最近ASRC研究中心陸續發現有假冒內部系統管理者,發佈要求收件者進行系統更新軟體安裝的惡意郵件。在一般使用者信任及仰賴資訊部門的情況下,若不小心就有可能掉入惡意垃圾郵件的圈套中,此攻勢可能對企業組織造成極大的衝擊。
這類惡意垃圾郵件的仿真度很高,其寄件者多半會偽冒為收件者所在單位的admin或system等系統管理者帳號,而在信件內容也多半提及是由公司的郵件系統發出,並附上帶有惡意軟體的壓縮附件檔,或是偽造得十分像內部網站連結,要求收件者去下載修補更新檔。
這類惡意垃圾郵件大量的運用被攻擊對象的網域當做寄件人、內容、連結名稱,被攻擊企業組織的內部使用者若稍不留意便可能信以為真,將惡意軟體下載執行,造成資安危害。在一般的資安教育中,常會宣導切勿點擊不明或奇怪的網址超連結,但由於這類惡意郵件的仿真程度極高,很可能讓收件者不會意識到這是不明的超連結,而輕忽大意地點擊下去。
ASRC亞太垃圾訊息研究中心提供您防範的幾個小技巧:
1. MIS若察覺這類惡意垃圾郵件時,請主動對內公告惡意郵件的格式與樣式,讓內部同仁能特別提防這類威脅。
2. 請使用防堵垃圾郵件及防毒機制,以避免惡意郵件或病毒擴散。
3. 更進一步的識別技巧:當一串超連結為http://abc.def.com.testxyz.net/......(之後略),其實這串連結其連往的目標是testxyz.net,而非abc.def.com。
4. 留意郵件中的超連結與實際連結不一致,或夾帶偽冒程式安裝檔的郵件 (如第二頁圖檔所示) 。若要點選或安裝前請與資訊部門再次確認,勿隨意動作。
中華數位SPAM SQR已針對此類新式攻擊提供防禦特徵,SPAM SQR產品用戶能於第一時間進行過濾防範。