英國的電子郵件管理業者Mimecast本周揭露了一項新的Ropemaker郵件攻擊手法,允許駭客自遠端變更使用者已收到的郵件內容,例如以惡意連結置換原本的連結,或是竄改郵件中的文字。

Ropemaker為Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky的縮寫,它攻擊的不是傳送中的郵件,而是已寄送到使用者信箱中的郵件,利用的是串接樣式表(Cascading Style Sheets,CSS)、HTML與超連結等網路技術。

Mimecast解釋,Ropemaker利用了CSS可分離內容與格式的特性,一個CSS檔案可能存放在本地端或是遠端,想像若有駭客傳送一個基於遠端CSS的郵件到受害者信箱中,原本的信件內容是無害的,已通過郵件或企業的安全檢測,但卻可在郵件抵達之後,藉由遠端CSS改變郵件所呈現的內容。

Mimecast展示了兩種皆是利用遠端CSS展開攻擊的方法,其中的Switch Exploit是直接置換了郵件中的連結,另一個Matrix Exploit則是在郵件中嵌入ASCII碼,再利用遠端的CSS來控制受害者可於郵件中見到的內容,後者因未任何連結,因此更難被防堵。

儘管迄今市場上尚未出現Ropemaker攻擊,但Mimecast已證實此一手法可危及大多數受歡迎的電子郵件客戶端與網路電子郵件服務。

2017/8/25更正啟事:攻擊手法正確誤植,正確名稱應為Ropemaker,內文已更正。


Advertisement

更多 iThome相關內容