老铁们,被勒索了,但是想不明白是怎么被黑的,求大佬分析

301 天前
 V392920
今天在清理 163 邮箱的时候,发现了这样一封邮件,是自己发给自己的

正文里写的密码确实是我其他一些账号使用中的密码,但不是我 163 邮箱的密码(163 的密码是 1p 生成管理的),没搞懂是怎么登录我邮箱的(邮箱没有开二次验证,但没看到异常登录)

这是附件 html 中的内容,其中还提到了成人网站(虽然看,但是没注册过,也从来没有用过 163 邮箱与成人网站有关联),按他的说法是入侵了我的设备,我的设备都是苹果,且系统均为最新,不排除他们使用 0day(但是使用 0day 搞个人这种勒索是不是有点鸡肋了呃),实在没想通是怎么登录到我邮箱的,文中提到的我那个密码倒是可能在很多社工库都能查到.求大佬分析一波.
15030 次点击
所在节点    信息安全
58 条回复
V392920
301 天前
@flyhaozi 就是因为他写的密码不是我的邮箱密码,所以我觉得他没登录我的邮箱,但是不知道他怎么做到的发件人是我自己,看起来就像登录我邮箱发的一样
keyfunc
301 天前
@V392920 spf 都没有,正经邮箱不可能用 58866 这种端口,网易不会用 postfix
qianckjuan
301 天前
假邮件可以理解,密码是怎么拿到的呢
keyfunc
301 天前
可以用网易邮箱给其他的发封先,看看原始信息,我记得网易是带 dkim 的
flyhaozi
301 天前
@V392920 邮箱伪造发件人是很容易的,主要还是靠邮箱服务商自己的安全机制,比如发件服务器黑名单之类的来防
V392920
301 天前
@qianckjuan 密码很简单,他拿我这个邮箱去那些社工库查询就能查到,很多免费社工库都可以查到,但这个密码确实是我很多年前使用的(邮箱由于用的比较频繁早就改过密码了)
ho121
301 天前
邮件发件人伪造很容易的,就像伪造 User-Agent 一样容易
littiefish
301 天前
163 邮箱就是大坑
lovedebug
301 天前
这是一种邮件的攻击方式,利用退信机制仿造自己给自己发邮件
mschultz
301 天前
Email spoofing: https://en.wikipedia.org/wiki/Email_spoofing
另,Google 搜索「伪造发件人地址」也有很多科普文章。

所以情况大概是:1.这个邮件是群发的诈骗邮件,可以忽略它; 2.骗子可能用自动化程序,对某个(某些)以前泄露的数据库/社工库里面的邮箱都发了这种勒索邮件; 3.骗子并没有登录你的 163 邮箱,发件地址是伪造的

一些建议:
1.使用密码管理器,不同网站使用不同密码,能开 2FA 的开 2FA
2.除非你现有的 163 邮箱地址已经广泛用于工作或亲友等现实世界通信,暂不好放弃,其他使用场景下建议逐渐换用口碑更好、垃圾邮件识别更有效的邮箱服务,例如 Gmail 。
dya
301 天前
还是要定期更改全部密码。不是有 1password 这个软件帮你管理记住密码吗?然后建议只使用 gmail 或者 outlook 邮箱。这两个是大厂。比国内的大厂要好很多。
InDom
301 天前
@V392920 #14 你看 Received 字段,客户端伪造国外中转。
1d074bfa18d34f6c
301 天前
应该是假的,图 2 解释太多了,真的有料几张截图就好,看起来是个模板
V392920
301 天前
@InDom 确实,那个 ip 是国外的,按理说如果是自己发自己,走 163 的服务器也应该是国内的哈
liuidetmks
301 天前
@flyhaozi edge 怎么泄露的?
syh2
301 天前
多年以前,我的 163 也搜到过类似的邮件, 刚看到的时候愣了一下,后面没有理会, 然后就没有后文了
ClosureEleven
301 天前
不清楚发件人是自己的原理,不过看内容很典型,我在很多地方看到过这种勒索文案,就是伪装自己是个高级黑客吓唬你的(不会有人不看 porn 吧)
Greenm
301 天前
教你怎么伪造:

swaks --body "testmyself" --header "Subject: hello I am you " --attach "You can put." -t "xxxxx@163.com" -f "xxxxx@163.com"

如果用第三方代发的话,还能绕过 SPF ,我就试过用 trump 的邮箱发给我的 gmail ,完全看不出来伪造的。

当然楼上说退信的话也是有可能的。
woody3rd
301 天前
我也收到过,勒索要比特币,无所谓,没搭理
salor
301 天前

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1018377

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX