一种垃圾邮件获取客户信息的仿真设计与安全对策思考

◆李志刚

（衢州市公安局 浙江 324000）

一种垃圾邮件获取客户信息的仿真设计与安全对策思考

◆李志刚

（衢州市公安局 浙江 324000）

本文尝试仿真设计一种垃圾邮件，客户收信后自动加载图片，能够显示上网真实IP地址、浏览器、移动终端品牌型号、操作系统等重要信息。测试该方法并附加标记扩展使用，每一个标记对应一个不同的客户，以便于区别对待。在认识到垃圾邮件造成信息泄露的基础上，思考垃圾邮件防护的一些安全对策。

网络安全；隐私保护；信息获取；植马；远程控制

0 引言

网络安全防范工作的方法思路开阔，没有固定的框框，在网络安全体系下防御突破隐私保护的都可以加以利用，涉及密码学、网络攻防、信息系统安全、入侵检测系统、恶意代码分析与检测、物联网安全、社交网络安全等多个研究方向。既可以针对单个客户开展网络安全防范工作，也可以针对一定范围内的一群客户开展网络安全防范工作，但是这种方法的实施要求因人而异、因地制宜，因此在开展网络安全防范工作之前要求我们对客户的基本情况掌握得越详细越好。

当前网络社会垃圾邮件泛滥，大多数网民在不知不觉中泄露了网上基本情况，本文简要设计了一种仿真方法，尝试通过发送带有图片的垃圾邮件，客户收信后泄露了其浏览器等信息。通过搭建文件服务器和数据库服务器，测试该方法并以加标记的方式辨识更多的客户。

1 仿真系统设计

互联网垃圾邮件的大量产生对单位企业和用户的正常电子邮件收发造成严重的干扰。文献[1]指出，基于规则的垃圾邮件过滤技术是目前常用的垃圾邮件过滤方法之一。基于规则的垃圾邮件过滤方法是通过训练样本，归纳总结出其中规律性的内容来得到显式规则，从而实现垃圾邮件分类的目的。研究其中的规律性的东西，可以更好地防范垃圾邮件，保护自身的网络安全和个人隐私。

目前，有较多文献介绍了如何获取上网用户的隐私，其中有一种利用恶意代码的方式值得引起关注。文[2]对各种类型的恶意代码都进行了详细的讨论,包括基于浏览器的恶意攻击代码。这充分说明了一点,上网用户最常用的浏览器是网络安全的薄弱环节。

以往垃圾邮件一般通过群发来工作，但电子邮箱群发会受邮件服务器限制。网易电子邮箱群发超过一定数量后将被限制登录，限制同IP注册；新浪电子邮箱群发超过一定数量后，每次发送需要输入验证码；Gmail电子邮箱群发后，将被锁定账号，需要使用手机号码进行解除锁定操作。

有鉴于此，本文设计了一个仿真实验，发送不同的垃圾邮件，记录不同的标记。内容包括服务器的架设，PHP源码和MYSQL数据库设计，邮件内容的构造，针对不同类型垃圾邮件内容不同模板的制作。

1.1 发送垃圾邮件获取客户上网信息的仿真设计

搭建服务器，编写PHP前台源码和设计MYSQL数据库后台，通过仿真，能够记录客户的上网信息。简单地，以点击收信自动加载小图片和手工点击浏览大图片为例来仿真客户信息的泄露。

为了实现上述仿真设计，对不同的客户逐人发送垃圾邮件，并分别记录不同的标记，具体实现步骤详述如下。

1.1.1 PHP网页源代码要点分析

为了响应用户访问图片的HTTP请求，需要扩展CI_Controller控制器（简言之，一个控制器就是一个类文件，是以一种能够和URL关联在一起的方式来命名的）。

客户点击收信之后自动加载小图片（命名为“视图A.php”保存在服务器中，改后缀为“视图A.jpg”即可打开浏览图片）的方法A如下：

点击查看大图片（命名为视图B.php）的方法B同理。

1.1.2 编辑各类模板发送垃圾邮件

针对不同种类的客户编辑不同内容的模板，下面是垃圾邮件中嵌入的内容通用部分的HTML源码：

表面上看是用户访问“方法A.jpg”，实际上是调用的PHP文件内容中的扩展CI_Controller控制器类的方法A，按照该方法的运行逻辑，在邮件正文HTML源码中应当粘贴“视图A.jpg”（小图）。但是服务器中是没有“视图A.jpg”文件的，实际上就是服务器中的视图A.php（把后缀改为jpg即可看出是图片文件）。这样做的目的，是避免服务器被直接路径攻击。

大图片“方法B.jpg”的解析方法同理。

1.1.3 MYSQL数据库记录点击收信的客户情况

MYSQL数据库设计的目的是记录客户的访问信息，分为id，IP，用户代理（user-agent）,真实IP（x-forwarded-for），访问时间（access_datetime）,特定客户标记（flag）等6个字段。除了id字段是int类型的,其他字段均设置为varchar类型,如表1所示。

