美國知名網絡偵探克雷布斯(Brian Krebs)7月27日對外發出即時警告說,電子郵件不是網絡釣魚攻擊的唯一載體。美國多個州和地方政府機構已有報告指,通過蝸牛郵件(傳統郵件)的方式收到一些來自中國的可疑信件,裏面包括裝有惡意軟件的光碟(CD)。

克雷布斯表示,這種把戲雖然原始且過於簡單,但黑客卻充份利用收件者的好奇心,引誘其將CD插入電腦中。

根據「多州信息共享和分析中心」(MS-ISAC)與州和地方政府機構共享的非公開警報,這些可疑信封上印有中國郵政標記,裏面包括一封令人困惑的打字信件,內容偶爾會出現中文字符。這些可疑信函已經出現在美國的幾個州和地方政府辦公室的郵箱中。

美國商業雜誌《福布斯》報道指,相關信件的內容雜亂無章,讓人很難準確說出主題是甚麼。有大篇幅說明煙花和遊行的內容,還提及電影業,但整封信沒有連貫主題。

報道說,這可能就是發信人想要的。他們知道,讓一個人感到困惑有助於增加其好奇心。好奇心可以讓一個人將隨便一個CD插入電腦中,而絲毫不會去思考是誰發的CD或者發CD的動機是甚麼。

這也許超乎你的想像,但真的有人會這麼做。2016年進行的一項研究發現,50%的人會將他們在公共場所撿到的USB儲存裝置插入電腦中。

MS-ISAC表示,對這些CD的初步分析結果表明,裏面包含普通話版本的Microsoft Word文件,其中一些文件中含有惡意的VBScript。到目前為止,多個州的檔案館、州歷史學會和州文化局都收到了此類可疑信件。目前尚不清楚這些機構的工作人員中是否有人被誘騙將CD插入政府電腦中。

乍一看,黑客將這些地方作為目標看似比較奇怪。但黑客很有可能是在尋找一個「後門」,希望在感染某個地方政府的電腦時不會被很快檢測到,使其有時間對更大的目標進行「偵查」。但這也可能是一種不成熟的勒索軟件攻擊。

但諸如此類的攻擊提醒人們,網絡犯罪可以採取多種形式。克雷布斯對網絡安全提出的三個基本規則中的第一個就是,如果不是你在尋找的東西,就不要將其插入電腦中或將其打開。◇