案例样本发现于 Gmail 收件箱, 由社群成员报告并提供样本. 这是比较典型的利用自动化邮件中的用户输入变量来发送垃圾信息的邮件.
邮件样本
样本中的附件已被移除
其中的 ZIP 附件结构:1
2
3
4报销做账+微_____代開.zip/
├── 20250507-1张-8568.00元-报销单详情.xlsx
└── 20250507-1张-8568.00元-发票合集.zip
└── 1-其他-8568.00元-深圳盒马网络科技有限公司-2025.04.25-发票.pdf
文件 20250507-1张-8568.00元-报销单详情.xlsx 的预览:
文件 1-其他-8568.00元-深圳盒马网络科技有限公司-2025.04.25-发票.pdf 的预览:
传递路径
| 跃点 | 发送方 | 接收方 | 时间 | 延迟 | 类型 |
|---|---|---|---|---|---|
| 1 | *****(mailfrom:service@mail.alipay.com fp:***** cluster:*****) | smtp.aliyun-inc.com(127.0.0.1) | 5/7/2025 7:36:48 PM | ||
| 2 | *****.us.a.dm.aliyun.com (*****.us.a.dm.aliyun.com. [47.90.197.182]) | mx.google.com | 5/7/2025 7:36:54 PM | 6 seconds | ESMTPS |
| 3 | ***** | 5/7/2025 7:36:55 PM | 1 second | SMTP |
发送方为 service@mail.alipay.com, 接收方为 inbound@gmail.com.
分析
支付宝有一个 "发票管家" 服务, 能够帮助用户保存通过支付宝相关账户购买商品时商家开具的发票, 也能通过外部导入发票, 然后还能通过支付宝自己的邮件系统将发票直接发送给任意邮箱.
发送方在阿里巴巴的线上生鲜购物平台「盒马」购买了一些商品, 将其作为开票依据要求平台开具发票, 然后将抬头填写为了垃圾消息的主体, 即一行代开发票的广告, 并附加了一个微信号. 随后通过支付宝的发票管家存入这张发票, 再通过发票管家将发票直接无确认发送到了目标受害者邮箱, 完成一次垃圾消息发送.
由于整个邮件的传递都是阿里巴巴的支付宝邮件系统在运作, 所以 Google 的 Gmail 自然也没有理由光凭借传递流程就发现问题, 并且这类事务类的邮件极具规模, Gmail 要对这类可信的发送方再进行针对性扫描的代价是很高的, 况且这还是中文的垃圾消息. 受害者一方能够首次打开就能看到的垃圾消息其实只有 ZIP 文件的文件名, 也就是本应该是发票抬头的内容.
整个过程下来, 问题出在盒马的开票系统对发票抬头的审查不到位, 然后导致了这条垃圾消息混入了电子发票中. 最后阿里巴巴自家的支付宝发票管理服务又直接用发票抬头作为发票文件 ZIP 的文件名发送, 并且还允许操作发票导出的用户发送到任何邮箱, 并不限定为用户自己已经认证的登录邮箱, 也没有对未认证的目标邮箱地址做任何双向验证. 总的来说, 支付宝的发票管理服务在本案例的垃圾邮件传递中是主要责任方, 盒马只是其中一个被利用的开票工具而已.
处置
如果你是用户或邮件管理员, 当遭遇这类邮件时应该如何处置呢?
用户
如果频繁收到这类邮件, 可以直接在邮件规则中对发送方为 service@mail.alipay.com 的邮件的附件执行文件名过滤, 如果包含这类消息的关键词比如 "代开" 和 "微信" 则直接放入垃圾箱. 如果有必要还能对文件名的长度做限制, 因为一般的中国人的人名不会超过四个汉字, 并且不可能包含 ASCII 字符, 如果超过这个长度那也说明也不可能是个人收据.
当然更好的办法是直接屏蔽, 因为支付宝发票管家不会主动将发票发送到邮箱, 真的需要使用的时候则最好使用专用的财务邮箱或者邮箱别名接收这类邮件, 然后针对性地对发送方过滤, 只允许自己的特殊别名为收件方的发票邮件进入收件箱.
最重要的当然是报告给邮件管理员, 也不要尝试添加其中的联系方式.
管理员
- 向支付宝提交滥用举报.
- 如果滥用反复出现, 则针对性加强
service@mail.alipay.com邮件入站的过滤, 参考用户小节的处置建议. - 向微信提交滥用举报 (垃圾消息主体的微信号).
- 向开票主体平台盒马提交滥用举报.
本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
