網路釣魚手法弔詭 哪種電子郵件最安全?
【大紀元2017年09月19日訊】(大紀元記者顏上敏編譯報導)有時候我們在開啟電子郵件(E-mail)的時候,總是擔心會不會不小心中了網路釣魚手法,被植入木馬或後門程式之類的。因為這些寄信者看起來都沒問題,大都是我們的老闆、親戚或是銀行寄過來的。這些網路釣魚信件,無非是想竊取你的個人信息,比如登入網站的帳號密碼,或是金融卡使用的相關訊息之類的。
很多人會說,這都是使用者的錯,才會不小心掉入這樣的陷阱。他一定是按了不該按的連結,才會中木馬之類的。所以,只要不要隨意點擊連結,就不會發生這類事情了。但資安專家說,事情可沒有這麼簡單。
真正的問題在於,今日的網路郵件裡面,藏有很多地雷跟誘惑。不只是Gmail有這類問題,Yahoo的網路郵件也有,就連內建在作業系統中的Outlook 也會有這類的問題。
專家說,只有純文字文件的E-mail才是絕對安全的。所謂純文字E-mail就是對方寄過來,只有文字,沒有一些超連結或圖檔的郵件。對那些廣告商來說,網路郵件真是他們打廣告的好地方(因為用Webmail 寫信超方便,可以插入各種圖檔跟漂亮字型),處處有超連結跟吸引人點擊的圖案。但是,其實這些圖案很多時候都是多餘的啦,有點畫蛇添足,更重要的一點是,帶來危險。因為這些超連結裡面,常常是掛羊頭賣狗肉,看起來是這樣,點進去卻帶你到完全不一樣的網站去。
其實,回歸郵件的本質來看,應該只有文字訊息就夠了,這才能保證安全。就算是聯邦政府的頂尖資安專家都說,唯有純文字文件的郵件才是安全的。無論是對個人、組織或政府部門,要保證不中木馬、病毒或網路釣魚,唯有使用純文字文件郵件。
「組織或機構必須確保,其內部員工使用的Email 格式必須將HTML格式屏除在外。所有的電子郵件應該都用純文字格式來書寫,這將可以避免那些經由不安全程式碼跟超連結所帶來的潛在性危險。同時也可以減少不小心或好奇心點擊所帶來的風險。純文字文件格式的郵件,將可以避免在文字段落內建立超連結,他要做超連結只能複製貼上,這樣網址是哪裡都可以清清楚楚。這樣做的目的是讓收信的人可以在點擊之前還有思考機會,可以再多想想,我要不要點。」
對問題的誤解
近年來,網路郵件使用者,被嚴格的教育在開啟電子郵件瀏覽網頁之時,要非常仔細小心。他們也被要求不要打開來路不行的電子郵件,也不要隨意就打開附加檔案。公司或組織,甚至付費給網路資安公司來測試他們的員工是不是有遵循上述規範。但是網路釣魚事件還是一直發生,而且變得越來越頻繁。
一些新聞媒體在網路安全方面的關注與批露有時也使情況顯得有些複雜。比如《紐約時報》說,民主黨全國委員會(Democratic National Committee)的電子郵件安全把關鬆散,他同時也指出一些可能的問題。比如,老舊的網路安全設備,來源不明的複雜攻擊,比較差的研究員跟漫不經心的助理等。《紐約時報》也說,這些人感覺就是對電子郵件的安全意識薄弱。
那些造成數百萬美元經濟損失的網路郵件的真正問題在於,網路郵件不會只有文字而已。因為使用者必須透過網頁開啟,也就是說必須透過瀏覽器開啟,那網頁裡面難免就會有各式吸引人的圖檔跟超連結。所以說這樣的環境提供了網路釣魚的犯罪空間。
瀏覽器的設計其實潛藏極大的風險
瀏覽器這項工具其實是非常不安全的。因為在設計上,瀏覽器可以揉合很多訊息來源在同一個頁面上,比如文字內容是一個伺服器提供,廣告來源是另一個,圖像跟影音是第三個,有時候網頁上有些「喜不喜歡」,「贊不贊成」按鈕,是另一個伺服器提供,等等。所以一個網路郵件的頁面,就是一個大雜膾,裡面有很多供應商提供資料湊成一個頁面。當然在美工設計上,這些連結跟按鈕還有圖檔,都排的美美的。但其實使用者不知道,這張圖是誰提供的,也不知道點下去,會連到哪裡。
更糟的是,它讓網頁,還有電子郵件,可以欺騙使用者。比如,當你在瀏覽器的網址列打「google.com」,你可以很確定你會被導到google 的網站上去。但是當你點擊一個上面寫著google的按鈕,你真的確定你按下去可以到google 頁面嗎?除非你很仔細的讀網頁後面的html原始碼,不然你無法分辨。
有好幾種方法可以在網頁上動手腳,來誤導使用者。這是不安全的,因為使用者無法預料他這樣點下去會發生什麼事。安全的連結可能跟惡意的連結並列在一起,但是在外觀上你根本看不出來。
當一個使用者打開電子郵件的時候,他無法預測他點擊的這個按鈕或連結是否如他表面所顯示的這樣,他也不知道他這樣點下去會連到哪家公司去或接下來會掉到誰的陷阱中。在設計上,瀏覽器隱藏了他背後的原始碼。在你瀏覽一般網頁的時候,你可以選擇你信任的網頁來瀏覽,但是網路郵件,說白了就是直接置你於險地,因為你可以收到各式各樣看似安全跟可信任的電子郵件。
要在使用網路郵件的時候,要自保只有一招,就是學會如何設計一個網頁。只有你自己懂HTML, Javascript跟一些程式碼,你才能看懂網頁運作的方式為何。只有這樣你才會知道一個點擊下去,你將會被帶到哪裡。當然啦,要使用者都來學網頁設計是有點不太可能,但要真正解決這問題,唯有此途。
除非軟體工程師或程式人員可以修正瀏覽器的一些問題,讓使用者可以確認他這樣點擊下去將發生什麼事,不然我們應該聽從東尼•霍爾(C.A.R. Hoare)的建議,「追求極簡化的代價就是犧牲彼此的信賴感。」
最安全的郵件是純文字格式的郵件
公司或其它組織其實比一般民眾容易受到不安全網路郵件的攻擊。個人只需擔心他自己的點擊,但是對公司來說,每一個員工都是弱點,都有可能造成公司的損失。用簡單數學概念來說就是,如果每一個員工都有1%的機會受到網路釣魚攻擊,那就一家公司來說,該公司的風險就是全部員工機率的總和。事實上,根據研究,一家員工數超過70人或更多的公司,大概有超過50%的機率會常常在網路郵件上犯錯,進而造成公司損失。
作為技術專家,長久以來我們一直在強調儘管有些科技看起來令人振奮,但它其實是很糟糕的發明。一些有安全意識的使用者,通常會要求對方寄過來的格式要是純文字文件。不幸的是,這樣具安全意識的人真是不多,但這其實是要杜絕網路釣魚唯一的方式。
那些拒絕執行此一建議的寄信者,應該都被排除在你的通訊錄名單中。網路郵件可以變化的花樣多多,看起來好看沒錯,有漂亮的字形,有花俏的廣告跟圖檔,影音等,但是這並不安全。
要記得,唯有純文字文件格式的Email,不含超連結跟圖檔的電子郵件,才能保護你不小心誤觸地雷。#