【来论】识别及防范钓鱼诈骗电邮

各位是否曾收过看似来自银行或Apple的电邮，内容言之凿凿，令你以为银行户口已被锁上，或Apple ID已被盗用？通常在心急如焚下，看见电邮附上的超连结，就毫不犹豫前往连结的网站，了解事件并重置户口或取消交易？

这些典型的网络钓鱼诈骗案，骗徒并不期望你一收到电邮就中圈套，因此会不断重复发送，并加强语气，令你信以为真，「谎言重复一千遍就变真理」，历史说明，中伏者大有人在。

在二〇二〇年三月，诈骗或垃圾电邮占电子邮件流量超过五成。根据统计，Apple ID是诈骗电邮最受欢迎的目标，占所有网络钓鱼诈骗二成五；旨在获取Microsoft Outlook密码的占一成七；Google则占一成三。全世界最常见的恶意网络钓鱼诈骗邮件，还有更具攻击性的变体，包括内置特洛伊木马、间谍软件和勒索软件。

诈骗者会更改电子邮件的不同部分，以掩盖邮件的实际发件人，并令收件者信以为真。以下是识别诈骗电邮的示例。大家首先将怀疑为欺骗邮件的详尽标题 （email header） 打开，以下是其中常见的欺例子：

发件人通常的电邮地址，例如[email protected]；可以是真确的或诈骗来源。要识别的话，我们可以看清楚详尽标题（email header）的 REPLY-TO、RETURN-PATH和Source IP地址。

1）REPLY-TO：可以被更改的，但一个懒惰的诈骗黑客，可以不小心地将实际的REPLY-TO地址透露给我们，令我们立即知道该电邮很大机会是有问题的。如果在此处看到其他发送地址，则表明该电邮很可能已被欺骗。

2）RETURN-PATH：也可以被更改的，一个懒惰的诈骗黑客会留下实际的RETURN-PATH地址。如果你在此处看到其他发送地址，则表明该电邮也可能已被欺骗。

3）Source IP地址或「X-ORIGIN」地址：通常很难被更改，但如果远端电脑被黑的话，也有可能发送诈骗电邮，通过检查Source IP，例如用 IP Address Location Lookup工具，便很容易找到该电邮是否被黑客操纵。Microsoft Outlook、Gmail、Hotmail或其他电子邮件软件中的设置，都可以轻松看到电邮的详细标题，以察看是否有问题。

尽管简单邮件传输协议（SMTP）缺少身分验证，但现在有一些旨在验证电邮的框架正在发展，将来可望能增加电邮的可信程度。例如「发件人策略框架」（SPF），就能检查是否已授权某个IP地址，从给定域名发送电子邮件。「网域密钥识别邮件」（DKIM），则使用一对加密密钥来签署传出邮件并作验证。而「基于网域的邮件身分验证、报告和一致性」（DMARC），就为发送方提供了选择，让接收方知道它受到SPF或DKIM的保护，以及邮件验证失败时的处理方法。

这些框架的主要风险，是它们对DNS的依赖。攻击者可能会访问发件人的DNS，并发送伪造的电子邮件，即使通过SPF，DKIM和DMARC检查，它们也看起来是合法的。这就是为甚么防止网域劫持和网络安全意识培训，如此重要的原因。

至于SSL/TLS系统，可用于加密服务器到服务器的电子邮件流量，并强制执行身分验证，但实际上则暂时较少被使用。

我们寄望将来可以有更高安全性的电邮服务。不过，在科技世界没有绝对的保安，也没有绝对安全的服务，我们每一位用家，都务必提高警觉，才是王道。

黄永昌

香港电脑学会网络安全专家小组

执行委员会成员