https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

圍堵垃圾郵件面面觀

2005 / 11 / 03
陳佳溶
圍堵垃圾郵件面面觀

網路釣魚 將出現詐騙新技倆
垃圾郵件在2005年會繼續成長的部分是網路釣魚郵件,根據反網路釣魚工作小組(Anti-Phishing Working Group, APWG)2004年9月~12月,網路釣魚事件持續成長,10月竟快速成長了二倍;在「2004年7~12月網路釣魚活動發展現象報告」指出12月網路釣魚網站有1,707個,且以平均每個月24%的速度增加,12月有55個品牌被網釣詐騙者利用,高於11月的51個和10月的44個,但金融服務詐騙佔12月的最大部分,另外,釣魚網頁主要分布在美國和大陸。
高銘鍾表示,依目前的狀況來看,網路釣魚可分為兩種,其一是偽冒銀行金融機構發送郵件,讓使用者到假網頁log in 後,騙取使用者的密碼、帳號等個人機密資料,接著以受害者的帳號、密碼盜領存款或盜刷信用卡,另一種方式,即是利用人的「同情心」,發送電子郵件說明其為南亞大海嘯的災民,目前需要幫助,並附上捐款帳號,進行募款,就我個人而言,最近已經收到大概4、5封南亞捐款的e-mail,此種方式可能會隨著災難的發生而出現,也是每個人必須小心留意電子郵件所傳送訊息的真偽,魚客可能利用此詐騙手法,但受害者全然不知,更不會進行查調動作,反讓魚客更逍遙法外,然而,目前大部分的媒體、網站,仍未有這方面的宣導及教育,同時大家對此仍未有防衛之心,儼然成為一大隱憂;前者和後者最大的不同是,前者容易意識到自己的金錢被盜領,但後者則是完全自願上釣,不容易發現自己是受騙,更無任何申告行動。
另外,高銘鍾表示,網路釣魚郵件與一般垃圾信相較,網路釣魚信件並無明顯特徵,垃圾郵件會出現明顯特徵如:廣告字詞或夾帶非廣告內容等特徵手法,但網路釣魚信件就是傳送一封偽造郵件給使用者,再者,網路釣魚郵件是在來自不同IP發送,郵件內容多以引誘性字眼吸引使用者點選連結,進行下一步的詐騙,目前很難有客觀的技術可以全面攔截。
Hinet網際網路處處長鍾福貴說:「網路釣魚目前採取仍是消極防制,倘若有Yahoo、eBay反應某封信件或網站為釣魚網站、郵件,我們立刻將使用者使用權益停止及阻擋郵件,但對那些魚客並沒有很大影響,他可能又換另一IP、網址,手法不斷翻新,除非有法令的嚇阻,並判重刑及罰款,才能有效阻止其成長。」
總之,反網路釣魚最有效的方式,還是使用者必須自己提高警覺性,知道如何辨識郵件內容是否為釣魚郵件,因為魚客不斷翻新釣魚手法,倘若只靠垃圾郵件管理軟體過濾,將無法阻擋到最新的釣魚網頁、預防詐騙事件發生,學會如何辨別其為釣魚網頁,是反釣魚的最好方式之一。

垃圾信發送手法花招百變
垃圾郵件發送者為了避免信件被阻擋,使用各種技法,在這方面真是道高一尺,魔高一丈,防不勝防,高銘鍾表示,就內容而言,垃圾郵件常用到的手法是將相似的文字用其它文字替代如music,其中的「i」換成「1」,或中間有空格,不然就是加「★」等方式,其次,垃圾信發送者會特意在垃圾信中加入不易被過濾或偵測到之內容,其方式是在垃圾信內容中加入電影台詞或其它文章,以逃避被過濾之命運;此外,原本垃圾郵件常將信件內容易被垃圾郵件過濾的關鍵字,以白色字體呈現,當以白色字體呈現時,垃圾郵件管理軟體偵測到過多白色字體時,判定其為垃圾信的積分也會增加,但目前的手法已提升到將字體以淡灰色來呈現,因為灰色色階較多,垃圾郵件管理軟體無法將其建入過濾垃圾郵件規則中,由此可知,垃圾郵件濫發者所使用各式各樣魚目混珠之障眼法,以逃避被過濾的命運。
除此之外,部分防堵垃圾郵件的掃描引擎具有掃描URL的功能,當掃描到URL時,發現其所連結的網站為銷售商品網站時,垃圾信管理軟體會自動將其放入過濾內容資料庫,當下次再掃描相同網址時,就可順利將其阻擋,但目前Spammer已放入其它不相關的網址,去擾亂垃圾郵件管理軟體的誤辨機率,高銘鍾說:「最好的抑止垃圾信方式就是常調整郵件軟體管理規則及上網更新內容過濾資料庫之資料,才能更有效的阻擋垃圾信。」

