2014 第一季電子郵件安全趨勢

2014年第一季,垃圾郵件並沒有被持續的狂發,但是潛藏在其中的威脅卻越來越多─尤其是直接夾送惡意檔案的威脅郵件!攻擊手法與包裝技巧也越益精緻。經過多年來與垃圾郵件的共處,相信一眼分辨出何者是垃圾郵件,何者是正常通信已不再是難事;但若是一封惡意攻擊的郵件,有辦法一眼看出來嗎?

病毒信偽造圖示,誘騙使用者執行惡意程式

病毒信一樣透過中毒殭屍電腦或盜取的SMTP帳號密碼持續發送。這些病毒信量不小,通常以壓縮的方式包含一個.exe或.scr檔案,屬於高變化性的多型病毒家族。值得留意的是這些病毒信未必能在你收到信的當下即可被防毒軟體偵測出來,而且製作病毒的人熟知Windows系統預設並不顯示副檔名,通常使用者是以圖示來分辨檔案類型,所以這些病毒通常都會被放上Microsoft Office或Adobe Acrobat PDF系列的圖示,用以誘使收件者執行惡意程式。如感染此種惡意程式,它會注入瀏覽器的執行程序並藉機側錄鍵盤敲擊的記錄或下載其它惡意程式。

和金錢支付相關的行業,都有可能被釣魚郵件冒名

釣魚郵件在近幾年的郵件威脅中一直都沒有缺席過。在早期,釣魚信多半偽冒為銀行或金融單位的來信,並搭配一個假網站「釣取」收信者的帳號密碼與機敏資料;而近期的釣魚郵件則不再限於冒名金融相關行業,凡是能進行金錢支付或存在信用卡相關資料的行業,都有可能會被冒名。

冒名管理者通知信,騙取電子郵件帳號密碼

還有一種釣魚郵件,它不會冒名任何企業,而是冒名管理者的通知,意圖騙取你的電子郵件信箱帳號密碼,並進一步進行郵件中機敏資料盜取,或透過此電子郵件信箱帳號再發出攻擊信給其它人。

APT攻擊透過電子郵件發起,減低成本提高成功機率

較令人擔心的是進階持續型的攻擊(APT,Advanced Persistent Threat),這類攻擊通常會透過電子郵件發起,除了減低攻擊成本外,也能有效提高成功機率。在發動攻擊前通常會對攻擊目標進行了解,可能進行連接埠掃瞄、探測甚至SMTP認證的密碼猜測,以便進行後續的社交工程攻擊。在發動攻擊時也會較一般的病毒郵件考慮更多的細節,例如:將真正的攻擊執行檔改名並設為隱藏檔的屬性,而以一個捷徑搭配指令來觸發該攻擊執行檔,並且將這個攻擊組合以壓縮加密的方式打包,再將郵件的內容改為攻擊日常會收到的郵件內容,以社交工程的手法提高攻擊的成功率。

垃圾郵件出現至今已45年,它沒有被消滅,目前也看不到它被消滅的趨勢。在郵件信箱中看見垃圾郵件的出現,你我早已不意外,我們的日常生活已經適應了垃圾郵件這種惱人的東西,刪除垃圾郵件可能已經成為下意識動作。由於早已能快速分辨出何者為垃圾郵件與一般通信,當惡意攻擊的郵件偽造為一般通信時,反而會被保留下來,這不僅僅適用於人,也適用於垃圾郵件過濾機制。傳統的垃圾郵件過濾機制,透過辨識垃圾郵件中的廣告字彙、發送者與發送來源並進行過濾,但ASRC發現,越來越多駭客正努力偷取電子郵件的帳號密碼,被竊電子郵件信箱通常已經保留了一段期間的通信,也有相關連絡人與通信用語,因此,拿來發送威脅以假亂真的郵件,並夾帶客製化的攻擊程式,真的是難以防範與偵測!這樣的攻擊已經漸成趨勢。

因此,ASRC建議您應檢視您目前的郵件過濾系統是否具備偵測未知惡意附檔的能力,並做內部密碼稽核的工作,確認郵件系統使用者並沒有使用懶人密碼,最後則是必須有相關機制,防止外部駭客持續嘗試猜測SMTP認證密碼。做好電子郵件信箱安全防護不僅可免於受駭,也可以避免成為駭客的幫兇!

※關於ASRC垃圾訊息研究中心:
ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。