【新型郵件詐騙信因使用者可能用同組密碼而起】從去年下半開始,使用者帳密外洩問題嚴重也導致自動化的詐騙郵件興起。聲稱知道你的密碼,竄改寄件者為自己,並控嚇勒索比特幣,當使用者收到信時,可能驚訝這的確是自己使用過的密碼,並可能誤以為郵件帳號真的被入侵。而這樣的詐騙信件,其實突顯了使用者在不同網站服務,使用同一組帳密的不安全性,以及帳密外洩的狀況確實嚴重。

近年不曾停止的釣魚郵件威脅,一直是網路犯罪者的最愛,因為不需太複雜的技術就可以讓用戶上鉤,回顧2018年的各式大小新聞事件,仍然不少與郵件安全相關。

儘管這些新聞事件,已經不斷提醒使用者要注意,但還是有許多民眾,遭到社交郵件工程手法所引誘,並缺乏基本的安全概念。

就像詐騙電話的社會新聞不斷,若民眾警覺心不足,而相信對方的話術,就可能上當受騙,政府執法單位也不斷宣導,希望避免民眾受害。詐騙郵件也是如此,網路犯罪分子透過各式假冒的內容,以及種種夾帶惡意程式、連結的方式,讓使用者誤信而上當,就是要讓電腦中毒,或是竊取用戶帳密,又或是騙取金錢等。

過去幾年,iThome其實也報導過許多企業郵件安全的議題,包括像是商業電郵詐騙猖獗、重新認識釣魚郵件威脅,以及企業郵件安全防護方案、社交工程演練服務等。

而提升企業員工郵件資安意識的重要性,也是重要的一環。不過,企業在教育宣導時可能不知如何著手,除了透過演練的方式來加強,在各式郵件引起資安新聞事件中,不論執法單位與資安公司,也都有論及一些基本的使用者自保要點,只是這些資訊較為零散,加上郵件安全防護面向廣大,因此,這次我們期望整理成一份基本的自保之道,以提升使用者郵件防護意識。同時,也期望讓企業與用戶,能夠以此統整出更全面或是適合自身的教戰守則。

對於釣魚郵件、惡意郵件用戶該如何自保?簡單來說,一些基本的網路安全知識不可少,要知道所有機制都有被利用的可能,風險無處不在,只要有使用就該有基礎的安全概念。這裡我們歸納了兩大安全面向,包括帳號安全與收信安全,讓一般民眾能有更多郵件安全的風險概念,以及簡單的遵循方式。

 去年10月開始,專騙一般民眾的郵件詐騙手法激增,對方聲稱知道你的密碼,甚至竄改寄件者為自己,並以恐嚇方式騙取比特幣 ,要讓民眾誤以為自己真的被入侵。而這樣的詐騙信件,其實突顯了使用者在不同網站服務,使用同一組帳密的不安全性,以及帳密外洩的狀況確實嚴重。今年初甚至已有中文版本出現。

強化電子郵件帳號安全

在郵件帳號安全方面,使用者應該要有一些基本的認知,首先就是做好基本的密碼安全管理與保護,簡單的兩大原則,例如:(一)郵件帳號的登入,不要設定他人易於猜到或破解的帳號密碼。(二)開啟兩步驟或多因素驗證來強化帳號安全。

接下來,我們將一一說明兩大原則。首先,第一點,對於一般民眾而言,容易輕忽電子郵件帳號的密碼設定問題,在註冊時就往往可能因為要方便記憶,而使用簡單易猜的密碼,像是「111111」、「123456」、「12345678」等符合最低字元數要求的數字密碼,以及「password」、「iloveyou」、「P@ssword」等常用單字組合,又或是「qwerty」等鍵盤上的橫排。

拒用懶人密碼

儘管一些電子郵件業者,會要求禁止設定易於破解、規則簡單的弱密碼,最主要原因就是一些懶人密碼,在全球可能成千上萬用戶如此設定,等於駭客利用這些密碼來破解的可能性大增。

因此,重要的網路服務更應該避免使用,像是個人主要的電子郵件帳號。

不要以自己的手機、身分證等個資當密碼

此外,同樣是為了方便記憶密碼,不少用戶可能以自己的個人資訊相關,如身分證字號、手機號碼當成密碼,或是設定了符合複雜度要求的密碼,但在不同雲端服務使用同樣的帳號與密碼,這些的作法也不夠安全。

相信民眾對於個資外洩事件應該並不陌生,這類新聞時有所聞,因此用戶密碼設定要更謹慎。已經有不少案例,像是國內有犯罪集團透過個資猜出用戶電子郵件密碼,進而將用戶網路銀行盜轉。

