國家發展委員會檔案管理局

愛仁輪事件爭議始末
No.117 發刊日:106年3月16日
檔案樂活情報 FB twitter plurk Google Bookmarks 愛仁輪事件爭議始末
檔案知識+-郵件,是真是假分不清?別再被愚弄了!

郵件,是真是假分不清?別再被愚弄了!

避免成為電子郵件攻擊的受害者

在現今資通訊發達時代,電子郵件成為資料傳輸、溝通訊息、處理公務、聯絡感情等便利迅速的資訊交流方式,是每日工作不可或缺的一環。若是被有心人士利用電子郵件進行各種攻擊,將造成嚴重的損失及傷害。我們該如何避免成為電子郵件攻擊的受害者呢?本文將介紹相關做法,讓您使用電子郵件更安心!

國家發展委員會檔案管理局文書檔案資訊組科長 尤暖霞

壹、如何降低仿冒電子郵件的威脅

為提升政府機關之行政效率、便捷為民服務,很多公務的推動也透過電子郵件的方式作業。然而正式的公文書,有關防可供辨識真假,但是電子郵件係透過電子郵件網路地址寄送,無法直接辨識寄件者真假,進而產生相關的風險與威脅。

一、郵件風險

電子郵件是機關對外服務的合法管道,在現今佈署層層防護設備的網路環境,使得電子郵件成為駭客利用社交工程寄送惡意郵件攻擊之情況十分普遍。這種手法是利用收件者的人際社交網絡,針對受害者電子郵件信箱作為攻擊目標,主要的威脅在於有心人士並不需要具備頂尖的電腦專業技術,而當員工對於防範詐騙沒有足夠認知的情形下,就可以輕意的避過機關層層的軟硬體安全防護(圖1)。這些有問題的惡意電子郵件藉由夾帶病毒、木馬程式、蠕蟲、惡意執行檔或經由精心變造過之惡意電子檔案等附件;或是在信件本文中夾帶惡意連結、網路釣魚,甚至偽裝機關單位寄發的電子郵件,達到入侵之目的(圖2),並且造成機關或個人威脅和損失。

圖1電子郵件通過機關層層軟硬體防護架構圖
圖1 電子郵件通過機關層層軟硬體防護架構圖
圖片來源:檔案管理局內部電子郵件安全教育訓練資料
圖2電子郵件攻擊風險
圖2 電子郵件攻擊風險
圖片來源:國家資通安全會報技術服務中心

二、仿冒郵件的手法

我們每天都會收到電子郵件,但哪些是正常?哪些又是惡意?為避免受到郵件無聲無息的攻擊,除了資安設備的防護外,最重要是要瞭解電子郵件仿冒攻擊的手法。仿冒電子郵件方式有寄件者仿冒及釣魚郵件,分別說明如下:

(一)寄件者仿冒:顧名思義就是仿冒寄件者,此種方式技術門檻不高。只要於開啟信件時,仔細確認寄件者帳號與顯示名稱即可避免受害。在技術面可以透過導入電子郵件數位簽章,確認寄件者之身分,避免郵件被仿冒。主要手法如下(圖3):

1.顯示名稱仿冒:係利用電子郵件收件軟體(如:outlook等)顯示寄件者名稱之功能,更改寄件者顯示的名稱,實際上電子郵件帳號與顯示的的寄件者名稱是不同的。

2.電子郵件帳號仿冒:係假造1個與寄件者電子郵件帳號很接近的帳號,欺騙收件者,如:用123@gmaill.com假裝是123@gmail.com 。

3.假造電子郵件封包標頭來假冒寄件者: 係使用電子郵件協定的弱點,完全假冒寄件者的名稱以及電子郵件位址,讓使用者誤以為是合法的寄件者,但實際上透過寄件者郵件伺服器的反查,可以查出寄件伺服器的IP網路位址是錯誤的。當然郵件仿冒,甚至可能透過入侵寄件者的電腦寄發信件,但此種方式的仿冒,就只能依靠資安設備偵測及收信者的警覺性來避免。

圖3寄件者仿冒方式
圖3 寄件者仿冒方式

(二)釣魚郵件:係指以偽造電子郵件引誘收信者洩漏個人資訊 (例如銀行帳號和密碼) 的惡劣手法。網路釣魚郵件寄件人通常偽裝成XX銀行、網路購物網站或與業務往來的對象,郵件中都會有寄件者的機關商標等相關識別資訊,藉以取信受害者,通常會附上詐騙連結,實際上會連結至詐騙或惡意網站,催促輸入並提交使用者的個人資訊或透過點選瀏覽惡意網頁,趁機植入惡意程式至使用者電腦,以竊取使用者的身分、金錢,駭入機關竊取敏感資料。

