【來論】識別及防範釣魚詐騙電郵

各位是否曾收過看似來自銀行或Apple的電郵，內容言之鑿鑿，令你以為銀行戶口已被鎖上，或Apple ID已被盜用？通常在心急如焚下，看見電郵附上的超連結，就毫不猶豫前往連結的網站，了解事件並重置戶口或取消交易？

這些典型的網絡釣魚詐騙案，騙徒並不期望你一收到電郵就中圈套，因此會不斷重複發送，並加強語氣，令你信以為真，「謊言重複一千遍就變真理」，歷史說明，中伏者大有人在。

在二〇二〇年三月，詐騙或垃圾電郵佔電子郵件流量超過五成。根據統計，Apple ID是詐騙電郵最受歡迎的目標，佔所有網絡釣魚詐騙二成五；旨在獲取Microsoft Outlook密碼的佔一成七；Google則佔一成三。全世界最常見的惡意網絡釣魚詐騙郵件，還有更具攻擊性的變體，包括內置特洛伊木馬、間諜軟件和勒索軟件。

詐騙者會更改電子郵件的不同部分，以掩蓋郵件的實際發件人，並令收件者信以為真。以下是識別詐騙電郵的示例。大家首先將懷疑為欺騙郵件的詳盡標題 （email header） 打開，以下是其中常見的欺例子：

發件人通常的電郵地址，例如[email protected]；可以是真確的或詐騙來源。要識別的話，我們可以看清楚詳盡標題（email header）的 REPLY-TO、RETURN-PATH和Source IP地址。

1）REPLY-TO：可以被更改的，但一個懶惰的詐騙黑客，可以不小心地將實際的REPLY-TO地址透露給我們，令我們立即知道該電郵很大機會是有問題的。如果在此處看到其他發送地址，則表明該電郵很可能已被欺騙。

2）RETURN-PATH：也可以被更改的，一個懶惰的詐騙黑客會留下實際的RETURN-PATH地址。如果你在此處看到其他發送地址，則表明該電郵也可能已被欺騙。

3）Source IP地址或「X-ORIGIN」地址：通常很難被更改，但如果遠端電腦被黑的話，也有可能發送詐騙電郵，通過檢查Source IP，例如用 IP Address Location Lookup工具，便很容易找到該電郵是否被黑客操縱。Microsoft Outlook、Gmail、Hotmail或其他電子郵件軟件中的設置，都可以輕鬆看到電郵的詳細標題，以察看是否有問題。

儘管簡單郵件傳輸協議（SMTP）缺少身分驗證，但現在有一些旨在驗證電郵的框架正在發展，將來可望能增加電郵的可信程度。例如「發件人策略框架」（SPF），就能檢查是否已授權某個IP地址，從給定域名發送電子郵件。「網域密鑰識別郵件」（DKIM），則使用一對加密密鑰來簽署傳出郵件並作驗證。而「基於網域的郵件身分驗證、報告和一致性」（DMARC），就為發送方提供了選擇，讓接收方知道它受到SPF或DKIM的保護，以及郵件驗證失敗時的處理方法。

這些框架的主要風險，是它們對DNS的依賴。攻擊者可能會訪問發件人的DNS，並發送偽造的電子郵件，即使通過SPF，DKIM和DMARC檢查，它們也看起來是合法的。這就是為甚麼防止網域劫持和網絡安全意識培訓，如此重要的原因。

至於SSL/TLS系統，可用於加密服務器到服務器的電子郵件流量，並強制執行身分驗證，但實際上則暫時較少被使用。

我們寄望將來可以有更高安全性的電郵服務。不過，在科技世界沒有絕對的保安，也沒有絕對安全的服務，我們每一位用家，都務必提高警覺，才是王道。

黃永昌

香港電腦學會網絡安全專家小組

執行委員會成員