挥别2012,电子邮件在企业商务的应用上仍然扮演着举足轻重的角色;即将迎来的2013年,电子邮件威胁毫无消失的迹象。安然度过了玛雅人的末日,我们更应该了解2013年可能给我们的职场、商誉、财产,甚至网络世界带来末日的电子邮件威胁!这个说法并不夸张,2011年5月美国军火大厂洛克希德马丁(Lockheed Martin)网络遭到黑客重大且顽强的攻击,就是通过电子邮件所发起的。
2013电子邮件安全趋势着眼点已不再是如何避免垃圾邮件造成的产能浪费,黑客已将其精神转投注在高效益的社交工程攻击邮件上,ASRC垃圾信息研究中心(Active Spam-message Research Center)为2013年的社交工程攻击归纳出三大重点趋势:
伪社群网站钓鱼邮件
社群网络越益发达,已经开始让人搞不清楚社群的朋友自己是否真的认识。随着朋友清单越来越多,来自社群网站上邀请加入好友的通知信,到底该不该加入?能不能点击其中的超链接、附件?建议三思而后行!许多的恶意攻击假冒知名社群网站,在其中放入了钓鱼网站的连结、恶意档案,目的是要窃取个人信息或取得计算机的所有权。部份由黑客发出的单纯交友邀请并没有放任何的恶意链接或程序,「交朋友」只为了观察生活习惯,拼凑出个人的信息地图,再做进一步利用。
带有恶意附件邮件
这类型的威胁邮件可说是长老级的了,最早期夹带的恶意附件往往都是很明显的病毒执行文件;经过演化,病毒执行文件加上了压缩与密码,用以避开防毒侦测;而现在最流行的作法则是在电子邮件中置入一般认为安全的文件档,比方.doc、.xls、.pdf、.html…等,或将这些攻击程序放在网络上,电子邮件内容仅放置简单的下载连结,这不仅能缩小攻击邮件的体积,还能躲过大部份的恶意软件检查,如果再冒名为网络管理员或社群网络的来信,攻击成功的机率将大幅提升!
电子邮件帐密窃取问题
为何黑客需要窃取电子邮件账号与密码?
主要有三种好处:阅读被入侵者的私密邮件、利用被入侵者的信用与交友圈、掩饰攻击者真正身份与意图。这三种好处都非常利于进阶持续性渗透攻击(Advanced Persistent Threat, APT)。窃取的方式主要有两种方法,第一种是传统的钓鱼邮件攻击,通过假网站或恶意软件直接偷取敏感数据;而另一种的窃取方法,是直接以SMTP认证的方式进行密码猜测,据ASRC垃圾信息研究中心的统计,一般企业在一日内平均每十分钟约有4-10次无声无息的密码猜测尝试。许多人会认为,将密码的长度加长、混合符号、数字与英文大小写,并加上密码尝试次数的限制便可防止密码遭到破解,但事实却不然!密码的用户为免密码忘记,会以方便联想的方式创建密码。以「P@ssw0rd」这个密码为例,它是由password这个英文单字联想而来,密码的长度长达八位,并充份混合符号、数字与英文大小写,依传统字典文件暴力猜测,需要猜上一万亿次才可能破解。但是「P@ssw0rd」却是公认被常用的弱密码之一,如果采用常用弱密码表进行猜测,此密码很可能在十次尝试以内便遭破解。
Softnext守内安为因应2013电子邮件安全趋势变化,大幅强化了旗下邮件过滤产品SPAM SQR面对威胁邮件的防护能力。除了可侦测多种钓鱼与攻击邮件、主动屏蔽所有来自Botnet的邮件外,更有SMTP认证密码防猜保护、弱密码检测服务,并可防止冒名黑函或进一步的社交工程攻击。搭配Softnext守内安上网管控产品Content SQR,则可进一步免除内部人员因不慎浏览钓鱼网站可能为企业带来的风险。