各種不請自來的電子郵件,又可細分為病毒郵件、廣告郵件及各種惡意攻擊郵件,但不論如何區分,這些不請自來又只會帶來壞處的郵件,一般統稱為垃圾郵件。垃圾郵件潛藏許多風險,令人避之唯恐不及,但這些垃圾郵件究竟是如何找上我們的呢?
另一種外洩的管道是在社群網站上因設定不當,不小心公開個人資料,或朋友的分享、提及你的內容中,剛好有你的機敏資料或電子郵件位址。
服務網站遭到入侵
許多網站提供免費的服務,在使用此服務前需先申請帳號,申請帳號的表單許多私人的資料部份或許可以不填寫真實的內容,但為避免異常或大量的申請,通常會要求需要透過電子郵件來進行驗證,所以電子郵件的位址一定要是正確的。社群網站除了上述的申請與驗證的步驟外,也鼓勵使用者上傳個人的通訊錄以自動配對尋找好友,越來越多的網路服務都留有使用的足跡,及最基本驗證用的電子郵件位址。
 |
| ▲圖4 知名社群網站遭入侵後被公開在網路上的電子郵件位址與密碼。 |
當這些網站遭到入侵時,大筆的通訊錄與機敏資料也跟著流洩出去,加上使用者長期在這些服務網站的使用記錄,不難拼湊出每一個電子郵件位址擁有者的特性及交友關聯性。透過這些關聯性、遭到洩露的機敏資料、正確的電子郵件位址,有心人士不只可以用以發送垃圾郵件、病毒郵件,還可以進一步的發動社交工程攻擊,這大概是危害最大的洩露管道。
試想,當朋友的電子郵件信箱遭到入侵,駭客除了擁有他的通訊錄、過往的通訊內容記錄外,還一併擁有了通訊錄上所有人的「信任」,由此基礎發動的攻擊,防範起來是相當困難的!因此,個人的使用安全除了影響個人外,也會影響與你通訊的其他人。這部份很難透過個人去避免,只能選用較安全的網站服務、盡量減少申請時填寫的個人機敏資料,並提高自己的安全意識。
結論與建議
現實上很難做到完全避免電子郵件位址外洩,所以每個使用者或多或少還是有機會會接觸垃圾郵件。那該如何避免藏於其中的各種風險郵件呢?以下提供幾個方法供大家參考:
- 1. 不管在個人還是企業,我們都建議隔離不必要、不
請自來的郵件才是根本之道,所以垃圾郵件防範措施必須要有。
- 2. 不必要、不請自來的郵件不要對它產生好奇,盡量
不要開啟它,尤其需慎防夾帶於其中的附件檔案或超連結。
- 3. 留意郵件中各種異常,比方常往來的郵件、通知
中出現不尋常的用語;外連的超連結與所顯示的超連結位址不符;當郵件中要求你個資的機敏資料,或要求連往金融機關時,切記以其他連絡管道做確認,絕對避免直接遵照郵件中提供的資訊操作。
- 4. 可能的話,將多個電子郵件信箱依其用途分類使用,盡量不要一個信箱混用太多用途,這樣的管理方式能協助你容易看出異常。
電子郵件是歷史悠久而直至今日大家仍仰賴的通訊管道,盡量避免接觸任何不必要的垃圾郵件,是防範來自電子郵件風險的基礎。
<本文作者:高銘鍾,現任ASRC垃圾訊息研究中心主任。擁有專案管理師、ISO 27000、ISO 20000等相關證照,曾負責中華數位科技SPAM SQR產品開發團隊中的規劃事務與相關專案管理,並擁有十年資安領域相關經驗,專精於垃圾郵件、惡意攻擊研究。>