政府與民間合作將有效抑制垃圾郵件
高銘鍾表示,中國大陸為了有效抵制垃圾郵件預計在今年與澳洲合作,澳洲反制垃圾郵件是由澳洲ACA (Australian Communications Authority)當地網路服務(Pacific Internet)以及軟體業者合作,共同推出一套協助ACA進行垃圾郵件調查之系統,首創政府單位與民間企業合作解決垃圾郵件之先例。
目前此一系統提供太平洋網路服務公司之用戶,有多種回報垃圾郵件訊息之工具(如:Outlook之外掛程式或上網回報等),再透過軟體業者之系統自動歸納大量寄發相關或類似之垃圾郵件的可疑帳戶,做為ACA調查之依據,同時也將民眾回報之垃圾郵件儲存在系統資料庫中,做為起訴之呈堂證供;高銘鍾認為政府在抵制垃圾郵件方面,可以做的即是立法,但立法後政府單位要如何追捕這些垃圾信發送者呢?則需要民間提供技術合作,將有效且積極的抑制垃圾信。
就台灣的情形而言,國家通訊傳播委員會籌備處召開「濫發商業電子郵件管理條例草案」的相關討論,針對商業電子郵件下了定義:乃以行銷商品、服務為目的,透過網際網路傳送的電子郵件,這些商業電子郵件,日後發送必須註明出處與來源,並且有取消訂閱的機制,倘若信件標題與內容不符合也會遭受處罰。由於法務部不贊成採用刑事處分,因此對於濫發垃圾郵件的單位或是個人,建議受害者保留證據並採用民事訴訟。未來,若法案通過後,濫發垃圾郵件(SPAM)將每封郵件懲處500~2,000元新台幣不等的罰款。此法案若能順利通過立法院的審查,未來受害者也可以進行團體訴訟,同一案件最高處罰上限為兩千萬元;但其法案仍在商討階段,也計畫與國際反垃圾信組織合作,一切正在發展中。
高銘鍾說:「目前立法乃有許多問題,因為看不到直接效果,在追蹤、技術及人力將產生盲點,追蹤垃圾郵件必須有技術人才,投入很多時間追查,成效可能又不彰,但立法仍非常重要,因台灣是發送垃圾信來源及垃圾信連結網頁都位居全球前十名,如政府不立法遏止將更嚴重,然而,以ISP業者的角色而言,本身就可觀察流量分析的狀況,可以第一時間阻擋垃圾郵件的濫發,立法之後,才能依據公權力採取行動,不像目前情況造成ISP業者也不知所措;但立法之後追緝垃圾郵件濫發者也有其困難度,為了追蹤垃圾信濫發者,可能需要十個人的配合,但這十個人未必跟你合作,造成立法後執行的困難。」
如不立法,垃圾濫發情形則可能更猖獗,近來美國立法通過管制垃圾郵件的相關法案,因此,垃圾郵件濫發者有東移至大陸的狀況,自2000年中國大陸民間組織的反垃圾郵件聯盟,已開始抵制濫發垃圾郵件的行為,但主要目的是抑制反動意識及法輪功,然而台灣從2004年政府單位才開始著手。

