V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
WhyLiam
V2EX  ›  问与答

收到的邮件内容被篡改了

  •  3
     
  •   WhyLiam · 2017-07-02 01:50:36 +08:00 · 7499 次点击
    这是一个创建于 2727 天前的主题,其中的信息可能已经有所发展或是发生改变。

    朋友最近在和国外的合作伙伴发邮件时,发现邮件内容被修改了。

    涉及金钱交易的邮件内容都被修改。

    1. 朋友需要给合作伙伴汇款的时候,发现合作伙伴发来的邮件中的汇款账户被修改了。
    2. 合作伙伴需要给朋友退款的时候,发现朋友的退款账户被修改了。
    3. 后来朋友他们发现了假邮件这件事,合作伙伴给朋友发了一封标注假邮件的邮件,内容还是被修改了。

    我询问后发现

    1. 邮件的地址都是正确的
    2. 邮件没有被转发或代发
    3. 没有用第三方的工具发邮件
    4. 都是有目的性地修改了部分信息,邮箱里没有发送的原邮件
    5. 朋友用的是网易,合作伙伴不清楚什么邮箱

    我现在也不知道是什么问题,朋友现在都不敢再发邮件了。

    这是被中间人攻击了吗?这种问题应该怎么防范呢?

    第 1 条附言  ·  2017-07-02 21:14:09 +08:00
    我相信网易应该是不会做这种(不可描述的)事情的
    应该也不是内鬼,因为双方的邮件都被修改了,除非双方都有内鬼。。。

    我朋友从事的不是互联网行业,也只是十来个人的团队,对互联网本来就不敏感,用网易什么的也都是情有可原的事情
    大家都推荐 PGP/GnuPG,感觉对非互联网的朋友确实是有点难度,要让他和所有合作伙伴都用 PGP/GnuPG,估计生意都不用做了。我只能尽量把其中的办法和他讲清楚,至于以后怎么处理就看他自己了。

    在这谢谢大家了!
    24 条回复    2017-07-03 10:15:05 +08:00
    edsheeran
        1
    edsheeran  
       2017-07-02 01:52:25 +08:00
    GPG
    virusdefender
        2
    virusdefender  
       2017-07-02 01:53:19 +08:00 via iPhone
    邮件数字签名证书
    chantan
        3
    chantan  
       2017-07-02 03:18:22 +08:00 via Android
    商业的竟然用网易邮箱。。。换 protonmail 吧
    AstroProfundis
        4
    AstroProfundis  
       2017-07-02 03:35:10 +08:00
    对于一般意义的邮件来说,PGP/GnuPG 是标准答案,但看了楼主最后的说明感觉...
    嗯...打印出来亲自跑一趟吧...
    Perry
        5
    Perry  
       2017-07-02 04:28:12 +08:00 via iPhone
    用附件发
    misaka20038numbe
        6
    misaka20038numbe  
       2017-07-02 06:43:34 +08:00
    对邮件内容进行只有你们两人知道的加密方式进行加密
    artandlol
        7
    artandlol  
       2017-07-02 06:57:35 +08:00 via Android
    不排除内部人员做得手脚
    发邮件最好不要用客户端
    最好使用加密邮
    rssf
        8
    rssf  
       2017-07-02 07:19:12 +08:00 via iPhone
    附件发 pdf,加证书验证
    yylzcom
        9
    yylzcom  
       2017-07-02 07:21:53 +08:00 via Android
    我们公司客户的邮件也有这样的,从当时的案例看,肯定当中有一方被窃取了密码,及没有使用好的邮件服务商(不验证 SPF,异常登录没有提醒)

    当时的是客户方的邮箱被窃取,伪造了一个我司的邮箱 xxxchem.com 替换成 xxxchen.com, xxxchen.com 并没有被注册,是用伪造发件人的形式发送到邮件。我司发送的邮件应该是通过收件规则被转发并删除,然后黑客马上伪造一封邮件给客户。


