你是否收到过让你验证邮箱的邮件,可是你明明没有注册过该网站?
或者收到短信验证,可是你也没有注册过该服务?
或许你会认为是这个服务或者网站发送了垃圾邮件或者消息给你,其实或许其实这些网站也是受害者,真正的始作俑者正在暗处暗暗得意呢。
如今,你在移动应用或者网站注册一个账号,网站发送一份验证邮件或者短信让你确认身份,或许已经是最稀松平常的事情了。殊不知,就是这样简单的一个操作,却也是非常容易成为非法机构的营销工具。
在2019年的双十一活动期间,我们的邮件服务器就被不明机构当枪使了,每天通过我们的邮箱服务器发送了几十万的垃圾营销邮件,而我们却在不知不觉中为他们的邮件在支付费用。
在2019年上半年之前,每次我们发送营销邮件,我都会对营销效果进行详细分析,比如活动期间的输入折扣码的总数量,实际支付的付费用户数,多少新增用户,多少重新购买的用户,收入相关等。当然最基本的数据,比如邮件抵达率,邮件打开率,链接点击率等也会相应的分析和追溯。
在2019年初的时候,我们的很多市场的邮件抵达率有将近90%以上,最低基本也有85%以上,而中国大陆市场的邮件抵达率有所下降,已经在80%左右,甚至会更低。当时我做了一些细致的分析,发现主要被拒的基本QQ邮箱为主,也得知腾讯对邮件发送会有一些限制,而且对每分钟,每小时,每天的邮件发送数量有所限制。当超过这个一定限制的时候,腾讯会相应的暂停对应时间的邮件发送。
其实当时已经研究了一些替代方案,包括寻找国内的邮件递送服务商,而且甚至有了相对明确的服务商。不过由于当时的邮件递送率尚可,而且每次发送的邮件总数也还OK,另外需要工程师在额外花时间,因此暂时搁置了一些时候。后来邮件营销的编辑和数据整理交给了另一位同事,我便不再自己追溯和分析这些数据,基本将此事忘却了脑后。
2019年双十一活动,我代同事负责了双十一的营销活动,活动结束便和往常一样做了一些常规的营销数据分析。发现邮件递送率只有30%-40%了,心里凉了半截,这岂不是说明60%-70%的注册用户根本就没法收到我们的营销邮件,营销效果必然是大打折扣。2019年双十一效果本身就非常的好,如果邮件抵达率有80%以上,想必今年最重要第一次营销活动,我们会有更好的成绩。
为了对情况更了解,一方面我顺便把2019年4月到2019年11月的所有邮件抵达率进行了统计,同时把我们其他市场,比如巴西,土耳其,日本,韩国,中东,印度等都做了统计分析,发现只有中国大陆是惨兮兮的30%-40%的,偶尔在50%-60%之间,而其他市场基本维持在80%-90%之间,偶尔甚至更高。基本可以判定这又是一个中国特色的问题,而基于年初的简单调查,基本可以判定还是QQ邮箱的问题。
不过,为了获得技术部门的理解和支持,除了对统计数据上邮件递送率超低让他们了解我们遇到的问题,我还是希望有更多细节性的数据来支持。因此打算做进一步的原因分析,这一查,竟然意外的发现了一个新的问题。
仅2019年11月12日就有将近2百万的邮件递送临时性失败,这极大的超出了营销邮件发送的数据量,且在之后的每小时依然有超过50万封邮件的发送量。
进一步查看很多的被推递的邮件,发现很多邮件是因为定义为SPAM的邮件,而且标题为“验证你的邮箱”或者”Verify you email”。我表示一脸闷逼,为什么有那么多的验证邮箱呢?难道是因为活动太成功了,所有有很多新用户注册,从而触发了那么多的验证邮箱邮件?
