【來論】識別及防範釣魚詐騙電郵
2021-04-06 00:00各位是否曾收過看似來自銀行或Apple的電郵,內容言之鑿鑿,令你以為銀行戶口已被鎖上,或Apple ID已被盜用?通常在心急如焚下,看見電郵附上的超連結,就毫不猶豫前往連結的網站,了解事件並重置戶口或取消交易?
在二〇二〇年三月,詐騙或垃圾電郵佔電子郵件流量超過五成。根據統計,Apple ID是詐騙電郵最受歡迎的目標,佔所有網絡釣魚詐騙二成五;旨在獲取Microsoft Outlook密碼的佔一成七;Google則佔一成三。全世界最常見的惡意網絡釣魚詐騙郵件,還有更具攻擊性的變體,包括內置特洛伊木馬、間諜軟件和勒索軟件。
詐騙者會更改電子郵件的不同部分,以掩蓋郵件的實際發件人,並令收件者信以為真。以下是識別詐騙電郵的示例。大家首先將懷疑為欺騙郵件的詳盡標題 (email header) 打開,以下是其中常見的欺例子:
發件人通常的電郵地址,例如[email protected];可以是真確的或詐騙來源。要識別的話,我們可以看清楚詳盡標題(email header)的 REPLY-TO、RETURN-PATH和Source IP地址。
1)REPLY-TO:可以被更改的,但一個懶惰的詐騙黑客,可以不小心地將實際的REPLY-TO地址透露給我們,令我們立即知道該電郵很大機會是有問題的。如果在此處看到其他發送地址,則表明該電郵很可能已被欺騙。
2)RETURN-PATH:也可以被更改的,一個懶惰的詐騙黑客會留下實際的RETURN-PATH地址。如果你在此處看到其他發送地址,則表明該電郵也可能已被欺騙。
3)Source IP地址或「X-ORIGIN」地址:通常很難被更改,但如果遠端電腦被黑的話,也有可能發送詐騙電郵,通過檢查Source IP,例如用 IP Address Location Lookup工具,便很容易找到該電郵是否被黑客操縱。Microsoft Outlook、Gmail、Hotmail或其他電子郵件軟件中的設置,都可以輕鬆看到電郵的詳細標題,以察看是否有問題。
儘管簡單郵件傳輸協議(SMTP)缺少身分驗證,但現在有一些旨在驗證電郵的框架正在發展,將來可望能增加電郵的可信程度。例如「發件人策略框架」(SPF),就能檢查是否已授權某個IP地址,從給定域名發送電子郵件。「網域密鑰識別郵件」(DKIM),則使用一對加密密鑰來簽署傳出郵件並作驗證。而「基於網域的郵件身分驗證、報告和一致性」(DMARC),就為發送方提供了選擇,讓接收方知道它受到SPF或DKIM的保護,以及郵件驗證失敗時的處理方法。
這些框架的主要風險,是它們對DNS的依賴。攻擊者可能會訪問發件人的DNS,並發送偽造的電子郵件,即使通過SPF,DKIM和DMARC檢查,它們也看起來是合法的。這就是為甚麼防止網域劫持和網絡安全意識培訓,如此重要的原因。
至於SSL/TLS系統,可用於加密服務器到服務器的電子郵件流量,並強制執行身分驗證,但實際上則暫時較少被使用。
我們寄望將來可以有更高安全性的電郵服務。不過,在科技世界沒有絕對的保安,也沒有絕對安全的服務,我們每一位用家,都務必提高警覺,才是王道。
黃永昌
香港電腦學會網絡安全專家小組
執行委員會成員
關鍵字
最新回應