電郵騙案面面觀

有網絡安全公司指出,多達九成一的網絡攻擊由電郵開始,原因很簡單,因為這是最容易、成本最低、攻擊範圍最大,成功率也最高的方法。

互聯網電郵最初的設計,是沒有太多網絡安全考慮的。而電郵一般有以下風險。

垃圾電郵:是指一些不請自來,漁翁撒網式的電郵,例如一些賣藥的、增強身體機能的。這些電郵賣的貨品良莠不齊,更可能是非法的。這些電郵都沒有提供不接收訊息的選項。雖然我們只要不理會這些垃圾電郵就是,但如每一天收很多這些電郵,要花時間清除它們也是不勝其煩。

有害電郵:有一些電郵內附有害的附件,可能是一個執行檔或普通文件。收件人如不虞有詐打開了附件,電腦就可能中毒。

釣魚電郵:電郵內會有一些連接到有害網站的超連結。這些網站常常假扮成一些常見網站,例如PayPal、O365、銀行網站等,幾可亂真,騙取用家的個人資料。

CEO詐騙:俗語有云:「橋唔怕舊,最緊要受」。這不是甚麼高科技的技術,只是回歸最基本,電郵假扮公司的CEO或高層,欺騙收件人轉錢,或只是代為購買價值一百幾十元的儲值卡。這些看似很低水平的詐騙,但現實還是會有人上當,甚至損失數百萬元。

其實電郵詐騙,來來去去都是這幾度板斧,通常都會假扮與收件人有往來的發件者和連結的網站,然後內容就說很緊急,要收件者立即行動;又或以利益如很大的折扣,來引誘收件人點擊或回覆。

我有時想,為何黑客的伎倆十年如一日,也不改變一下呢?我想主要有兩原因,一就是如這些方法仍然有效,根本不需要改變;二是黑客的目標,根本就是一些保安意識最低的一群人。欺騙這群人的成功率最高,成本也最低,黑客不想花心神時間,在一些比較難欺騙的對象上。同樣道理,這就是我們今天仍不時收到「你有一份急件」的詐騙電話一樣。

一些電郵保安系統,可有效過濾這些惡意電郵,但用家仍要保持警覺。在收到一些可疑電郵,在打開附件或按下連結之前,停一停,想一想:發件者是誰?我認識的嗎?我應該收到這電郵嗎?連結的網站是聲稱的網站嗎?這些都不是一些很難掌握的事,只要我們有網絡安全的意識,就做得到。

葉曼春
香港電腦學會網絡安全專家小組委員會成員

Click here to read the full article on 星島日報 (Chinese only).