因此,瞭解如何辨識網路詐騙仿冒跡象,有助保障你的網路安全。收到郵件,千萬不要衝動,不要急著開啟郵件,對不明或可疑郵件不要點擊任何連結或開啟任何附件。

貳、使用電子郵件數位簽章,強化郵件安全

一、數位簽章

在電子郵件偽冒日益嚴重的時代,最好的方法就是導入電子郵件數位簽章的機制,可以驗證寄件者的正確性,降低收件者的受害風險。

數位簽章是一種利用計算機科學的技術,來模擬人們在實體世界中針對文件簽名的行為。透過PKI公鑰基礎建設,讓使用者建立一組公鑰(Public Key)與私鑰(Private Key),私鑰用於對訊息(此指電子郵件訊息)做加密及簽名,公鑰用於對訊息做解密及驗證。其具有下列的安全性功能:

(一)驗證身分:數位簽章可確認寄件者身分,用以驗證該郵件確實為該寄件者寄出,並且證明該寄件者的唯一性。

(二)郵件不可否認性:數位簽章是用寄件者專屬的私密金鑰進行郵件簽章,當收件者收到信件進行驗證,寄件者無法否認曾經寄出該封信。

(三)資料完整性:針對電子郵件內容進行簽章,用以保持資料完整性。收件者收到經加簽過之電子郵件,即可確定自己所收到的電子郵件便是寄件者當初簽章傳送的同一封郵件,並未在轉送過程中遭到竄改。郵件一經簽章後,若在轉送的過程中有任何修改,都會使簽章失效。

二、如何啟用數位簽章設定

前各機關辦理公文線上簽核作業所搭配使用的自然人憑證、工商憑證、GCA憑證等均可以進行電子郵件數位簽章,不需額外採購憑證,只要在收信軟體(如outlook)進行設定(圖4、圖5),即可進行郵件加簽作業,並於收信時進行電子郵件之數位簽章辨識,檢視驗證分析相關的簽章(圖6)、檢視顯示名稱與郵件帳號、分析郵件主旨,不開啟任何寄件者沒有事先知會的附件及追踨寄信來源,就可以有效強化郵件的安全性,降低仿冒電子郵件的威脅,建議大家可以試試看喔!

圖4 使用outlook 2010收信軟體設定郵件使用數位簽章
圖4 使用outlook 2010收信軟體設定郵件使用數位簽章
圖5 使用outlook 2010寄信使用數位簽章
圖5 使用outlook 2010寄信使用數位簽章
圖6 使用outlook 2010檢視驗證數位簽章
圖6 使用outlook 2010檢視驗證數位簽章

參、郵件的防護

維護電子郵件的安全不僅僅只是針對您的帳號設定「安全」的密碼而已。郵件的安全需要組織佈署各種資安設備,更需要所有使用者的資安意識共同努力遵守,以下幾個防範原則可以確保使用電子郵件的安全性:

1.良好的電子郵件使用習慣 ◦

2.必須安裝防毒軟體並更新病毒碼、使用純文字模式開啟郵件及取消預覽功能。

3.收到郵件後仔細確認相關事項,例如主旨是否與本身業務相關、收到不明郵件應立即刪除、勿任意點閱郵件中之超連結或網站郵件提示贈獎活動、勿任意點閱或填寫個人資料、勿任意打開不明郵件之附加檔案,以及避免回覆或轉寄不明郵件。

4.導入電子郵件數位簽章及建立簽章驗證機制,有效達到郵件的身分鑑別、完整性及不可否認性。

5.公務與個人電子郵件分離,務必遵守公務電子郵件僅限公務使用原則。

肆、結語

電子郵件的便利,已成為駭客攻擊的目標,對於郵件的安全管理是必要的手段與程序。同仁應該遵守及落實的郵件安全規範、參加相關認知教育訓練及宣導。然實務上,電子郵件的便利性,也讓人容易公私務混用。電子郵件不論在公務或私務都存在著威脅性。正確使用電子郵件及相關操作,才可以避免駭客利用社交工程手法的入侵威脅。

line
歡迎您對檔案樂活情報提出寶貴建議,請聯絡:alohas@archives.gov.tw