2007-01-27

Windows Live Mail现漏洞,可被用于钓鱼欺诈

Windows Live Mail近期增加了“使用其他电子邮件地址发送邮件”,这个功能尽管是从Gmail学习而来,但给用户带来的方便是毋庸置疑的。而如果你在WLM中设置了 一个并不存在的地址,结果会如何呢?
下面来看如何通过WLM的漏洞来获得nings@guge.com的身份。

1.申请使用nings@guge.com在WLM中发送邮件。WLM会给你申请的邮箱nings@guge.com发送一封邮件作为验证。

2.但是很明显,这个地址是不存在的,所以hotmail无法投递此验证邮件,片刻之后,你WLM邮箱里会收到一封投递失败的通知,而通知邮件中将原邮件 内容也附上了。



3.点击通知邮件中附上的——本来应为nings@guge.com接收查看的——激活链接,成功激活该身份。



4.下面就可以以nings@guge.com身份发邮件了。对于gmail用户,如果收到这类邮件还好,有个mailed-by msn.com的提示,对于其他邮件系统,也许接收者就没有这么幸运了。





5.一点说明。

对于这个垃圾邮件泛滥的年代,伪造一个身份是如此的容易,fisker告诉我,用任何语言都可以简单地伪造出任何电子邮件身份。别有用心者可以利用这个身 份发推广邮件,发色情政治信息,发一个恶意网址来钓取你的银行帐号。

这是一个如此常见的问题,但不管如何,WLM不能纵容这种方式,他应当尽快把这个途径堵上。

没有评论:

发表评论

怎么评价WPS2019个人版?

作为一个UCDOS时代的WPS、CCED用户: 1、Ribbon界面改得不伦不类,面板菜单和工具按钮居然改成了居中,在Office和Windows左对齐已成事实行业惯例的情况下,强改用户习惯,为了不一样而不一样,就像把一个右撇子非改成左撇子,行为幼稚。 2、不看好一个软...