些电子邮件以确定它们是恶意的还是良性的。

电子邮件地址

在这个房间的开头，提到发明电子邮件概念并使@符号出名的人是再合适不过的了。负责为我们的沟通方式做出贡献的人是雷·汤姆林森。

相关教程

linux文件系统存储与文件过滤安全开发视频教程

其它相关课程

linux高级usb安全开发与源码分析视频教程

linux程序设计与安全开发

• 恶意软件开发

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 

• 更多详细内容添加作者微信

电子邮件的发明可以追溯到 1970 年代的 ARPANET。是的，可能在你出生之前。

电子邮件地址通常由三个主要部分组成：

1. 本地部分 📧 ：
— 这是电子邮件地址中@符号之前的部分。
— 它通常表示收件人的用户名或邮箱。
— 示例包括：john.doe、contact、info。

2. @ 符号 ✉️ ：
— 此符号将本地部分与域部分分开。
— 它是所有电子邮件地址中的标准分隔符。

3. 域名部分 🌐 ：
— 这是电子邮件地址中@符号后面的部分。
— 它通常包括域名和顶级域名 （TLD）。
— 示例包括：example.com、university.edu、company.org。

将这些组件放在一起，典型的电子邮件地址如下所示：[email protected]。例如，在电子邮件地址中 [email protected]：
- john.doe 是本地部分。
- @ 是分隔符。
- example.com 是域部分。