如果要設定強度足夠的密碼,又要能讓自己記住,其實每個人可能都有一套自己的方法。舉例來說,以下密碼組合23$%0920654321FA,是透過鍵盤排列大小寫,加上非一等親的朋友電話號碼,再搭配單字、縮寫或參數組合而成。

如用戶沒有使用密碼管理工具,這可能也是一種變化的方式,但如果未來密碼有變動,也要記得,變化前後的規則也要避免容易被猜到。

使用多個雲端服務時,不要設定同一組帳號密碼

在國際間,更多的是利用已經外洩的帳號密碼,以自動化方式嘗試登入不同雲端服務,也就是說,若使用者以同一組帳密在不同網站服務,若其他網站帳密外洩,也等於自己的郵件帳密遭外洩。

因此,在不同網站服務最好不要使用同樣的密碼。由於大多數網路帳戶,都是以個人郵件信箱為帳號,至少使用者該注意到的一點是,各式網站服務的密碼,不要與郵件信箱的密碼相同。

更重要的是,由於近年資料外洩問題嚴重,更有人將所有洩漏的帳密集結成一大包,使用者如果知道自己帳密外洩,就應該立即從正確管道,去更改密碼,不要偷懶也不要怕更改密碼。若要知道自己的帳號密碼,是否曾經被駭過,網路上也有Have I Been Pwned等網站能提供查詢上的幫助。

建議使用較安全的雙因素認證

另一方面,現在使用的主流雲端電子郵件服務,普遍都提供了兩步驟或雙因素驗證,是普遍保護用戶郵件帳密常建議的方法,只是,但還是有不少用戶沒有採取行動。

用戶該知道的是,這可以讓自己的郵件帳號多一道保護的關卡,也就是在輸入密碼之外,還要另一個驗證程序,像是用手機接受通知以確認,或是使用安全金鑰驗證身分,才不致於讓密碼被他人竊取,就能直接登入。

此外,一般民眾也要從相關新聞資訊得到概念或教訓。

舉例來說,各式網路帳密外洩的新聞事件,都是在提醒用戶,一旦收到帳密外洩通知,要知道去修改密碼,並注意該網頁不是釣魚網站,也要小心自己是否使用同一組密碼,在其他服務。

還有像是密碼管理業者公布的最常見密碼,其實意謂著使用者要避免使用的密碼,而對於密碼難記的問題,不少專家也鼓勵一般用戶使用密碼管理工具,來降低記憶各種網路帳號及密碼的困擾。

應啟用雙因素驗證以強化帳號登入安全

帳密外洩事件頻傳,為了確保帳號安全,使用者應該要啟用多因素認證機制來保護,如此一來,使用者將可用自己的手機,或是硬體安全金鑰裝置,做到更進一步的郵件帳戶身分驗證,才不會讓密碼被他人竊取後就能直接登入,畢竟資料外洩的問題是外在環境已經存在的現況。

電子郵件收信需提高警覺

在郵件收信安全方面,一般民眾也可以把握三個大原則,避免自己遭受到釣魚郵件、詐騙郵件與惡意郵件的威脅。簡單來說,就是(一)對於陌生寄件者與可疑信件,要有警覺。(二)不輕易開啟郵件中的附檔,以及網址連結。(三)應該要從不同得管道,確認信中資訊的正確性。

基本上,這些原則套用在即時通訊上也是可行。

一般而言,現在電子郵件服務都會搭配防毒、垃圾郵件過濾,或是一些資安防護措施,幫助用戶過濾大部分的威脅,但再好的機器也只是機器,使用者的經驗判斷仍是最後一道防線。要建立警覺性,民眾就是要先體認到風險無所不在。

接下來,我們將說明依循這三大原則的原因與注意細節。

不隨意開啟陌生寄件者的來信

要如何識別可疑的郵件呢?

其實有幾個徵兆可以注意,像是陌生寄件者的來信,以及帶有引誘的標題與內容。

關於陌生寄件者的概念很簡單,就像陌生人給的糖果不要吃,自己應思考的是,我為何會收到這封郵件。

看到優惠、情色、時事等誘人與引發好奇的內容,要有戒心

對於與個人或公事無關的郵件內容,自己也應意識到,通常根本沒有開啟的必要性,像是聲稱有好康優惠訊息,腥羶色聞、時事話題,或是金錢、交易與借貸的廣告內容。

看似可信、熟悉的寄件者,也可能是被竄改仿冒,或遭盜用

若是只開啟熟悉寄件者的信件,但用戶還是必須知道,寄件者有被竄改或盜用的可能性,以及其他種種狀況。

最要有所警覺的是,那些看是正常的假冒重要郵件,或著是系統通知信。

使用者該要有的安全意識是,為何對方傳來這封信,是否寄件者真的代表對方身分,對於郵件內容也要有所警覺,是否可能是詐騙行為。舉例來說,偽冒的系統通知信,讓使用者誤信帳號已遭檢舉為垃圾帳號,需於24小時內立即點選信中夾帶的連結,以進行帳號安全性確認。

