今後開啟eDM時請注意,若無法看到完整頁面,按下連結前請謹慎小心。
開啟電子報或eDM要特別注意了。許多郵件系統為了安全起見,不會自動下載圖片,因此eDM發送者通常在最上方或角落會加註這段文字:「若無法看到完整頁面,請按此連結」,然而日前卻發現有駭客針對此一特性而設計新的攻擊郵件,一旦點選此一連結,就會被導引到掛馬網站,使用者電腦若有漏洞未修補,這時就會被植入惡意程式。
日前賽門鐵克發現一波針對台灣某銀行信用卡卡友促銷iPhone手機搭配門號的eDM被駭客偽造,郵件主旨為「xxxx信用卡-現抵1,000元!」開啟之後eDM最上方也仿造該銀行的Logo設計,但中間刻意留下一大片空白,緊接著下方出現「若網頁無法顯示,請按此連結」。而此一連結http://xxx/blog.html內嵌sploit.swf惡意檔案,它利用先前7月發佈的Adobe AVM2 Scope Stack Corruption弱點,只要偵測使用者電腦仍未更新修補,也無防毒軟體保護一點選,就會被植入惡意程式,賽門鐵克命名為Bloodhound.Exploit.266。
對於此波攻擊,該銀行資訊單位人員表示,目前未接獲客戶反映問題,研判駭客是以買名單的方式寄發郵件。目前除了已在網站上提醒卡友會員注意eDM郵件之外,也在研議未來如何提醒客戶去辨識eDM上連結的網址何者為真。
對於此類利用郵件頁面不完整的連結來發動攻擊的手法,賽門鐵克資深技術顧問莊添發認為,在實務上要使用者學會辨識是否為惡意網址也許會有困難,但仍然可以透過防禦措施來避免攻擊,包括安裝修補程式、防毒軟體,如果是企業單位也應在閘道端佈署郵件過濾設備直接隔離掉問題郵件,不需要讓使用者收到後困擾要不要點選,也不需要開放讓使用者到隔離區取回郵件。
此外,安裝修補程式雖然已是老生常談,然而莊添發提醒,事實上,許多使用者或企業IT人員做的仍然不確實,儘管廠商都已經釋出修補程式,但就是許多人沒安裝,而導致內部網路擴散感染的情形。集中控管式的端點管理方案可以讓IT人員對於各端點PC安裝修補程式的情形一目暸然。
(圖片來源:Symantec Security Blogs)