【零壹易悟】言卂隱士｜應對釣魚電郵各種風險｜大紀元時報香港

電子郵件是騙徒「恩物」

隨著生活模式轉電子化，騙徒亦然轉移陣地，利用電子科技行騙，網絡安全成為個人及各企業的痛點。利用電郵「釣魚」行騙亦有增無減，最新統計數字顯示，特區今年頭四個月有127宗電郵騙案，被騙金額合共3.3億，佔整體科技罪案三成多。行騙手法越見多樣化，除了基本的釣魚電郵，還有假冒電子支付平台騙取帳戶、領取包裹、假扮成客戶或服務供應商等。在一項釣魚電郵演習中，參與演習的機構竟然有高達八成有員工中招，顯示嚴重的認知與警覺性不足，情況令人擔憂，代表各種呼籲警惕電騙的宣傳未有收效。疫情衍生在家工作，部份人「公私」不分，利用個人電腦遠端登入公司系統令風險增加，尤其是缺乏資源的中小微企。國際反釣魚工作組(APWG）數字顯示今年三月釣魚攻擊宗數是去年同期的幾乎一倍。電郵釣魚行騙幾乎零成本，是騙徒「恩物」，按大數定律，只要數量夠多，必會有人上釣。網上有統計指去年95%惡意軟件都是從電郵發出，近九成網絡攻擊源自電郵，有六成是針對中小微企。但統計數字亦代表若有效地管控電郵，可大幅降低網絡風險。

行騙手法層出不窮

留意相關風險固然重要，了解騙徒各種手法則有助防範。最普遍的釣魚電郵是叫用戶維繫帳戶、恐嚇帳戶曾被不法登入案連結更新密碼、製造時限壓迫、利誘等以騙取個人帳戶資料，這類相對較易辯認。較高級別的是已經取得你的部份資料例如你的名稱或購物行為，電郵看似來自相熟的網站或服務提供者，令你聯繫起你的行為。對電郵發送者進行目測不一定可靠，有時可能只與真實網站只有一個字符的差別，有時可能用不同語言文字編碼的字符，或難以察覺。域名延申千變萬化，.com與.co就可能是真假網站的差別。發送者名稱完全可改頭換面(spoofing)，即使你看到認識的名字也不能作準，將真網站的全名作為發送者名稱的例子屢見不鮮。電郵連結固然危險，附件亦可內藏惡意程式或軟件，開啟即時中招。電郵內的圖片亦暗藏陷阱，電郵軟件大多自動下載並顯示圖片，圖片可輕易隱藏惡意連結。另一圖片變種叫Tracking pixel，只有一個點陣乘一個點陣的大小，甚至與背景完全統一顏色，難以察覺，一經下載就可取得一些資料，例如郵件有否打開，甚麼麼時候打開，打開了多長時間及次數，打開時的IP Address等。Tracking pixel本身不一定是惡意，但這些資料可令你成為騙徒下一步的目標。

對付釣魚電郵有法

因應電郵釣魚風險，筆者有多個建議。基本守則是任何要求輸入個人資料的要求必須再三確認輸入網站的身份及連線安全。閱覽電郵或任何由電郵引起的下一步動作都必須額外小心。主流電郵軟件已有隔除大部份釣魚電郵的功能，應檢查設定是否已啓用。若有任何可疑電郵，應檢查電郵的Header，步驟非常簡單，讀者可網上因應使用的電郵軟件查找相關資訊。電郵Header內有發送者的名稱、域名及IP Address，可用後者在https://dnschecker.org 查看其登記身份。電郵內涵圖片存在風險，大部份熱門電郵可選擇不自動下載圖片，但非預設，建議開啓此選項，查明發送者身份後才按需手動下載圖片。另一方面，所有帳戶若支援雙重認證應馬上開啟，因改動帳戶資料要再次輸入雙重認證，減低帳戶被盜取的風險。上期本欄介紹利用密碼器登入，由於認證程序不同，登入可避免釣魚。防毒防釣魚軟件大部份皆有效識別釣魚行為並即時攔截，應盡量使用。主流瀏覽器大部份已內置防釣魚及軟件偵測功能，應開啟作為一道基本防線。某些中小微企必須回應電郵及電話查詢，應安裝簡單的「沙盒」軟件，將執行電郵的軟件放在「沙盒」內，可避免電郵相關行為與企業其它系統關聯，對客戶要求應按風險評估進行多重認證。

騙徒手法層出不窮，但最重要的還是提升個人風險意識及認知，了解潛在的損失，並主動留意相關訊息。即使你個人做足亦不夠，應主動與家人、同事討論，因為大家共用一個網絡，一人中招，其他人亦受影響。◇