ISP業者樂見立法
鍾福貴說:「Spam的最大受害者,絕對是ISP業者,因為投入很多資金在防堵,且又要被使用者抱怨,處罰使用者又要被告,理外、理內怎麼做都承擔各界壓力。」
為了處理這些濫發的垃圾郵件,鍾福貴說︰「我們投資了很多無形和有形的成本,在有形的成本方面,系統設備需要有2個人處理,客服申告專線有4個人處理濫發垃圾信事件,另外,為了因應處理大量的垃圾郵件,系統設備及頻寬必須隨著開發,其所投資成本超過1億;然而,在無形的糾紛方面,常會有使用者抱怨處理垃圾信方式不當,濫發垃圾信的Spammer則抱怨憑什麼將他的郵件擋掉或接獲國外ISP業者警告等,這些都將影響到我們的服務品質,使我們付出相當的代價。」
全世界的ISP業者,對垃圾郵件都必須採取行動,否則系統將無法負荷大量的垃圾郵件,鍾福貴說:「目前我們自行開發一套防禦垃圾郵件系統,並針對不正常流量,或將一次同時和多台機器連線情況做適當的阻攔,再者可經由郵件標頭判斷其是否為垃圾信來做阻擋;另外,與入口網站及ISP業者合作,建立會員白名單,才會大量放行電子郵件的發送;除此之外,也受理垃圾郵件申訴,經查證屬實,將給予停權,目前每月處理停權的用戶超過1500件。」
未來Hinet也將推出新版的Web Mail,提供用戶在系統端自行設定阻擋垃圾信,讓使用者可以在系統端就將垃圾信阻擋掉,不要讓垃圾信到用戶端的郵件軟體之後再處理,避免浪費用戶的網路資源。
由於目前「濫發商業電子訊息法」尚未定案,鍾福貴說:「垃圾郵件問題,不僅是技術問題,還牽涉到立法,倘若法案通過成立,明確告知使用者亂發E-Mail是不對的行為,會受到某種程度的懲罰,將有一定的嚇阻作用,因此國外也紛紛立法,再者需透過國際組織聯盟合作共同阻擋也很重要,因為網際網路通達範圍無遠弗界,很多Spam是從國外進來的,倘若不與國外合作,國內垃圾信濫發者都捉到了,也無法有效抑制國外的垃圾信。此外,希望法案能趕快通過,對ISP業者而言,可以採取更嚴謹行動,保護使用者權益,以目前沒有法源依據的情況下,ISP業者的管制常會被不法意圖的使用者,到公平會、消基會申告影響他們的使用權益,對ISP業者造成很大的困擾,適當給予ISP業者某種權益,才有合法權利阻擋垃圾信,更重要是法令明訂之後,會有明確的政府主管機關來執行督導,在主管機關的輔導下,加上ISP業者全力配合,防堵垃圾郵件的成效才會彰顯出來。」
Seednet在防堵垃圾信方面,主要利用動態IP攔阻,還是將焦點放在國內的垃圾郵件,並對企業和客人用,戶提供反垃圾郵件方案,然而對於「濫發商業電子訊息法」,Seednet企業整合部經理許兆嘉更樂於見到法律的建立,他說:「要有效防堵垃圾信,必須從立法、教育及技術方面著手,我們更樂於提供技術合作與法律配合,也將節省更多的資源,我們的設備也就不需不斷擴充。」

防堵垃圾信新技術
目前防堵垃圾信除了內容過濾技術外,包括Sender ID和網域認證鑰匙 (DomainKeys),還有在IP第一層的網段進行斷線,接著使用黑白名單過濾,部分會使用挑戰測試,即是使用者發信後,收信者開啟就會傳送信件告知使用者信件已被閱讀,但卻常出現回覆信件被當垃圾信阻擋,因而不易使用,多半成為Anti-spam工具的附加功能,其次較常見則是RBL和貝式過濾法,大多是學術單位採用,因其不用付費,但使用貝式過濾常需要一段時間教育訓練,且使用初期常會出現判斷錯誤,另外,國外的RBL清單未必適合國內,其判斷是較粗糙的方式。
高銘鍾表示,CloudMark是結合客戶使用其產品的力量,由使用者建立共同的過濾資料庫,客戶端定期傳輸資料至廠商的內容過濾資料庫,當越多人使用其產品時,資料庫也越健全,亞太垃圾信中心也將朝這方面努力,並進行測試,了解其原理及使用的效果如何。



