邮箱发件人地址也可“任意显” “银行邮件”埋木马

银行发来邮件，深信不疑的张先生打开，根据里面的提示，“矫正”银行密码时钟，在两次输入密钥口令后，卡内余额被悉数转走。记者昨日从松江警方获悉，3月以来，上海松江警方接连接到多起此类新型邮件版“任意显”诈骗案件，被害人都是收到了山寨银行邮箱发来的邮件，点击打开嵌入木马的链接后被盗取了密码。警方提醒，收到类似邮件请务必提高警惕，涉及到要求输入卡号、密码的请先致电或前往银行咨询，以免受骗。

“官方邮箱”发来网站链接

3月4日，家住松江的张先生收到了一封某银行的电子邮件，邮件中，银行告知其银行密码时钟有偏移，需要登录网址103.243.25.27:5858/dzmmq/lo－gin校验密码器。张先生仔细核对了发件邮箱，确认和该银行官方邮箱一致后，便放心了。“我想官方邮箱发来的东西是可信的。”张先生按照邮件内的步骤操作，打开了该银行官网，在页面中输入卡号、密码和两次密钥口令，随后发现卡内5413元被转走。

同月，家住松江的徐先生也接到了该银行发来的相似内容的电子邮件，声称其电子密码器运转有问题，需要登录103.243.25.22修改密码。徐先生登录后，输入密钥口令后，发现银行卡内现金被自动转走1218元，随后报警。

昨天记者试图登录103.243.25.22，页面跳转到一个与银行十分类似的主页，网页上要求记者输入卡号、登录密码。但仔细看，实际网址并非该银行官网，但如果市民不仔细辨别，很有可能被相似的页面迷惑。

制造发件人地址“任意显”

3月来，松江公安分局已经接报了多起类似案件。警方调查发现，嫌疑人伪造邮件发件人，伪装成银行官方邮箱骗取被害人信任。经查，伪造的电子邮件内均带有钓鱼网站链接，点击进入网站后，诱骗被害人输入银行卡账号、电子银行登录密码以及电子密码器产生的动态密码等信息。

为何“官方邮箱”发来的邮件内会有非法木马链接？对此，360互联网安全中心的专家给予了解释。“从技术上，利用邮箱本身存在的漏洞，是可以轻易篡改发件人地址的，这在业内并不算什么难事。”360安全专家告诉记者，不法分子利用简单邮件传输协议可以自定义邮件头的特点，设定银行作为发件人信息，从而伪装成官方银行，类似新型邮件版“任意显”。

“由于简单邮件传输协议是一种非常古老的邮件传输协议，上世纪80年代就已经被广泛使用了。它在设计之初并没有对发送方进行身份验证的机制，所以才会出现可以伪造发件人的情况。”专家解释，伪造发件人信息是一种很常见的钓鱼邮件攻击方法，并没有什么技术含量，而且有傻瓜式的黑客工具可以轻松伪造邮件发件人。从专家发来的软件截图可以看到，在该软件中，“伪发件人邮箱”一栏，可以输入任意邮箱地址，邮箱内容则可以随意编写。

［提醒］

360互联网安全中心提醒，目前主流邮箱普遍会对发件人进行反向验证，如果检测到发件服务器和发件人不一致，一般会把这类邮件丢到垃圾箱或进行风险提示。建议用户尽量选择具有较高知名度、安全性比较高的邮箱服务商。如果邮箱服务商并没有自动验证发件人身份的安全机制，用户可以手工操作“查看邮件头”来判断发件人的真实信息。此外，安全专家还建议，用户可使用具有反钓鱼功能的安全软件，多含有查看网站的真实身份的功能，可以避免被钓鱼网站侵害。