電子郵件使用安全 隨著網路的快速發展,電子郵件(e-mail)儼然已成為普遍使用的一項重要聯繫工具。對企業而言,員工在使用e-mail的同時,企業組織同時正承擔著來自廣告郵件、網路詐騙或電腦病毒等不當散佈所造成的風險,不僅消耗企業內部的網路傳輸資源,也潛藏著各種資安威脅。
本文除了介紹電子郵件最常見的四項威脅外,更解析每種威脅的防範方法,讓使用者能對電子郵件使用有更正確、安全的認知。
一般而言,來自電子郵件的威脅可分為四大項,分別是垃圾郵件、網路竊聽、惡意軟體和網路釣魚。
威脅1.垃圾郵件 垃圾郵件(Spam)指的是未經受信者同意,以電子郵件形式大量而重覆寄送的廣告郵件。內容包括成人廣告、藥品或產品廣告、商業網站廣告等,這些發送垃圾郵件的廣告商會從網路論壇、留言板或轉寄郵件等處收集e-mail。
據統計,全球垃圾郵件佔全部郵件比例,已經從2001年的7%,上升至2005年的70%。對企業而言,這些大量寄送的垃圾郵件,可能造成郵件伺服器癱瘓、網路阻塞、浪費郵件伺服器空間等危害。垃圾郵件業者常會利用社會議題散發垃圾郵件,例如現在最熱門的FIFA世界盃足球賽,根據PCWB(PC World Business)本月的垃圾郵件申訴報告中發現,許多名為「世界盃螢幕保護程式下載」、「經典足賽片段下載」與「世界盃海報」…等的垃圾郵件嚴重肆虐,而這些垃圾郵件都可能隱藏著電腦病毒、惡意軟體或個人資料外洩等的危機 。
有效減少垃圾郵件方法包括︰
‧不回覆垃圾郵件︰回應垃圾郵件只會讓廣告商曉得您的信箱是有效的,而繼續收到更多的垃圾郵件。
‧不購買垃圾郵件中的廣告商品︰因為這是鼓勵廣告商繼續不斷寄發這些廣告郵件。
‧不轉寄串接式電子郵件︰所謂串接式電子郵件,指的是例如聲稱將信件轉寄給15個人,就會帶來幸運等的郵件,這些都是惡作劇或廣告商騙取電子郵件的技倆。
‧在網站上留下資料前,記得詳細閱讀隱私權保障聲明︰確認自己的電子郵件信箱不會被使用到其他用途。
威脅2.網路竊聽 網路竊聽(Sniffing)是指截取在網路上傳輸的訊息,如果傳輸的是未加密的明文資料,那麼傳輸資料被有心人士截取後,就可以直接瀏覽這些訊息。而這些訊息若是個人資料、商業機密或信用卡資料等,所造成的將是嚴重的後果。根據美國聯邦調查局FBI公布2005年電腦犯罪調查結果(2005 FBI Computer Crime Survey),去年電腦犯罪讓美國企業耗費預估達到670億美元。
防止網路竊聽的注意要項包括︰
‧重要的機密資料應避免直接使用電子郵件傳輸。
‧如果需要用電子郵件傳遞,也應該使用金鑰或其他方式將內容加密後再寄送。
威脅3.惡意軟體 惡意軟體〈Malware〉是以破壞或其他惡意意圖而開發出來的軟體,如電腦病毒、蠕蟲、間諜軟體或其他具破壞力的程式。
惡意軟體可能夾帶在電子郵件中,並且佯稱是修補程式、工具軟體等,誘使不知情者開啟此惡意程式。而不知情的使用者若執行了這些惡意軟體,程式就會偷偷自行安裝到電腦中,尤其像蠕蟲病毒,在感染之後,還會自動利用電子郵件散播給郵件通訊錄的成員,造成企業更大的損害。
根據統計,約有八成至九成的病毒感染都是透過電子郵件,所以避免惡意軟體的攻擊,最重要的就是對惡意軟體有正確的危安認知與意識。
防範電子郵件惡意軟體,注意要項包括:
‧不開啟來路不明的電子郵件。
‧即使由朋友所寄來的郵件,也應小心確認其內容及附件。
‧最好不要啟用信件預覽窗格,因為某些郵件病毒只要預覽信件就能觸發執行。
‧開啟電子郵件附檔時,應先使用防毒軟體掃毒後再開啟。
威脅4.網路釣魚 網路釣魚(Phishing)是一種新興的網路詐騙手法,利用偽造的電子郵件與網站作為誘餌,讓使用者受騙洩漏自己的個人資料,或趁機植入木馬程式,竊取重要的資訊。
根據反網路釣魚工作小組(Anti-Phishing Working Group)2006年4月全球網路釣魚調查報告統計,全球網路釣魚攻擊通報數量達17,490件。網路釣魚常會偽裝成知名銀行或線上服務業者,通知使用者資料過期、資料需要更新,或是因安全因素需要進行身分驗證,只要使用者稍微不察,就可能掉下網路釣魚的陷阱。
預防網路釣魚,需要注意的項目包括︰
‧如果無法確定電子郵件來源,絕對不要按郵件內容中的連結。
‧若欲連結郵件中所示網站,應開啟新的瀏覽器視窗直接輸入該網站網址,而不要使用郵件中的連結。
‧收到任何以公司或網站名義要求輸入帳號密碼確認的郵件,應提高警覺或以電話確認真實性。
‧對於重要的交易網站應經常檢查帳號,以提早發現是否有異常狀況。
結語 電子郵件已成為現代人工作上最重要的溝通工具之一,瞭解垃圾郵件、病毒郵件和釣魚郵件隱藏的威脅,是防範資安威脅的基本認知。
而對於企業而言,讓員工明確瞭解︰
‧任意開啟來路不明的電子郵件附檔
‧郵件內容中的不明連結
‧在開啟前沒有掃描附件是否有病毒或惡意軟體
都會讓企業可能遭到病毒或駭客攻擊。
因此,確保員工
1.不只是接受系統安全觀念的教育
2.更瞭解開啟看起來可疑附件的危險性
3.以及讓他們知道執行這些惡意程式對企業可能造成的後果
4.並且對網路釣魚和社交工程(請參考
「中小型企業客製化資安維護系列專輯之四- 社交工程」)有正確的防範觀念
才能降低企業資安威脅風險。