    不排除现在的技术越来越高明,自动替换邮件内容,还有越来越高明的钓鱼域名(但是如果这样,显然成本太高且针对性太强,建议检查邮件 SPF 记录,发送到服务器 IP 地址基本就可以搞清楚哪方面的问题了)

    https://www.v2ex.com/t/355174?p=3
    lun10439547
        10
    lun10439547  
       2017-07-02 07:35:40 +08:00
    修改后谁会获益,明显就是最大的嫌疑了!
    sloppysop
        11
    sloppysop  
       2017-07-02 08:38:54 +08:00 via Android
    2013 年我们老板的网易邮箱被盗,后来查出异地登录在尼日利亚,改了一封邮件里的收款账号,从工行改成英国劳埃德银行。还好客户跟我们比较熟,觉得不对打电话问了一下,才没有汇款过去。老板是客户提醒之后才查网易邮箱的登录历史记录的,发现好多邮件被丢进了垃圾箱,在尼日利亚登录好多次。现在我们用腾讯的企业邮箱了。
    kuretru
        12
    kuretru  
       2017-07-02 09:05:39 +08:00 via iPhone
    我爸的同事就遇到这事,被骗 80w
    kmahyyg
        13
    kmahyyg  
       2017-07-02 09:36:54 +08:00 via Android
    放弃网易,改用 2fa+gmail
    htfy96
        14
    htfy96  
       2017-07-02 09:41:54 +08:00 via Android
    用 gmail+gpg 签名不加密向 qq 邮箱发邮件,会发现收到的签名不一致
    zjqzxc
        15
    zjqzxc  
       2017-07-02 09:57:11 +08:00
    讲真,如果真的是被中间人攻击了。。已知的加密手段,基本上对于中间人攻击都是无能为力的。。

    最终可能还是两个互相认识的人打电话确认重要信息(或信息摘要)比较靠谱
    至少目前来看,对于语音通信实施的实时中间人攻击还存在技术难度
    imn1
        16
    imn1  
       2017-07-02 10:00:50 +08:00
    网易公关这么好?之前一次都没听说过这种事
    zsj950618
        17
    zsj950618  
       2017-07-02 11:08:46 +08:00 via Android
    商业标准答案是 smime,如果是 Windows 并用 outlook 可以很好的集成
    andy040322
        18
    andy040322  
       2017-07-02 11:11:05 +08:00 via iPhone
    这么恐怖,以前还没听说过
    Showfom
        19
    Showfom  
       2017-07-02 11:47:51 +08:00
    居然用网易。。。。
    paradoxs
        20
    paradoxs  
       2017-07-02 11:50:30 +08:00
    呵呵 QQ 发还安全点 至少没 QQ 没办法被改
    wql
        21
    wql  
       2017-07-02 11:57:08 +08:00 via Android
    还是用 GPG 或者 SMIME 签名一下吧,网易这个无解的
    wevsty
        22
    wevsty  
       2017-07-02 12:01:34 +08:00
    我相信网易这种服务商是不会针对邮件内的付款账户进行修改的,如果这方面有证据是网易干的,可以直接报警,起诉索赔。
    针对楼主的问题。
    需要先诊断一下究竟是伪造邮件还是真的产生了替换现象,这个最好从收件方导出 eml 文件看一下邮件头的有关内容。
    如果是真的产生了替换的现象,那么建议楼主使用 smime 或者 GPG 的签名方案来保证邮件内容不会被非法替换。
    honeycomb
        23
    honeycomb  
       2017-07-02 15:12:01 +08:00 via Android
    gnupg
    ender049
        24
    ender049  
       2017-07-03 10:15:05 +08:00
    这种情况很多,有团队就是做这种的,就是针对和国外的交易的。
    DNS,邮件服务商,账号等多种情况都有
    加密,签名,安全意思要注意
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3328 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:57 · PVG 19:57 · LAX 03:57 · JFK 06:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.