电子邮件可以追溯到什么时间范围？

答案——1970年代

电子邮件传递

涉及三个特定的协议来促进传出和传入电子邮件。

1. SMTP — 处理电子邮件的发送

2. POP3 — 在客户端和邮件服务器之间传输电子邮件

3. IMAP — 在客户端和邮件服务器之间传输电子邮件

POP3 和 IMAP 具有相同的定义。但两者之间是有区别的。

POP3的

• 电子邮件下载并存储在单个设备中。

• 发送的消息存储在发送电子邮件的设备上，并由将电子邮件下载到的设备访问。

• 如果要将邮件保存在服务器上，则应启用“将电子邮件保留在服务器上”选项，否则一旦将其下载到单个设备应用程序或软件，它就会被删除

IMAP的

• 电子邮件存储在服务器中，可以下载到多个设备。

• 发送的消息始终存储在服务器中。

• 消息可以在多个设备之间同步和访问。

以下是上图中每个编号点的说明：

1. Alexa 在她最喜欢的电子邮件客户端中撰写了一封给 Billy （） 的电子邮件。完成后，她点击发送按钮。[email protected]

2. SMTP 服务器需要确定将 Alexa 的电子邮件发送到何处。它向 DNS 查询与 关联的信息。johndoe.com

3. DNS 服务器获取信息并将该信息发送到 SMTP 服务器。johndoe.com

4. SMTP 服务器通过 Internet 将 Alexa 的电子邮件发送到 Billy 的邮箱。johndoe.com

5. 在此阶段，Alexa 的电子邮件通过各种 SMTP 服务器，最终中继到目标 SMTP 服务器。

6. Alexa的电子邮件终于到达了目标SMTP服务器。

7. Alexa 的电子邮件已转发，现在正坐在本地 POP3/IMAP 服务器中等待 Billy。

8. Billy 登录到他的电子邮件客户端，该客户端向本地 POP3/IMAP 服务器查询其邮箱中的新电子邮件。

9. Alexa 的电子邮件被复制 （IMAP） 或下载 （POP3） 到 Billy 的电子邮件客户端。

哪个端口被归类为 SMTP 的安全传输？

Tryhackme 应该更新这个问题的答案，出于安全考虑，端口号 465 不再使用。

正确答案 — 465

哪个端口被归类为 Secure Transport for IMAP？

正确答案 — 993

哪个端口被归类为 POP3 的安全传输？

正确答案 — 995

电子邮件标题

电子邮件的语法称为 Internet 邮件格式 （IMF）。

电子邮件分为两部分

• 电子邮件标头，它存储有关电子邮件的信息，例如中继电子邮件的电子邮件服务器

• 电子邮件正文是文本或 HTML 格式的文本。

让我们从以下电子邮件标题字段开始：

1. 发件人 — 发件人的电子邮件地址

2. 主题 ― 电子邮件的主题行

3. 日期 ― 发送电子邮件的日期

4. 收件人 — 收件人的电子邮件地址

获取相同电子邮件标题信息的另一种方法是查看“原始”电子邮件详细信息。

还有其他感兴趣的电子邮件标题字段。

1. X-源 IP发送电子邮件的 IP 地址（这称为 X 标头)

2. Smtp.mailfrom/header.from — 发送电子邮件的域（这些标头位于 Authentication-Results 中)

3. 回复 — 这是回复电子邮件将发送到的电子邮件地址，而不是发件人电子邮件地址

需要澄清的是，在上面示例中的电子邮件中，发件人是 [email protected] 的，但如果收件人回复电子邮件，则响应将转到 [email protected]，即回复，而不是 [email protected]。

查找原始发件人

查找原始发件人的最简单方法是查找 X-Originating-IP 标头。此标头很重要，因为它告诉您发送电子邮件的计算机的 IP 地址。如果找不到 X-Originating-IP 标头，则必须筛选 Received 标头以查找发件人的 IP 地址。在上面的示例中，原始 IP 地址为 10.140.188.3。

找到电子邮件发件人的 IP 地址后，您可以在 http://www.arin.net/ 搜索它。现在应该为您提供结果，让您知道 IP 地址属于哪个 ISP（互联网服务提供商）或虚拟主机。现在，如果您正在跟踪垃圾邮件，则可以向原始 IP 地址的所有者发送投诉。在提出投诉时，请务必包含电子邮件的所有标题。

源

以下是媒体模板中关于如何分析电子邮件标题的附加资源，必须阅读涵盖多个维度👇🏻的文章

• https://web.archive.org/web/20221219232959/https://mediatemple.net/community/products/all/204643950/understanding-an-email-header

注意：以下问题基于媒体模板文章。

什么电子邮件标题与“回复”相同？

正确答案 — 返回路径

找到电子邮件发件人的 IP 地址后，在哪里可以检索有关该 IP 的更多信息？

正确答案 — http://www.arin.net

电子邮件正文

它包含发件人希望您查看的文本。

下面是纯文本电子邮件的示例。

下面是 HTML 格式电子邮件的示例。

上面的电子邮件包含一个图像（被电子邮件客户端阻止）和嵌入的超链接。HTML 使添加成为可能。

以下示例是来自“Netflix”的带有附件的 HTML 格式电子邮件。Web 客户端是 Yahoo！

1. 电子邮件正文包含图像。

2. 电子邮件附件是 PDF 文档。

现在让我们在源代码中查看此附件

从上面的例子中，我们可以看到与此附件关联的标题：

• Content-Type 为 application/pdf。

• Content-Disposition 指定它是一个附件。

• Content-Transfer-Encoding 告诉我们它是 base64 编码的。

使用 base64 编码的数据，您可以对其进行解码并将其保存到您的机器中。

与附件交互时，请谨慎操作，并确保不会意外双击电子邮件的附件。

特定于“内容”的标头可以在电子邮件源代码中的不同位置找到，并且它们不仅与附件相关联。例如，Content-Type 可以是 text/html，而 Content-Transfer-Encoding 可以具有其他值，例如 8bit。

