ASRC垃圾訊息研究中心 2013 電子郵件安全趨勢預測
揮別2012,電子郵件在企業商務的應用上仍然扮演著舉足輕重的角色;即將迎來的2013年,電子郵件威脅毫無消失的跡象。安然度過瑪雅末日,我們更應該了解2013年可能為您的職涯、商譽、財產,甚至網路世界帶來末日的電子郵件威脅!這個說法並不誇張,2011年5月美國軍火大廠洛克希德馬丁(Lockheed Martin)網路遭到駭客重大且頑強的攻擊,就是透過電子郵件所發起。
2013電子郵件安全趨勢著眼點已不再是如何避免垃圾郵件造成的產能浪費,駭客已將其精神轉投注在高效益的社交工程攻擊郵件上,ASRC垃圾訊息研究中心(Active Spam-message Research Center)為2013年的社交工程攻擊歸納出三大重點趨勢:
偽社群網站釣魚郵件
社群網路越益發達,已經開始讓人搞不清楚社群的朋友自己是否真的認識。隨著朋友清單越來越多,來自社群網站上邀請加入好友的通知信,到底該不該加入?能不能點擊其中的超連結、附加檔案?建議三思而後行!許多的惡意攻擊假冒知名社群網站,在其中放入了釣魚網站的連結、惡意檔案,目的是要竊取個資或取得電腦的所有權。部份由駭客發出的單純交友邀請並沒有放任何的惡意連結或程式,「交朋友」只為了觀察生活習慣,拼湊出個人的資訊地圖,再做進一步利用。
帶有惡意附件郵件
這類型的威脅郵件可說是長老級的了,最早期夾帶的惡意附件往往都是很明顯的病毒執行檔;經過演化,病毒執行檔加上了壓縮與密碼,用以避開防毒偵測;而現在最流行的作法則是在電子郵件中置入一般認為安全的文件檔,比方.doc、.xls、.pdf、.html…等,或將這些攻擊程式放在網路上,電子郵件內容僅放置簡單的下載連結,這不僅能縮小攻擊郵件的體積,還能躲過大部份的惡意程式檢查,如果再冒名為網路管理員或社群網路的來信,攻擊成功的機率將大幅提升!
電子郵件帳密竊取問題
為何駭客需要竊取電子郵件帳號與密碼?主要有三種好處:閱讀被入侵者的私密郵件、利用被入侵者的信用與交友圈、掩飾攻擊者真正身份與意圖。這三種好處都非常利於進階持續性滲透攻擊(Advanced Persistent Threat, APT)。竊取的方式主要有兩種方法,第一種是傳統的釣魚郵件攻擊,透過假網站或惡意程式直接偷取敏感資料;而另一種的竊取方法,是直接以SMTP認證的方式進行密碼猜測,據ASRC垃圾訊息研究中心的統計,一般企業在一日內平均每十分鐘約有4-10次無聲無息的密碼猜測嘗試。許多人會認為,將密碼的長度加長、混合符號、數字與英文大小寫,並加上密碼嘗試次數的限制便可防止密碼遭到破解,但事實卻不然!密碼的使用者為免密碼忘記,會以方便聯想的方式創建密碼。以「P@ssw0rd」這個密碼為例,它是由password這個英文單字聯想而來,密碼的長度長達八位,並充份混合符號、數字與英文大小寫,依傳統字典檔暴力猜測,需要猜上一萬億次才可能破解。但是「P@ssw0rd」卻是公認被常用的弱密碼之一,如果採用常用弱密碼表進行猜測,此密碼很可能在十次嘗試以內便遭破解。
中華數位科技為因應2013電子郵件安全趨勢變化,大幅強化了旗下郵件過濾產品SPAM SQR面對威脅郵件的防護能力。除了可偵測多種釣魚與攻擊郵件、主動屏蔽所有來自Botnet的郵件外,更有SMTP認證密碼防猜保護、弱密碼檢測服務,並可防止冒名黑函或進一步的社交工程攻擊。搭配中華數位上網管控產品Content SQR,則可進一步免除內部人員因不慎瀏覽釣魚網站可能為企業帶來的風險。詳細資訊請參閱中華數位科技官網:http://www.softnext-inc.com/
關於ASRC垃圾訊息研究中心:
ASRC垃圾訊息研究中心(Active Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。