表1 MYSQL数据库字段设计

1.2 实验数据的反馈分析

通过发送附带图片的垃圾邮件，在MYSQL数据库中记录下不同客户各自反馈的信息。反馈信息主要有IP地址、真实IP地址、浏览器、操作系统、移动终端品牌型号等信息，说明如下。

1.2.1 访问者的IP地址

要想透过代理服务器取得客户端的真实 IP 地址，就要使用$_SERVER["HTTP_X_FORWARDED_FOR"] 来读取。

不过要注意，并不是每个代理服务器都能用$_SERVER["HTTP_X_FORWARDED_FOR"] 来读取客户端的真实 IP，有些用此方法读取到的仍然只是代理服务器的 IP。

如果客户端没有通过代理服务器来访问，那么用$_SERVER["HTTP_X_FORWARDED_FOR"] 取到的值将是空的。

1.2.2 访问者的浏览器信息

访问者使用的浏览器系统信息列表如表2所示：

表2 访问者使用的浏览器分类

1.2.3 访问者的电脑和移动终端操作系统

访问者使用电脑端和移动终端的操作系统列表如表3所示：

表3 访问者使用的操作系统分类（包括电脑端和移动终端）

1.2.4 访问者的移动终端品牌型号

访问者使用的移动终端品牌型号列表如表4所示：

表4 访问者使用的移动终端品牌型号

1 iPad（苹果公司）2 iPhone（苹果公司）3 HTC等厂商（安卓终端生产厂商）

因为苹果移动终端植马较为困难，因此表4中的安卓终端就是垃圾邮件发送者重点开展工作的努力方向。通过该方法的仿真实验设计，展现了脆弱的客户浏览器防护。了解到这些，就能够深入理解网络安全防范的重要性。

2 垃圾邮件防护的安全对策思考

在垃圾邮件获取了客户的上网基本信息后，木马和病毒的攻击之门就打开了。当前针对安卓手机开发的木马成功率较高，而针对苹果手机有效的木马几乎不存在。因此，在发送垃圾邮件准确获知电脑和移动终端信息的基础上，垃圾邮件针对应答反馈的电脑和安卓移动终端开始攻击，比如发送垃圾邮件附加捆绑木马的图片或者Office文档给客户，就有可能对客户实现远程控制功能，对其文档实施创建、删除以及查看操作，同时能够对客户截屏、保存键盘记录等。

当前，较多文献对木马程序的设计和改进进行了深入研究。文[3]提出一种图片木马的设计，研究木马程序的工作原理和工作方式，利用微软公司的VC++6.0开发环境设计木马程序和图片进行捆绑，让用户打开图片，在毫不知觉的情况下植入木马，从而达到控制别人电脑的目的。该文在生成图片木马时使用WinRAR做成自解压格式，能很好地迷惑用户，实现隐藏木马的目的。

有鉴于木马和病毒对邮件系统的破坏和影响巨大，对网民的信息安全威胁始终高悬，较多文献对邮件系统的安全防范开展了多方面的研究。文[4]针对WEB的PGP加密技术在邮件系统中的应用进行分析，对PGP加密算法的基本原理、电子邮件加密安全需求和PGP加密技术在电子邮件系统中的加密过程进行了详细的研究分析。

对于当前垃圾邮件泛滥的现状，本文亦有一些安全防护对策的思考。对付垃圾邮件的通常做法是不预览、不点击查看、不下载附件。实践表明，有些附件文档类型如EXE文件被拒收。但是不要忽视了另外一种RTF格式的Word文档附件。一般来说，垃圾邮件绑定附件文档如果是木马生成的，木马生成文件格式必须为RTF格式，该格式为不常用Word格式，所以看到邮件附件中含有RTF格式的Word文档就要引起足够的警觉。另外，如果打开邮件速度过慢或者无法正常打开的话，也有可能是附件文档绑马了。在发现邮箱异常的情况下，要马上断网，杀毒，清理电脑或者手机甚至格式化、恢复出厂设置。

3 结语

本文通过仿真设计一种垃圾邮件，发现浏览器等信息的泄露引起我们对邮件安全和邮件防护的高度重视。网络安全防范技术的基础是了解和掌握网络安全漏洞、木马、病毒的工作原理和工作机制，这需要我们持之以恒地追踪最新的技术并迅速转化为生产力为我所用，只有这样，网络安全防范工作才能上一个新台阶。

[1]汤金波，孙力.基于规则的垃圾邮件过滤算法比较研究[J].网络安全技术与应用，2016.

[2]Roger A.Grimes.恶意传播代码：Windows病毒防护[M].张志斌 贾旺盛译.北京：机械工业出版社，2004.

[3]高源.图片木马的设计与实现[D].北京：北京邮电大学，2012.

[4]于北瑜.基于WEB的PGP加密技术在邮件系统中的应用安全研究[J].网络安全技术与应用，2015.