【慎入】如何偽造 Email ，騙取廠商貨款 (第4頁)

Ricado

Ricado
個人積分：7204分
文章編號：61194325

7204分

樓主

2016-08-05 14:11

yoyo0719 wrote:
有會計可以因為一封email就敢換帳號匯錢

這真的連最基本的警覺心和標準流程都沒有

個人覺得這反而是最該打屁股的

最誇張的是，被詐騙的人沒事，被詐騙一方的資訊部門也沒是，只把責任推給被偽冒的公司。

被偽冒的公司，把責任推給委外服務的系統商，沒有幫它們把 mail server 管好。
委外服務的系統商找來資安專家，資安專家說是 mail server 被駭。
委外服務的系統商把責任推給軟體公司，說是軟體的漏洞。

竟然沒有人去追究：
1. 會計人員的行政疏失責任
2. 資訊人員建立個無人使用的真實信箱，還用了一猜就中的密碼。

收件的一方 100% 的責任，卻可以一路把責任推到和整個詐騙流程完全沾不上邊的軟體公司身上。
不過就是找個人背黑鍋好！

本生物已配置全天候戰鬥系統~ 手機不通、Skype 離線時，請託夢，或留言！

saber11

saber11
個人積分：344分
文章編號：61195477

344分

32樓

2016-08-05 15:38

看來樓主是雷X軟體公司的人XD

台灣公司太不注重資安了
連內控都亂七八糟才會整天出這種包
想不到連資安公司都如此不專業
連發生的原因都分析不出來
還亂牽扯無辜受害者
根本也是一起出來騙錢的

信件標頭不知道在哪?
要怎麼分析出信件是假的

Ricado

Ricado
個人積分：7204分
文章編號：61195661

7204分

樓主

2016-08-05 15:53

saber11 wrote:
看來樓主是雷X軟體公司的人

不是喔！

我們公司軟體產品線滿多的。

也承接很多大企業和金融業的專案。

saber11 wrote:

想不到連資安公司都如此不專業

不是資安公司不專業，而是資安顧問不一定來自資安公司。

有些號稱資安公司，其實只是幫您搞資安認證的，本身並非搞技術的。

我自己承接過的一個案子，客戶要申請 ISO 27000 的認證，所以要我們幫忙開發一些資安、加密的系統。其中有支工具是客戶要提供給他們客戶加密檔案用的。

因為交換的檔案很大，所以我們就用 AES256 對稱性加密。後來資安顧問就說，為什麼加密和解密的密碼一樣，不是應該客戶加密的密碼和我們解密的密碼不一樣嗎？我就問他是不是要使用 PKI、非對稱加密。不是什麼 PKI 啦，就是兩邊密碼不可以一樣。

兩邊密碼不一樣，然後又不是非對稱加密，到底是什麼？

後來還是想辦法完成他的願望，不然他不簽，客戶無法申請認證。

當然，即使來自資安公司，由於市場需求大，人力不足的結果，也造就很多【訓練有素】的資安顧問。

另外有的資安顧問其實是 Sales，他只想賣軟體，所以一定講得很恐怖，一定要購買他們的產品服務才能解決。

本生物已配置全天候戰鬥系統~ 手機不通、Skype 離線時，請託夢，或留言！

k62000

k62000
個人積分：1615分
文章編號：61198626

1615分

34樓

2016-08-05 20:42

偽造的Email 在收件端佈署SPAM等過濾Email應該可以察覺問題信件吧？
我想被騙的公司可能連這些過濾防禦都沒有。

我的Gmail信箱，常常有各種偽造釣魚郵件，
不過Google都會把他們歸入垃圾郵件，有的還會標示來源懷疑非來自寄信位址。
也有收過收件人跟寄件人都是我自己Email的信件，全都被Google幫我濾掉了。

Adoker

Adoker
個人積分：4分
文章編號：61199081

4分

35樓

2016-08-05 21:31

HOPE000 wrote:
一堆公司都不設PTR...(恕刪)

只能說國情不同。
我這裡是 reject 個幾次後，對方就乖乖去加 PTR 反解。
不然如果收件方用的是 Gmail，寄件方難道還能逼 Google 停用嗎?

