【来论】识别及防范钓鱼诈骗电邮

2021-04-06 00:00

各位是否曾收过看似来自银行或Apple的电邮,内容言之凿凿,令你以为银行户口已被锁上,或Apple ID已被盗用?通常在心急如焚下,看见电邮附上的超连结,就毫不犹豫前往连结的网站,了解事件并重置户口或取消交易?

这些典型的网络钓鱼诈骗案,骗徒并不期望你一收到电邮就中圈套,因此会不断重复发送,并加强语气,令你信以为真,「谎言重复一千遍就变真理」,历史说明,中伏者大有人在。

在二〇二〇年三月,诈骗或垃圾电邮占电子邮件流量超过五成。根据统计,Apple ID是诈骗电邮最受欢迎的目标,占所有网络钓鱼诈骗二成五;旨在获取Microsoft Outlook密码的占一成七;Google则占一成三。全世界最常见的恶意网络钓鱼诈骗邮件,还有更具攻击性的变体,包括内置特洛伊木马、间谍软件和勒索软件。

诈骗者会更改电子邮件的不同部分,以掩盖邮件的实际发件人,并令收件者信以为真。以下是识别诈骗电邮的示例。大家首先将怀疑为欺骗邮件的详尽标题 (email header) 打开,以下是其中常见的欺例子:

发件人通常的电邮地址,例如[email protected];可以是真确的或诈骗来源。要识别的话,我们可以看清楚详尽标题(email header)的 REPLY-TO、RETURN-PATH和Source IP地址。

1)REPLY-TO:可以被更改的,但一个懒惰的诈骗黑客,可以不小心地将实际的REPLY-TO地址透露给我们,令我们立即知道该电邮很大机会是有问题的。如果在此处看到其他发送地址,则表明该电邮很可能已被欺骗。

2)RETURN-PATH:也可以被更改的,一个懒惰的诈骗黑客会留下实际的RETURN-PATH地址。如果你在此处看到其他发送地址,则表明该电邮也可能已被欺骗。

3)Source IP地址或「X-ORIGIN」地址:通常很难被更改,但如果远端电脑被黑的话,也有可能发送诈骗电邮,通过检查Source IP,例如用 IP Address Location Lookup工具,便很容易找到该电邮是否被黑客操纵。Microsoft Outlook、Gmail、Hotmail或其他电子邮件软件中的设置,都可以轻松看到电邮的详细标题,以察看是否有问题。

尽管简单邮件传输协议(SMTP)缺少身分验证,但现在有一些旨在验证电邮的框架正在发展,将来可望能增加电邮的可信程度。例如「发件人策略框架」(SPF),就能检查是否已授权某个IP地址,从给定域名发送电子邮件。「网域密钥识别邮件」(DKIM),则使用一对加密密钥来签署传出邮件并作验证。而「基于网域的邮件身分验证、报告和一致性」(DMARC),就为发送方提供了选择,让接收方知道它受到SPF或DKIM的保护,以及邮件验证失败时的处理方法。

这些框架的主要风险,是它们对DNS的依赖。攻击者可能会访问发件人的DNS,并发送伪造的电子邮件,即使通过SPF,DKIM和DMARC检查,它们也看起来是合法的。这就是为甚么防止网域劫持和网络安全意识培训,如此重要的原因。

至于SSL/TLS系统,可用于加密服务器到服务器的电子邮件流量,并强制执行身分验证,但实际上则暂时较少被使用。

我们寄望将来可以有更高安全性的电邮服务。不过,在科技世界没有绝对的保安,也没有绝对安全的服务,我们每一位用家,都务必提高警觉,才是王道。

黄永昌

香港电脑学会网络安全专家小组

执行委员会成员



關鍵字

最新回应

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad