電子郵件自從1970年左右被第一次測試使用以來,至今已成為網路時代的一項方便且重要的溝通工具。電子郵件有別於電話,常被用以傳送即時或非即時資料,方便不同地的兩端可以選擇彼此方便的時間再進行非即時的溝通;相對於傳統的紙本郵件,它相形便宜、傳遞速度也較快,用於企業通訊溝通十分便利。電子郵件有著成本低廉及方便編輯、複製的優勢,利於大量遞送各種電子文宣及廣告。但這個便利的溝通工具也正在被濫用著,過多未被期待的商業廣告電子郵件湧入信箱,造成網路壅塞、信箱塞爆,也帶給收件人嚴重的信件分類及閱信的困擾。因為發送一封郵件到另一個人的信箱真的十分簡單!這個困擾正不停的惡化著,不少違法商品、藥品開始透過電子郵件進行廣告行銷,用電子郵件搏取同情心、激起好奇心而進行詐騙的案例也正持續升高著,甚至還有些垃圾蟲(spammer)可靠著發送大量的假消息左右股票價格。
除此之外,因電子郵件具備快速方便、使用者眾、成本低廉的特性,電腦病毒也逐漸入侵這個溝通管道,而讓散播力大幅升高,其行為也不再如傳統以破壞宿主電腦為目標,反而以控制宿主電腦或竊盜敏感資料為其主要訴求。隨著受感染的電腦日益增加,逐漸形成了一個獨特的受控的殭屍網路(Zombie Network),並可聽命於控制者發動任何網路攻擊。電子郵件的方便性成了這個新興網路現象的重要推手之一。
社交工程如何被觸發
拿起電話,撥打給某一家公司的總機,謊稱為另一家公司的人員,並希望談論某個合作案,這樣的做法有機會可以很快的找到關鍵人物,或可用以確認某個人是否在某個職務上,這就是一個簡單的社交工程(Social Engineering)範例。
社交工程是指以影響力或說服力來欺騙他人以獲得有用的資訊,因此,與人的接觸是觸發社交工程的必要條件,人是透過各種溝通管道來進行接觸的,故幾乎所有的溝通管道都可被用於實現社交工程。我們了解電子郵件真的是一項便宜又便利的溝通管道,它非即時的特性,可一次對許多人散發消息的大面積溝通行為,對於有心人來說,電子郵件真的是用於實現社交工程不可多得的利器。試想一個詐騙者對100萬人發出一個詐騙的消息,假設可以詐騙成功的機率為3%(網路犯罪專家估計,第一次收到「釣魚信件」的使用者有3%會被騙),而上當的每個人都能騙取10元美金,這樣子就可以輕鬆獲得30萬美金的回報,而所有付出的成本可能只是編個動人的詐騙故事、租或借個網路,再透過搜尋引擎找個發信的工具並取得名單,這樣就萬事具備只欠東風了!
透過電子郵件發動的社交工程詐欺事件,較知名的有奈及利亞詐騙郵件(Nigerian "419" scam)以及釣魚郵件(Phishing)。奈及利亞詐騙郵件的詐騙內容多半以虛假交易、假遺產之類相關內容,試圖騙取收信人的信任,進而讓收信人主動匯款藉以詐騙金錢;而釣魚郵件(Phishing)是取「釣魚」的英文單字諧音fishing之意。主要冒充知名企業、團體發出的信,透過社交工程的手法以獲得如:帳號、密碼和信用卡等個人敏感資訊。釣魚郵件經常於其內容夾帶一個URL超連結網址,該網址是一個介面外觀與真正網站非常相似的假冒網站,當受害人登入假網站後,再騙取其敏感資訊並用於不法。根據美國網路釣魚防範小組(APWG)過去的統計,這類逼真的釣魚網站平均的壽命長達6.1天,最長的可達31天,已足以騙取許多敏感資料。但現在由於網路釣客使用了匿蹤技術(Fast-Flux),讓釣魚網站更加難被取締,釣魚網站平均的壽命正逐漸延長中。
通常這類釣魚、詐騙郵件會使用一些方法,以騙取收信人進入詐騙的圈套。最常見的是引人感興趣的電子郵件主旨,以誘騙收信人開啟郵件。世足賽期間就出現了許多主旨為”FIFA World Cup South Africa... bad news”的惡意郵件,這是利用了人們對時事的好奇心;”Outlook Setup Notification”、”xxx.com account notification”、”Reset your Twitter password”這類主旨的郵件則是假冒服務或系統管理者通知信,用以欺騙收信人相信其中的內容,而進行惡意郵件中所指示的動作。當收信人受到主旨的吸引而開啟郵件後,便有更高的機會看到郵件中的指示,進而點擊詐騙郵件中的超連結被導引至釣魚網站,而主動提供個人敏感資訊而遭到詐騙。
那是不是不點擊電子郵件的超連結,即可完全避開網路詐欺的風險呢?其實不然。許多人使用的收信軟體很可能安全性不足,或是透過瀏覽器收信的webmail,當在此情況下閱讀此類有風險的詐騙郵件時,很可能因為詐騙郵件中隱藏的惡意碼被自動執行,而造成中毒或被植入木馬,雖收信人未主動提供敏感資訊,但仍可能造成個人敏感資訊被竊取,或讓個人電腦淪為受控的殭屍電腦。
面對電子郵件網路詐欺行為的自保之道
要杜絕透過電子郵件而來的網路詐騙需要從多個方面下手。將電子郵件進行過濾,避免讓收信者直接接觸此類惡意郵件是一個不錯的好方法。通常這類惡意郵件除非其中夾帶惡意的附件檔、程式碼等資訊,才有可能被防毒軟體偵防出來,對於可疑的郵件,還是建議搭配垃圾郵件的過濾機制較安全。
除了建置適當的過濾機制,還須搭配依郵件安全政策的合理設定才夠牢靠,而電子郵件密碼的管控是一個重點!多數的郵件伺服器為了避免變成發信跳板(Open Relay),通常會使用限制發信端IP或是採用SMTP的認證的方式,以確保僅有許可的人員能使用郵件伺服器發送電子郵件。垃圾蟲會對郵件伺服器進行密碼猜測,一旦猜中密碼,就可通過SMTP認證,便可「合法的」冒名發送較少破綻的詐欺郵件,猜密碼的方法除了用常用密碼字典檔進行暴力破解外,也可以使用目標「電子郵件帳號」當做密碼來進行猜測,根據實際的觀察,真的有不少的電子郵件帳號就是密碼的例子。當電子郵件密碼被猜中後,郵件伺服器就形同門戶大開了。
白名單的管理也是另一個容易被忽略的地方,白名單常用於垃圾郵件過濾機制中放行可被信賴的安全郵件,若是白名單被不正確的設定,便會形成一個合法的漏洞,例如:許多收件者或公司都會訂閱一些電子報,而這些電子報會利用收件者的電子郵件位址當做寄件人方式來發送。為了方便並且避免過濾機制誤攔,收件者可會將自己的電子郵件位址或公司的域名直接加入白名單,以方便收到電子報。當垃圾郵件或惡意郵件也以收件者的電子郵件位址當做寄件人方式發送時,就會因為白名單的效果,造成過濾機制失效大量穿透。在白名單的管理方面,一般郵件主機的IP多半不會一直變動的,所以在白名單中加入郵件主機來源的IP設定,會較加入電子郵件位址或是網域名稱,來得可靠一些。
再來就是讀取郵件的機制,現今的電子郵件應用相當普遍,純文字的電子郵件已經不敷使用,所以能包含各種HTML Code被廣泛的用於電子報或是各種報表、帳單通知郵件等等。收信軟體必須能支援並解讀這些Code,才能使電子郵件呈現出來的畫面夠豐富並且正確。Web Bug其實不算是Bug,它是一種透過收信軟體來看HTML Code時,會對外連結或執行Javascript的進階應用,當然它也能被運用在一般的網頁中。舉個例子,您是否常收信看信時,才發現信中的圖面慢慢的出現?而且當您的不連上網路或您的網路有所限制時,這些圖片就顯示不出來?因為這些圖片其實在您收到的電子郵件中,它只是個單純的<IMG>HTML標籤,當您閱讀電子郵件,需要讀取這個圖片時,您的讀信軟體再即時的根據標籤所指定的位置,將圖片下載回來讓您可以看見圖片。 (如圖所示,其所產生的保護效果,及讓暗藏其中的Web Bug現形。)
Webmail最容易遭受到Web Bug的攻擊,因此在使用Webmail時最好先確認你所使用的Webmail是否有提供防止圖片預載、網頁程式碼自動執行的功能。收信軟體方面,以Outlook Express為例子,它是Windows XP內建的收發信程式,在Windows XP SP2修正後,Outlook Express即提供更安全防護的功能,但仍必須搭配適當的設定,才能達到有效的防護效果。
適當的教育宣導及演練
隨著相關媒體陸續報導遭到網路釣魚的受害事件,以及資訊安全觀念的宣導,收件者已逐漸不再任意點擊未經許可發送郵件所夾帶的超連結。根據Radicati Group的調查,收件者任意點擊郵件中所夾帶超連結的比率已從2005年的42%,下降為2009年的13%。資安觀念的散佈有助於減少資安事件帶來的危害,為了提高資安觀念的宣傳效果,實際在企業內部進行模擬的社交工程演練可快速提高企業全體認知,並有助於合理分配訓練資源。社交工程演練一般包括了教育訓練、演練、再教育、演練的過程,每一次演練後即可鎖定需要特別投入教育訓練的使用者族群,並做個別釐清以達到教育宣導的目的。網路世界的方便性及暱名性讓社交工程的電子郵件無法輕易被消滅,網路詐騙的手法也還會繼續不停的翻新,因此通常難以從單一行動就做到完全的防範,計劃性的防範才能將各種網路詐騙的風險降到最低,多一分用心就多一份安全保障。
本文由台灣電腦網路危機處理暨協調中心(TWCERT/CC)提供,TWCERT/CC網站:http://twcertcc.org.tw/。
作者現為中華數位科技產品暨市場營運中心產品經理暨TWCERT/CC委任撰稿。