垃圾信帶來困擾是否抑制E-MAIL行銷?
垃圾信帶來的種種困擾,是否會影響使用者接收E-MAIL行銷?或引起使用者反感呢?高銘鍾表示,目前出現兩派說法,根據Kelsey Group在2003年對美國中小企業所做的調查指出,美國中小企業在廣告上的投資中,僅有1%投資在E-MAIL行銷。在Interactive Advertiding Bureau的PricewaterhouseCoops報告指出,2004年上半年全美的網路廣告收益大幅成長40%,E-MAIL行銷卻下滑了29%,只剩470萬美元,業者之所以不願意投資的E-MAIL行銷上,主要是垃圾郵件氾濫使人對於廣告郵件的不滿,進而影響E-MAIL行銷成效。
另外,英國IPT在2004年8~9月調查3,000多位受訪者,有32%的人認為E-MAIL行銷比較有效,而39%的人認為是電視,接受E-MAIL行銷的主要因素是信件中有詳細行銷商品的折扣優惠,且清楚寫出價錢,高銘鍾認為,對垃圾郵件反感的人通常是有一定資訊背景的人,且常使用網路,所以當面臨這些垃圾郵件時就會感到不勝其擾。但對婦女族群而言,E-MAIL行銷卻會產生實際效用,因此,目前不可能因為垃圾信所帶來的困擾,就讓E-MAIL行銷效力完全失去它的魅力。
鍾福貴表示,由於使用者亂發垃圾信,扼殺很好的行銷工具,使大家對它產生反感,且根據國外調查顯示,垃圾信濫發情形將影響電子商務發展。

郵件使用者必須遵守郵件使用禮節
台灣網際網路協會在2004年11月針對垃圾郵件所做的統計調查,有5成的收件者會收到70%的垃圾郵件,而大約有6成8的收件者中收到50%為垃圾郵件,另外,台灣的E-MAIL使用者對垃圾郵件的痛苦指數為71.76%,使用者並希望ISP業者採取積極行動,但殊不知其垃圾郵件所帶來的困擾,有一半是自己所造成的。
鍾福貴說:「教育使用者郵件使用的禮節,不要濫發垃圾郵件,且大家都要建立起反垃圾郵件的共識,才能有效克制。」此外,許兆嘉重申,教育使用者的郵件使用禮節也很重要,例如:轉寄信件時請將所有收件者放入密件副本中,以保護通訊錄中好友的E-MAIL帳號不被外洩等,因此,想要有效圍堵垃圾郵件,使用者養成良好使用習慣也是重要的一環。

郵件使用者必須遵守郵件使用禮節
由此可見,有效防堵垃圾郵件並不是只是某個政府機關、某個廠商及某個ISP業者的責任,而是大家必須建立起反垃圾郵件的共識,每個人都有一份責任,看著垃圾蟲橫行無阻的在網路上發送垃圾郵件,垃圾郵件不但浪費頻寬和網路資源,甚至夾帶病毒或惡意程式碼,成為入侵威脅主要途徑之一,將造成資訊安全危機,但要如何有效的防堵垃圾信呢?在下次的篇幅中,將介紹各家廠商如何防堵垃圾郵件。

電子郵件使用禮節:1.登入Yahoo或Hinet的帳號和密碼不要讓系統記憶,萬一不小心勾選了,可以去取消。

IE瀏覽器中的工具==>網際網路選項==>內容==>自動完成==>按一下清除表單、按一下清除密碼==>確定!
2.轉寄信件時,儘量以原始信件會直接複製於寄出信件內容的方式來轉寄,收件者收到信的時候也不會一直不斷的開啟。
3.轉寄信件將所有收件者放入密件副本中,以保護通訊錄中好友的E-mail不被外洩。
4.不要到隨意到其它網站留下個人資料及e-mail。
5. 註明送信者及其身分,除非是熟識的人,否則收信人一般無法從帳號解讀出發信人到底是誰,因此標明發信人的身分是電子郵件溝通的基本禮節。
6. 勿任意或無心地浪費頻寬,傳送冗長文字與大型圖繪均會佔用大量的頻寬,應謹慎考慮傳送訊息容量的大小。
7.在公開的電腦處理好信件,最後不要忘記要登出喔!