百老汇app登录官网

电子信件发送方的地址欺骗。比如说，电子信件看上去是来自TOM，但事实上TOM没有发信，是冒充TOM的人发的信。

SMTP极其缺乏验证功能，假冒电子邮件进行电子邮件欺骗是不难的。可以使用假冒的发信人的邮件地址，而邮件服务器并不对发信人身份的合法性作任何检查，百老汇app登录官网根本不知道是谁发送了一封这样的邮件，自然邮件的内容也无法保证是可信的了。攻击者使用电子邮件欺骗有三个目的：第一，隐藏自己的身份。第二，如果攻击者想冒充别人，他能假冒那个人的电子邮件。使用这种方法，无论谁接受到这封邮件，他会认为它是攻击者冒充的那个人发的。第三，电子邮件欺骗能被看做是社会工程的一种表现形式。例如，如果攻击者想让用户发给他一份敏感文件，攻击者伪装他的邮件地址，使用户认为这是老板的要求，用户可能会发给他这封邮件。

执行电子邮件欺骗有三种基本方法，每一种有不同难度级别，执行不同层次的隐蔽：

1.相似的电子邮件地址

使用这种类型的攻击，攻击者找到一个公司的老板或者高级管理人员的名字。有了这个名字后，攻击者注册一个看上去像高级管理人员名字的邮件地址。他只需简单地进入hotmail等网站或者提供免费邮件的公司，注册这样一个账号。然后在电子邮件的别名字段填入管理者的名字。百老汇app登录官网知道，别名字段是显示在用户的邮件客户的发件人字段中。因为邮件地址似乎是正确的，所以收信人很可能会回复它，这样攻击者就会得到想要的信息。

当用户收到邮件时，注意到它没有完整的电子邮件地址。这是因为把邮件客户设成只显示名字或者别名字段。虽然通过观察邮件头，用户能看到真实的邮件地址是什么，但是很少有用户这么做。

2.修改邮件客户

当用户发送电子邮件时，没有对发件人地址进行验证或者确认，因此如果攻击者有一个像outlook的邮件客户，他能够进入并且指定他想出现在发件人中的所有地址。

攻击者能够指定他想要的任何返回地址。因此当用户回信时，答复回到真实的地址，而不是回到到被盗用了地址的人那里。

3.远程联系，登录到端口25

邮件欺骗一个更复杂的方法是远程登录到邮件服务器的端口25，邮件服务器使用它在互联网上发送邮件。当攻击者想发送给用户信息时，他先写一个信息，然后单击发送。接下来他的邮件服务器与用户的邮件服务器联系，在端口25发送信息，转移信息。用户的邮件服务器再把这个信息发送给用户。