Adoker

Adoker
個人積分：4分
文章編號：61199143

4分

36樓

2016-08-05 21:37

Ricado wrote:
這一太麻煩了，直接...(恕刪)

只是舉例罷了，並沒說是最好的方法。
會舉這個例子也只是順著我回覆的那位的留言。
ISP 的 mail server 其實也不是最好的方法。
像我這裡，全國前兩大 ISP 的 mail server 都在 O365 跟 G-apps 的黑名單上。

HOPE000

HOPE000
個人積分：174分
文章編號：61200287

174分

37樓

2016-08-05 23:31

k62000 wrote:
偽造的Email ...(恕刪)

技術上來說這問題一點也不難處理，有設PTR哪怕被人仿冒詐騙
但實際上根本沒多少公司能照規矩來，一切都是便宜行事

casio2800 wrote:
這句話真是道出MAIL...(恕刪)

大家都是有苦難言阿

Adoker wrote:
只能說國情不同。我...(恕刪)

試過通知客戶去修改但都不配合阿 ... 只會回說寄別人他們都收的到就我們家收不到 !@#$%^&

台灣一堆中小企業根本沒IT人員都是丟給外包維護，就算有IT也別指望能力有多強
沒事就當吉祥物一出事就Call SI處理，DNS跟ISP那補個PTR能有多難阿 !?!?!

System Engineer

Adoker

Adoker
個人積分：4分
文章編號：61205145

4分

38樓

2016-08-06 15:16

HOPE000 wrote:
試過通知客戶去修改但都不配合阿 ... 只會回說寄別人他們都收的到就我們家收不到 !@#$%^&
台灣一堆中小企業根本沒IT人員都是丟給外包維護，就算有IT也別指望能力有多強
沒事就當吉祥物一出事就Call SI處理，DNS跟ISP那補個PTR能有多難阿 !?!?!...(恕刪)

我們這裡也是一堆中小企業都丟給外包維護。
你的問題其實已經不算技術問題，算是人的問題。
我們公司有提供外包 IT 服務，還好我們的客戶都蠻支持我們的，所以還沒遇過要求我們關閉 PTR 檢查的客戶。

面對不願配合的，我在業界的朋友用過比較黑暗的手法就是私底下針對他們老闆的信箱做 backscatter 攻擊。
一般不用多久就會去加 PTR 反解。

Ricado

Ricado
個人積分：7204分
文章編號：61225052

7204分

樓主

2016-08-08 16:26

一再強調，問題點是出在收件端。
1. 信件被盜收而不知。
2. 收到假冒的信件未經確認。

當然，寄件端是可以強化一些做法，以捍衛清白。

前面有幾位大大多次建議使用 PTR，但是 PTR 實施確實有些困難。
1. PTR 必須去 ISP 做變更，不是所有 ISP 的設定都那麼方便。
2. 郵件代管服務，包括 Gmail App for your domains，IP 反解的結果，並不是寄件者的網域，例如 Gmail App for your domains PTR 對應的是 google 的 domain

其中第二點要看啟用這項過濾機制的 mail server 是在哪一個階段做。

有的是在 EHLO/HELO 階段做，這一部分只要確認 EHLO/HELO 宣告的主機名稱和 PTR 對應的名稱是否相符即可。和寄件者的網域名稱完全無關，所以即使啟用依然無法過濾冒名寄信問題。

有的是在 MAIL FROM 的階段做，這階段就是依據寄件者的網域名稱比對 PTR 對應的主機名稱。這個做法又分兩部分。
1. 直接使用網域名稱比對。App for your domains 就無法通過
2. 查詢 MX 之後再比對。 App for your domains 可以通過

目前 PTR 大多用來過濾浮動 IP ，較少用來過濾冒名的信件。
過濾偽冒網域的做法，主流有兩種：
1. SPF/Sender-ID
2. DKIM
這兩種技術都是指定某個網域的信件只能有哪些伺服器寄出的技術，各有擁護者。

以下是我用公司的 Mail 寄到 Gmail 信箱所檢視的郵件標頭範例。這些標投資料都是必須發布到 DNS Server，收件端直接透過 DSN 查詢所取得。

SPF 可以參考：http://www.openspf.org/
DKIM 可以參考：DKIM.org

本生物已配置全天候戰鬥系統~ 手機不通、Skype 離線時，請託夢，或留言！

Lavender Coffee

Lavender Coffee
個人積分：5933分
文章編號：61277408

5933分

40樓

2016-08-13 0:28

Ricado wrote:
**********...(恕刪)

但你發出去MAIL 寄送的IP 不會是原寄件 IP 吧?

鮮少有人會去查看 MAIL 原始檔.......

X-Originating-IP: