作者:張傑生 / 臺灣大學計算機及資訊網路中心作業管理組
常收到一堆廣告垃圾郵件嗎?一般通稱為「SPAM Mail」或惡意電子郵件(Malicious Email)。面對如此廣大無力招架的垃圾郵件,要如何因應與自保…
一、前言
長久以來,電子郵件使用者最常提出的抱怨的,不外乎信箱被廣告信件塞滿。使用者必須浪費許多時間分類處理,有時甚至造成正常信件被誤刪,錯失重要資訊。然而隨著電子郵件服務普及,資訊科技進步,這類惱人的現象非但沒有獲得任何改善,惡意信件反而經過演化變種,發展出更多種類的威脅,對於個人及企業之資訊安全防護,產生嚴重衝擊
一般來說,惡意電子郵件(Malicious Email)通常被廣泛地稱做垃圾信或廣告信,英文的泛稱則為「SPAM」。根據賽門鐵克(Symantec)公司2007/10所公布之SPAM Monthly Report[1],目前在Internet上所傳遞之電子郵件,「SPAM」占總量的比率高達70%。換句話說,如果沒有採取任何過濾、防護措施,那麼每十封收到的電子郵件當中,可能只有三封才是真正有效的信件。由此可知,「SPAM」對於使用者、網路頻寬、郵件伺服器甚至網路文化的影響,遠遠超乎我們想像。
二、各式惡意電子郵件種類介紹
現今常見的惡意電子郵件(Malicious Email)種類,大致可區分為以下四種:
1. 廣告
廣告信件可說是歷史悠久,歷久彌新。它們還會跟隨時代腳步演進,以符合流行風潮。廣告內容則是五花八門,包羅萬象。從傳統的商品促銷,包括:補藥、色情光碟、未上市公司股票,到恐嚇你必須轉寄十份出去,否則會遭致厄運的連鎖幸運信(chain letter),甚至直銷公司吸收會員的召募廣告,不一而足。
這類廣告性質的郵件,佔所有「SPAM」的大宗。令人頭痛的是,由於商品眾多,導致信件內容差異性高,因此難以找到有效自動化辨識的方法。而且經過多年鬥法,廣告業者早已學會在信件內容中隨機安插不同的正常內容,例如笑話一則、新聞一篇。如此一來,可以成功誤導利用資料庫特徵比對的判讀程式。此外,為了規避程式的文字判讀機制,近一年來,廣告業者大量使用圖片或者PDF檔案傳送廣告內容,亦成功突破不少過濾軟體的防線。這類信件也因此被稱為「Image SPAM」及「PDF SPAM」
2.病毒
簡單的病毒定義,包括可自我複製,嘗試感染其他電腦,產生破壞性危害等。傳統的病毒傳遞,多是利用磁碟片做為媒介,趁著使用者進行檔案交換時,藉機感染其他電腦。然而隨著網路及設備演進,今日的病毒媒介早已進化為「電子郵件」及「USB隨身碟」。
由於病毒多是以可執行檔及Microsoft Office巨集的方式存在,因此感染成功的必要條件,須誘騙使用者執行該檔案。常見電子郵件病毒的特性,會將病毒檔案寄送給通訊錄上的每一位朋友,藉此博取信任。信件的主旨及內容,也會再三強調信件的重要性,例如:請更新我的通訊錄、重要的檔案請儘速閱讀、好玩的遊戲喔。利用這些伎倆增加收件者的好奇心,讓他們不自覺落入陷阱。這種方式也被稱為「社交工程(Social Engineering)」。
為避免使用者輕易上當,目前大部分的郵件軟體,包括Outlook Express、Thunderbird等,都已經預設禁止執行附加檔案。甚至連HTML信件內的java script程式也不允許,以確保使用者安全。此舉雖然造成部分使用者的不便及抱怨,然而系統安全與使用者便利永遠處在兩個極端,很難達到人人滿意的平衡點。
雖然病毒程式對於電腦系統會產生實質破壞,然而藉助於防毒軟體技術的進步,目前電腦病毒的威脅對於一般企業來說,屬於可控制的風險。原因在於,相較於廣告信件內容的天馬行空,難以利用程式判讀,病毒程式往往有跡可尋,即便經過多次變種,程式內永遠會存在可供識別的特徵資料(pattern、signature)。因此只要定期更新病毒碼,大部分的病毒程式都可以被成功攔截。目前各大企業防制病毒信件的標準程序,都是在郵件伺服器端安裝防毒軟體,通常可達成99%以上的過濾成效。此外,再加上使用者端電腦的防毒軟體,雙管齊下,成效斐然。因此近幾年來,已經鮮少聽到利用電子郵件散發病毒所造成的大規模傷害事件。
3. 釣魚(Phishing)
在廣告信件發芽成長的初期,網路上販賣電子郵件地址名單的不肖業者比比皆是,由於名單販賣都是以有效筆數來計價,因此如何確保名單的正確性,便成了廣告商強調品質的指標。於是,有聰明的業者發明了一個小技巧,在寄出的每一封廣告信件內,加上一個退訂機制,告訴收件者:如果你不想再收到廣告信件,請回信給我們,或者請按以下連結。如此一來,只要收件者真的發出回應表示希望退訂,那麼廣告業者即可確認該郵件信箱是真的有人在閱讀,於是可輕易維持一份非常高價值的active list,後續可以轉賣獲利。
基本上,前述案例只是一個古老的釣魚小故事,發展迄今的「釣魚花樣」早已變化多端,令人難以辨別。有別於廣告及病毒,「釣魚信件」的目的在於騙取使用者的個人資訊,進而利用該資訊牟利。要如何取信於使用者,進而讓使用者更進一步輸入個人私密資料,例如身份證字號、信用卡號、銀行帳號密碼等,這需要極高的創意與想像力,編織合情合理的情節,才能誘騙使用者一步一步地掉入陷阱而不自知。典型的作法,仿照某公司的正式信函,通知你的網站帳號,甚至銀行帳號有問題,要求你連到公司網站,輸入帳號密碼,以便更改資料。殊不知你連線的公司網站乃是假造的,一旦輸入帳號密碼後,個人資料也因此遭竊。真實的例子請見下圖一。雖然該信件仿製地維妙維肖,從寄件者到公司Logo、Copyright聲明,甚至信末還有現在大公司常用的Track ID,然而,只要使用者夠細心,將滑鼠移至信中要求你前往的link上,視窗底部所顯示的連線位址就會讓這封詐騙信件漏出馬腳。事實上,只要多看新聞報導,不難發覺盛行於兩岸三地的詐騙集團,早已將此種詐術發揮地淋漓盡致,堪稱為最佳典範。
圖一、偽造PayPal公司送出的通知信
根據反釣魚工作小組(Anti-Phishing Working Group)的報告[2]顯示,目前最流行的釣魚目的,多是以竊取使用者資料並且實質獲利為主。也因此90%的釣魚網站都是鎖定在金融機構或網路拍賣網站。竊取金融帳戶的目的顯而易見,然而,因為近年來銀行對於線上交易的限制日益嚴苛,因此最近釣魚網站的注意力反而轉移至小額付款或線上拍賣的網站。前者的代表為「PayPal」,由於小額付款的精神在於簡單易用,因此防護措施不若網路銀行般多所限制。而且依照常理來說,一般人恐怕不會願意因為小錢而跨國興訟。後者的代表則是「eBay」,拍賣網站的詐騙手法早已從過去大家擔心的惡意買家賣家,轉變成兩頭通吃的「截標客」,對於買賣家來說,遇上這種事情,不但損失金錢及貨物,還會被交易對方列入不良評等,可說是賠了夫人又折兵。從英國知名反釣魚網站(millersmiles)[3]所做調查可知,目前釣魚網站最愛假造的公司如下:eBay、PayPal、Chase Bank、Bank of America、HSBC、Halifax Bank、Barclays Bank、Lloyds TSB Bank、Nationwide Wells Fargo、AOL、Regions Bank。
下圖二則顯示了最近PayPal公司遭到假造的釣魚信件案例。
圖二、近一個月內PayPal公司遭到假造的釣魚信件列表
4. 木馬(Trojan)
木馬程式又被稱為後門(backdoor)程式,如果按照歷史演進,大概可以排入病毒族譜中的一支。然而木馬程式之所以近年來受到眾人矚目,並且獨立門戶自成一支,最主要的原因在於,雖然與病毒程式系出同門,但是危害程度卻青出於藍,不僅潛伏於使用者電腦內,記錄使用者瀏覽網站,蒐集使用者帳號密碼,必要時甚至可以接受遠端遙控,將使用者電腦化身為發動入侵攻擊的跳板。當然了,扮演發送垃圾信的角色,也是木馬程式的日常功能之一。
對於使用者來說,電腦會被植入木馬的管道,類似於病毒傳播的途徑,主要就是透過電子郵件的傳遞,或者是瀏覽惡意網站。過去常常有聽到網頁綁架的案例,使用者瀏覽某些網站後,未來再度開啟瀏覽器時,首頁將自動連線至某網站,而且無法修改。常見的作法是利用自動執行JavaScript或者是ActiveX的機會,嘗試安裝軟體至使用者電腦,藉此修改瀏覽器首頁,或者是進行瀏覽行為統計。然而隨著道德淪喪,人心不古,現在的木馬程式,無論透過電子郵件或者是惡意網站散播,安裝的軟體早已不是綁架瀏覽器首頁,而是更惡毒地搜尋你的瀏覽器,找出曾經記錄的帳號密碼。甚至替你安裝key logger,記錄未來你敲入的每一個key stroke,如此一來,所有你造訪過網站的帳號密碼,全都一覽無遺。此外,由於P2P軟體交換的風行,甚至有些木馬程式會藏身於P2P軟體內(例如Foxy),趁著使用者與與其他人交換檔案的同時,將電腦內有價值的各式文件資料一併送出。日前國內某軍方單位發生的洩密案,就是肇因於公事家辦,而家裡電腦安裝了該類P2P軟體,而造成許多機密文件曝光。