還有像是收到熟悉的人所轉寄的信,自己也該意識到,是否有可能對方根本沒看信,就直接轉寄。民眾只要了解有這樣的現象,這時就能知道一件事,並不是認識的人寄出的郵件就沒問題。而這樣的狀況,也同樣會發生在大家熟悉的即時通訊軟體上。

惡意或釣魚郵件也可能偽裝成系統通知信的型態

對於信中夾帶的網頁連結,使用者要有風險的認知。但駭客使用的手法多元,例如會假冒成系統通知信,就是要讓使用者不慎中招。因此,使用者應注意不隨意開啟陌生寄件者的連結,也要知道寄件者有被竄改的可能,並且對網頁連結的欺騙方式要有基本認知,察覺信中夾帶的連結可能有問題。

如果你沒有足夠的網路安全概念,最好辦法就是置之不理

另一方面,對於郵件附檔與連結的安全性問題,這裡牽扯到的是民眾對於檔案與網頁連結的安全認知。首先要知道的概念是,檔案是否可能含有惡意程式,網站是否可能是惡意網站、釣魚網站。

如果民眾連基本的網路安全與風險概念都沒有,在自己無法確認的情況下,通常最安全的作法就是,千萬不要輕易點選或開啟。

就像前面所提,即便真的真的覺得郵件是認識的人所寄,或是看起來很像系統通知信,民眾對於信中連結與附檔,還是要培養一些基本的網路安全認知,除了要能判斷文字上的各式詐騙內容,還要有基本的網址、檔案格式,以及邏輯上的判斷。

接下來,我們也將進一步針對連結與附檔,說明一些簡單的網路安全概念與警覺點。

對於網頁連結常見的欺騙方式,要有基本認知和判斷能力

舉例來說,在郵件中提供的連件,如果連結上的文字顯示為www.yahoo.com,當滑鼠移過時卻顯示為www.yahooyy.com,就要警覺有問題而不能點選,還有更多不易判別的狀況,像是www.yahoo.hinet.com,這樣的網域其實是屬於Hinet,而不是Yahoo,以及短網址也無法立即識別。

而且,若是使用者點擊連結後看到的網頁模樣,也不該信以為真,因為他人可以將網頁設計的很相像。

在可疑的網頁連結之外,民眾必須知道,即便正常網站也是有可能在某段時間被注入惡意程式等。或者是網站的廣告被暗藏惡意程式。因此,電腦本身的漏洞修補與防護,也不能少。

對於開啟檔案的可能風險,要有基本概念和顧慮

郵件附檔也是如此,即便是熟悉寄件者的來信,也要注意盡量不要開啟高危險的檔案格式,像是.EXE、.JS、.JAR等,儘管現行一些郵件系統也會預設阻擋一些高風險的檔案格式,但一般用戶更應該先思考的是,為什麼會收到這種檔案格式的附檔?

還要注意的是,文件與壓縮檔也可能暗藏危機,例如近年一些攻擊手法就是在微軟Word、Excel文件中,夾帶惡意的巨集,或是能在PDF文件藏有JavaScript,或是將惡意軟體藏身在壓縮檔內,使用者不容易一一識別。

當然,如果用戶擔心檔案或連結有問題,有些人可能會想到上傳到Virus total網站檢查,這是一種查驗方式,但也必須要有一些觀念,像是還是可能有沒被偵測出的狀況存在,此外,也要有不應將重要檔案隨意上傳的安全意識。

夾寄Office文件也可能暗藏惡意巨集

對於郵件夾帶的附檔,使用者同樣要有開啟檔案後的風險認知。使用者應注意不輕易開啟郵件附檔,對於高危險性的執行檔,如EXE等更要小心為何會收到這類副檔格式,甚至要知道,看似無害的微軟Office文件,也可能藏有惡意巨集等,一旦開啟使用者千萬不要亂點而啟用巨集。

