Hacker News 中文摘要

RSS订阅

谷歌遭DKIM重放攻击仿冒:技术解析 -- Google spoofed via DKIM replay attack: A technical breakdown

原文链接 | HN讨论 | 2025-07-25 16:34:20

文章摘要

文章揭示了通过DKIM重放攻击伪造谷歌邮件的技术细节。攻击者利用合法谷歌地址发送看似真实的邮件,声称执法部门要求访问用户谷歌账户内容。尽管邮件表面无异常,但通过深入分析邮件头和链接,发现其实际为精心设计的钓鱼攻击,强调了在网络安全中保持警惕的重要性。

文章总结

谷歌遭遇DKIM重放攻击:技术解析

今天早上,一位朋友打来电话,显然非常紧张。他刚刚收到一封看似非常真实的电子邮件,不确定这是否安全或是一场骗局,于是向我求助以验证其真实性。

这封邮件声称执法部门已发出传票,要求提取(访问/下载)他的谷歌账户内容。更令人担忧的是,邮件似乎来自一个合法的谷歌“no-reply”地址。表面上,一切看起来都很正常——没有拼写错误,没有奇怪的链接,发件人域名也显得真实。但直觉告诉我,事情并不简单。

深入调查:分析可疑邮件

出于好奇和担忧,我在一个沙盒环境中检查了邮件头和链接预览。表面上,一切似乎都正常:

  • 发件人地址看起来像是官方的谷歌“no-reply”域名
  • 品牌标识语言都非常专业
  • 没有明显的语法问题或可疑附件

然而,随着网络钓鱼活动的日益复杂,我决定深入分析邮件头,检查SPF、DKIM和DMARC的验证结果。这时,问题开始显现。

重要提醒:不要与可疑邮件互动

切勿点击可疑邮件中的链接或遵循其指示,无论它们看起来多么真实。即使打开链接或下载文件,也可能触发恶意脚本或将你重定向到旨在窃取凭据的网络钓鱼网站。如果不确定,请将调查交给专业人士,他们可以在沙盒环境中安全地分析邮件。

谷歌Sites的滥用:信任的基础设施成为威胁

谷歌Sites是谷歌Workspace的一部分,允许任何经过身份验证的用户在sites.google.com域名下创建自定义网站。由于其易用性、零成本和与谷歌产品的原生集成,它被广泛用于内部和公开内容。然而,这种便利性现在被攻击者利用。

攻击者如何通过DKIM重放攻击伪造谷歌邮件

这次攻击被确认为DKIM重放攻击,攻击者通过以下步骤伪造了一封看似来自[email protected]的邮件,并通过了DKIM和DMARC验证,最终送达Gmail收件箱

  1. 攻击者收到一封来自谷歌的合法邮件,并提取并保存了这封邮件,包括邮件头和正文,未修改任何由DKIM签名的内容。
  2. 攻击者准备重放已签名的邮件,利用DKIM签名在邮件转发时通常保持不变的特点。
  3. 攻击者通过Outlook发送伪造的邮件,并通过Jellyfish SMTP和Namecheap的PrivateEmail进行转发。
  4. 邮件最终送达Gmail,看起来像是一封来自谷歌的有效邮件,所有验证检查均显示通过。

虚假传票成为攻击载体

虚假传票邮件尤其危险,因为它们会引发恐惧、紧迫感和困惑。大多数人并不完全了解传票的工作原理,因此当一封邮件看起来正式并提到法律行动时,很容易惊慌失措并点击链接。

总结

始终对意外邮件保持警惕,尤其是那些催促你采取紧急行动或包含登录页面链接的邮件。即使某封邮件看起来像是来自谷歌(或其他可信来源),也不意味着它是安全的。如有疑问,不要点击、不要回复、不要互动,而是将问题升级给安全团队或专业人士,他们可以在安全的沙盒环境中进行调查。

常见问题解答

  • 什么是DKIM重放攻击?
    DKIM重放攻击是指攻击者捕获一封带有有效DKIM签名的合法邮件,并将其重新发送给新的受害者。由于邮件正文和签名头未被修改,DKIM签名仍然有效,使得伪造的邮件看起来真实。

  • SPF或DMARC能否防止DKIM重放攻击?
    不能完全防止。SPF验证的是“MAIL FROM”域名和发送IP,而DMARC依赖于SPF或DKIM与“Header From”的对齐。如果DKIM对齐(如本例中的google.com),DMARC仍可能通过。

  • 如何减少DKIM重放攻击的风险?
    定期轮换DKIM密钥,并提高用户意识,鼓励他们在点击链接时保持谨慎,仔细检查URL,并报告可疑活动。

评论总结

评论内容总结:

  1. 关于邮件路径和DKIM签名的讨论

    • 用户userbinator指出,邮件路径中的“Received:”头信息无法被伪造,因为路径上的服务器会添加自己的信息,这可以用来验证邮件来源。
      • 引用:“AFAIK you can't spoof the path listed in the Received: headers as all the servers on the path will add their own.”
    • 用户shenbomo质疑为什么DKIM签名不包含邮件内容。
      • 引用:“Why DKIM signature doesn't include the content of the email too?”

  2. 关于邮件内容和链接的质疑

    • 用户logifail认为,邮件中的Google Sites链接是明显的危险信号,作者应该立即指出这一点。
      • 引用:“THAT link is the first red flag, and I think the author should say so right there, not three paragraphs later.”
    • 用户moongoose怀疑截图被编辑过,因为Google Sites通常会有明显的Cookie横幅和举报图标。
      • 引用:“The screenshot looks too real, something is off.”

  3. 关于攻击的复杂性和解释难度

    • 用户rvnx称赞发现此漏洞的人非常聪明,且钓鱼邮件能够通过严格的企业过滤器。
      • 引用:“The people who found this exploit are very smart, and the phishing is really convincing + would pass most of the strictest corporate filters.”
    • 用户judge123表示,向非技术人员解释这种风险非常困难,需要更简单的沟通方式。
      • 引用:“how on earth do I explain this risk to my non-technical boss or clients?”

  4. 关于文章结构和误导性内容的批评

    • 用户oefrha批评文章结构混乱,误导读者认为攻击可以发送任意内容,而实际上邮件内容并未被篡改。
      • 引用:“Terrible writing and structuring of the article, burying arguably the most important part of the attack.”
    • 用户charcircuit指出,通过在标题中插入大量文本使邮件看起来像来自Google,这是一个更大的问题。
      • 引用:“This trick of stuffing a huge mass of text into the title of something to make a Google email like this isn’t a new trick.”

  5. 个人经历和感受

    • 用户sandos分享了自己收到类似邮件的经历,表示虽然最终没有点击链接,但当时感到非常害怕。
      • 引用:“I was almost 100% at some point that someone had actually convinced Google I was deceased, and was going to access my entire Google account, talk about scary!”