在上面的屏幕截图中，被阻止图像的 URI 是什么？

正确答案 — https://i.imgur.com/LSWOtDI.png

在上面的屏幕截图中，PDF附件的名称是什么？

正确答案 — Payment-updateid.pdf

在连接的虚拟机中，查看email2.txt中的信息，并使用 base64 数据重建 PDF。PDF 中的文本是什么？

您可以将其粘贴到机器本身的.txt文件中，也可以通过那里对其进行解码

base64 — 解码encoded.txt

正确答案 — THM{BENIGN_PDF_ATTACHMENT}

网络钓鱼的类型

1. 电子邮件网络钓鱼📧：看似来自合法来源的欺诈性电子邮件，用于窃取个人信息。

2. 鱼叉式网络钓鱼🎯：针对特定个人或组织的有针对性的网络钓鱼攻击。

3. 捕鲸🐋：针对高管等知名人士的鱼叉式网络钓鱼攻击。

4. 短信钓鱼 📱 ：通过短信进行的网络钓鱼尝试。

5. 网络钓鱼📞：通过语音通话或语音邮件进行的网络钓鱼。

6. 克隆网络钓鱼 📝 ：使用恶意链接或附件复制合法电子邮件。

7. 钓鱼者网络钓鱼🐟：利用社交媒体平台引诱受害者泄露个人信息。

8. HTTPS网络钓鱼🔒：使用HTTPS看起来安全可信的虚假网站。

9. 域欺骗 🌐 ：将用户重定向到模仿合法网站的欺诈网站。

10. CEO欺诈👨 💼：冒充CEO或高管诱骗员工转移资金或敏感数据。

以下是网络钓鱼电子邮件的典型特征：

• 发件人电子邮件名称/地址将伪装成受信任的实体（电子邮件欺骗）)

• 电子邮件主题行和/或正文（文本）是以紧迫感编写的，或者使用某些关键字，如发票、暂停等。

• 电子邮件正文 （HTML） 旨在匹配信任实体（如 Amazon）

• 电子邮件正文 （HTML） 的格式或书写不佳（与上一点相反）

• 电子邮件正文使用通用内容，例如亲爱的先生/女士。

• 超链接（通常使用URL缩短服务来隐藏其真实来源）

• 冒充合法文档的恶意附件

温馨提示：在处理超链接和附件时，您需要注意不要意外点击超链接或附件。

超链接和 IP 地址应“去”。去粉碎是一种使 URL/域或电子邮件地址无法点击以避免意外点击的方法，这可能会导致严重的安全漏洞。它将特殊字符（如电子邮件中的“@”或 URL 中的“.”）替换为不同的字符。例如，高度可疑的域 http://www.suspiciousdomain.com 将更改为 hxxp[：//]www[.]可疑域[.]com，然后将其转发给 SOC 团队进行检测。

这封电子邮件伪装成哪个受信任的实体？

主题行将揭示答案

只有 “？” 和 “？” 之间的文本在 base64 中，因此仅解码

UTF-8 编码后面的“B”表示它是 base64 编码的，因此您可以通过 cyberchef 或直接通过终端对其进行解码。

正确答案 — 家得宝

发件人的电子邮件是什么？

正确答案 — [email protected]

主题行是什么？

同样，解码主题行。

正确答案 — 已下单：您的订单 ID OD2321657089291成功下单

URL 链接的用途是什么 — 点击这里？（输入已取消的 URL）

从文件中的“单击此处”进行搜索。

你现在会问，3D在那里做什么。你可能想读这篇文章。

在 URL 中，当内容已以带引号的可打印格式编码且在插入到 URL 之前未正确解码时，可能会显示此编码。如果遇到 URL，则应将其替换为 以正确解释 URL。=3D=

in URL 是一种称为“带引号可打印编码”的特定类型编码的项目。此编码通常用于电子邮件中，以确保文本在通过非 8 位干净的协议（如 SMTP（简单邮件传输协议））传输时保持不变。=3D

• 该角色被用作转义角色。=

• 3D是字符的十六进制表示形式（因为是 的 ASCII 代码）。=3D=

https://stackoverflow.com/questions/4016067/whats-a-3d-doing-in-this-html

问题提示

您可以从 URL 中删除重复字符。CyberChef 可以帮助您解决这个问题，以及去甲。

正确答案 — hxxp[：//]t[.]泰克贝[.]com/p/？j3=EOowFcEwFHl6EOAyFcoUFV=TVEchwFHlUFOo6lVTTDcATE7oUE7AUET==

在结束这个房间之前，您应该知道 BEC（商业电子邮件入侵）的含义。

BEC 是指攻击者获得对内部员工帐户的控制权，然后使用受感染的电子邮件帐户说服其他内部员工执行未经授权或欺诈的行为。

本模块的下一个房间：网络钓鱼电子邮件 2

什么是BEC？

正确答案 — 企业电子邮件泄露

完成 TryHackMe 上的网络钓鱼分析基础知识室为识别和响应网络钓鱼威胁奠定了坚实的基础。

在那之前，Happy Hacking！

原文始发于微信公众号（安全狗的自我修养）：网络钓鱼分析基础知识