进一步查看很好多封那些邮件的log,发现基本都含有如下信息:
尤其注意的是这个 “to”,极具迷惑性,第一眼扫过都没有认真看,以为是我们的双十一活动标题,然后因为海外邮件服务的原因,可能标题编码变成乱码。
当然已经到了这里了,我便又做了两件事。一个是既然是我们发送了邮件给用户,那用户应该注册了我们的网站,所以我搜索一下这个用户“121780974@qq.com”, 在我们的用户系统里,压根没找到这个人。
另一个是,我用此邮箱查看了一下我们的另一个邮件服务系统,Sendwithus,这个系统会记载给用户发送的每一封邮件的详细情况,比如邮件内容,邮件是否抵达,用户是否打开了等等。
所以我们的邮件服务器在给没有在我们网站注册的海量用户发送一个“验证你的邮箱”的邮件”???
当看到这个的时候,我才恍然大悟!!!
同时,我输入了一下www.vn66.vip这个网址,是一个名为“澳门威尼斯人”的博彩网站!我瞬间变明白了,我们的一个小漏洞被不法分子盯上了。
基本逻辑就是他们在目标网站(比如Cambly网站或者其他网站),注册一个比较迷惑性的用户名,比如涵盖某次活动,另外在里面夹杂一个网址(货微信号)或者其他等他们希望传递的网站或者其他联络信息,并增加一些乱码来看上去像是系统出错的乱码。
同时,因为很多网站(尤其是国外的网站),都是需要验证邮箱,或者更改邮箱的时候重新验证等,所以他们可以用程序自动化去批量不断的注册账号或者更换邮箱(这些邮箱,当然也是网络非法购买来的),从而触发“验证邮箱”的邮件。而很多公司,为了表示针对是某个特定用户的验证,一般都会在邮件里写明”Hello XXX”, 而这个验证邮件里包含用户名字的这个举动,正好是整个漏洞最核心的因素。
当我把意外发现和美国工程师分享的时候,他们不由的发出了“Damn, that’s so smart!”的感慨。我说”Welcome to China”的时候,也偶尔有些感触,希望我说”Welcome to China”的时候 ,不是经常和他们讲解如何解决很多中国特色的问题,虽然这样的行为或许美国或者其他地方也会存在。
当然,工程师说完之后,马上把“验证邮箱”邮件的模板里的用户名去掉了,这样他们发现之后便也不会再有动力继续批量发送邮件给他们的邮件列表了。
其实或许这样简单漏洞的地方有很多,比如只要有些网站或者服务发送验证邮箱/手机消息里包含了用户名的行为,基本就可以被劫持使用。尤其是很多初创公司,或许是技术能力有限,或者人员资源所限,对这些开始的时候并不是非常完善,很容易沦为他人的工具。
当然,需要应对这样的问题其实也不是很复杂,一个是消除对方发送类似邮件的动力,一个或许增加别人的成本和难度即可。
消除对方的动力,比如发送的邮件或者短信里面,去掉可能存在的名称就好了,对方发再多也无法传递信息,自然就不再和你玩了。
你也可以比如规定一个IP只能注册或者更改邮箱10次甚至1000次,对方就要虚拟很多IP地址或者好多不同的服务器来发起这样的劫持服务,自然成本就高了很多,变得不经济了。
当然,有很多公司有二维码验证,有图片验证等等,也是防止容易机器识别自动验证等,所以下次如果遇到需要你看着图片,多次选择途中有几个汽车,几座桥,几个人这里验证的时候,多一份理解,耐心完成验证。他们正在让网络更干净,以免更多的人被网络垃圾邮件和消息给轰炸了哈
如果你收到奇怪的邮件,某个品牌商给你发送了类似这样的邮件或者短信,或许也别第一时间怒斥该公司,或许他们也是受害者。
比如,我发现这个事情一周多,人还在墨西哥旅行呢,当时挨着两天就收到了以下两个邮件。
估计Bosch Home 和CTN公司的工程师要解决下这个问题了哈!
只是,如果你收到这样的邮件?真的会去加里面的微信获取服务么?
通过这样低劣的手段来营销的服务,你真的敢用么?