注意手機上的收信風險

不僅如此,在手機上的收信也要特別當心,例如,在手機郵件介面要檢視夾帶的真實連結並不夠直覺,需要對著超連結長按才會跳出相關資訊,很容易發生誤點的情況。

而且,手機上的系統防護也相對較為缺乏,因此在手機上收信,對於夾帶的連結與附檔,更要注意。

在手機上檢視郵件細節不易,更要提高警覺

由於手機螢幕的介面較小,因此要檢視寄件者電子郵件信箱,以及信中所夾帶的網址連結,都比較不直覺,而且手機上的系統防護也不如電腦,郵件附檔下載的風險也較高。(圖片僅說明手機檢視郵件的風險,不代表圖中來信有問題)

善用多方查證的方式,有助於判斷郵件內容的真偽

另一方面,為了判斷郵件內容的真偽,民眾應該要有從不同管道確認資訊的概念。

有警覺性的用戶就會發現問題,察覺可疑之處,若是沒有警覺性的人,由於近年流行的許多詐騙話術各式各樣,透過網路查詢,或是向朋友、同事詢問,都是再次確認的一種方式。當然,查詢確認也還是有需要注意的部份。

舉例來說,像是近期許多用戶收到聲稱知道使用者密碼,並勒索比特幣的郵件,不清楚也可在網路上查看,是否有人遇到同樣狀況,原因是什麼?以及該如何處理。

與金錢交易轉帳有關的事務,務必從第二管道向對方確認

更要注意的是交易匯款方面的內容,像是近年商務上就出現突然變更交易匯款通知的手法,這時應該要有所警惕,務必從第二管道與對方確認。

電腦本身安全防護也應注意

最後,在上述的郵件帳號安全與收信安全之外,要避免郵件所引發的各式威脅,在基本的電腦安全防護中,也有兩大必要的原則,分別是:(一)做好作業系統與軟體的安全更新,(二)啟用電腦的安全防護軟體。

這兩種基本的電腦防護,算是很基本的要求。而且,如同前面所提,一旦用戶不慎連到惡意網站或執行惡意程式,只要系統或軟體漏洞已被修補,或是被端點安全軟體阻攔或封鎖,就還有機會保護自己的電腦不受這些惡意威脅。

簡單而言,每個系統與軟體都有漏洞,有的輕微有的嚴重,因此業者也會一段時間就發布安全更新,將這些已知的漏洞修補,不僅是電腦作業系統本身,還有像是Flash、瀏覽器、微軟Office、Java與PDF檢視器,以及各式各樣的軟體、韌體等。由於各系統軟體的預設不同,有些會自動更新,有些則不會,因此使用者應要定期執行與檢查。

此外,各式端點進階威脅防護方案,不論是作業系統本身內建,或是資安業者提供的端點防護產品。對於一般民眾而言,安裝防毒軟體仍是一種簡單的方式,多一道保護的關卡,同時也應定期執行防毒掃描與更新病毒碼。

使用者郵件使用七大安全重點

 重點1  不要使用同組帳號密碼

 重點2  若得知帳密外洩,記得從安全管道變更

 重點3  對陌生寄件者與可疑信件要有警覺

 重點4  不輕易開啟郵件中的附檔與連結

 重點5  從不同管道確認郵件內容正確性

 重點6  落實作業系統與軟體定期安全更新

 重點7  啟用電腦的安全防護軟體

認識電子郵件使用上的風險

不要輕忽電子郵件帳密外洩的風險!

用戶自己必須認識這些風險的存在。畢竟,用戶主要電子郵件帳號被入侵,所衍生的風險太多,不僅是裡面存放了許多個人重要資料,許多雲端服務忘記密碼要重新驗證,電子郵件也是接收認證碼的管道之一,另外,也可能被他人偽冒成用戶本身來詐騙自己的聯絡人。

不該輕忽電子郵件附檔與連結的風險!

無論如何,民眾應該對於網站連結與檔案的安全有基本的認知,才能對於郵件夾帶的連結與附檔有所警覺。例如,信中夾帶的連結可能是釣魚網站、惡意網站,可能導向假冒的網站藉此詐騙,誘使用戶提供帳號、密碼,甚至是信用卡號碼等敏感資訊,或是透過程式漏洞等方式將惡意程式植入電腦內;還有,信中夾帶的附檔可能含有惡意程式,引誘使用者主動去執行,像是導致電腦被勒索軟體加密,或是被植入木馬程式與後門程式。

另外,詐騙話術各式各樣,使用者若是輕信詐騙信的內容,就跟接到詐騙電話一樣危險。同時,對於交易匯款的內容更要當心,要知道跟你通信的可能不是你以為的對方,自己若不慎把錢轉到詐騙帳戶,將帶來嚴重損失。

 


Advertisement

更多 iThome相關內容