使用者不難發現,其實威脅程度最高的惡意電子郵件,非木馬莫屬。廣告信件頂多造成困擾,病毒早已得到有效控制,至於釣魚信件屬於被動式願者上鉤型,雖然危險,但是只要臨危不亂,避免中計,至少不會發生實質傷害。唯獨木馬程式,因為屬於主動式攻擊行為,一旦電腦遭受入侵,立即面臨資料外洩風險,此外,若電腦因此被當作入侵攻擊的跳板,未來使用者恐怕得遭受調查。即便最後釐清責任歸屬,期間耗費的時間精神,難以估算。
三、計中電子郵件系統因應措施
為了提升資訊安全,加強對使用者保護,計算機中心多年來持續投入資源,致力提供安全無毒的高品質電子郵件服務。透過部署於電子郵件伺服器的多層次防護系統,目前對於病毒信件的攔阻成功率達99.9%,幾乎已經是滴水不漏。然而釣魚及木馬信件,礙於目前掃瞄技術瓶頸,偵測率分別約為80%及90%,無法達到盡善盡美。相較於病毒、釣魚及木馬信件,因為具備非常明顯的檔案特徵,例如:可執行檔,已被列入釣魚網站名單的link等,因此判斷結果通常為黑白分明的0或1。然而廣告信件的判斷,即便目前已經藉由許多方法加以偵測,例如:黑名單、關鍵字、內容hash比對、header檢查等,仍舊無法達到可接受的程度。更困擾著大家的是,一旦發生誤判情況,很有可能造成漏失重要資訊,後果更是難以彌補。因此,目前計中對於廣告信件的處理政策是,盡可能不去刪除使用者信件,降低因為誤刪所造成的困擾。然而我們依舊會針對每一封電子郵件,套用各種判斷比對,並且將系統認定可能為廣告信的郵件,加上特殊標記,後續由使用者自行決定如何處理。舉例來說,如下圖三、四,Webmail系統及Outlook Express可自行設定規則,將疑似廣告信放置於另一獨立信件夾(SPAM),未來有需要時方便查詢。而且不會影響正常INBOX信件夾的閱讀。
圖三、Webmail系統自行設定「SPAM」信件夾
圖四、Outlook Express自行設定「疑似廣告信」之信件夾
四、使用者自保之道
對於一般使用者來說,如何面對網路上層出不窮的威脅,往往是一大挑戰課題。以電子郵件服務為例,即便目前稍具規模的學校、企業或者free provider都會特別針對惡意電子郵件加以過濾攔截,然而卻無法保證萬無一失。在此,我們提出幾點建議,希望供使用者自保之道。
-
安裝防毒軟體,確認定期更新定義碼,並且定時進行全機掃瞄。
-
安裝偵測惡意程式軟體,確認定期更新定義碼,並且定時進行全機掃瞄。在此列出兩種免費軟體,供使用者參考。
-
確認定期執行Windows update與office update,並且更新瀏覽器版本,避免因為軟體先天缺陷造成的安全漏洞。
-
可以試著啟動Outlook的垃圾郵件篩選器,雖然效果差強人意,但是多少有些幫助。
-
收到來歷不明的信件時,避免按照信件內容指示行事,也不要開啟附加檔案。
-
點選信件內附之網頁連結前,請再三確認該連結是否有異狀。例如:
-
明明信件是某銀行寄出的客戶通知,但連結卻不是該銀行網址,反而是位於其他公司或國家的網址。
-
網址之domain看起來很奇怪。例如:google變成gooogle或g00gle。
-
特別注意使用IP之網址。例如:http://192.168.1.1/login.asp。
-
遇到任何向你索取帳號密碼等個人資訊的情況,請務必三思而後行。
總而言之,雖然外在的威脅與日遽增,然而養成良好的使用習慣,隨時保持高度警覺,可以有效降低入侵中毒或個人資料外洩的機會。最後也得再度提醒使用者,除了電子郵件之外,同樣的自保之道,也相同適用於網站瀏覽及P2P檔案交換的情況,建議提高警覺,保護自我
參考資料:
- The State of 「SPAM」 A Monthly Report–October 2007
http://www.symantec.com/content/zh/tw/about/images/news/Sysmantec-「SPAM」-Report-Oct-2007.pdf
- Phishing Activity Trends Report for the Month of August 2007
http://www.antiphishing.org/reports/apwg_report_august_2007.pdf
- MillerSmiles
http://www.millersmiles.co.uk