「網絡信標」被網絡罪犯用作資料收集

要展開商務電郵攻擊,黑客往往需要經過艱苦的基礎設計程序,而為了增加電郵的可信性,有人更利用了 marketing 常用的技術「網絡信標」(web beacon) 去收集資料,以製作更容易令人掉入陷阱的電子郵件。

精心設計的假電郵
由於騙徒要偽裝成某個獲准調動資金或傳送機密資料的人,他們發出的假電郵也要看起來夠像真才能成事,所以十分著重細節。研究人員收到的其中一個例子中,攻擊者明確表示送件者即將進行會議,無法以其他方式聯絡,原因是避免收件者向真的送件人進行查證,而且攻擊者並沒有隱藏電郵經由公共電郵服務發送,意味著他們知道被冒充者有使用該服務,又或者期望該公司透過第三方電郵服務進行商務往來屬於慣常做法。

其中吸引了研究人員的是「Sent from my iPhone」的簽名檔,它是 iOS Mail 的預設發送訊息,但其實是經由 Mozilla 瀏覽器以網頁界面發送。為甚麼攻擊者製造自 Apple 的智能電話發送的假象?研究人員認為該自動簽名令事情看起來較「像真」的技倆,因為商務電郵攻擊通常都是偽冒收件人的同事,對方可能知道發件者使用的裝置。

所以,網絡罪犯必定有這樣做的原因,然而他們怎樣知道相關的資料?事實上難度並非很高,只需要用到 tracking pixel (又名 Web Beacon) 的技術,就能輕易做到。

甚麼是 tracking pixel 或網絡信標?
很多公司都會同時間客戶、合作伙伴或讀者發送大量電郵,並想知道電郵的「成效」,理論上電郵內置設定可以發送已讀回報,但這需要收件者配合,而大部份人都不會理會,所以便有人想到通過 tracking pixel 去達到目的。

所謂的 tracking pixel 其實是一張極細小的圖像,只要 1 pixel x 1 pixel的大小,肉眼難以看到,而它其實放在一個網站,當一個電郵客端要求讀取圖像,控制網站的發送者就能確定電郵訊息被打開,同時收集該裝置的 IP 地址、打開電郵的時間和打開的應用程式。電郵客端在用戶點擊下載圖片前都不顯示圖像,這並非因為提高讀取表現或限制流量,其實預設自動下載圖像是因為保安的原因。

Tracking pixel 如何被網絡罪犯利用?
假設一個情況,用戶正在旅遊,但辦工用的郵箱收到電郵,當你知道是一些無聊郵件,立即列為垃圾郵件和放入垃圾桶,其實攻擊者也取得了以下資料:

  • 由用戶的 IP 地址判斷用戶正身處外國,意味著與同事聯絡會有困難,進行偽裝時就較為容易。
  • 用戶正使用 iPhone (因為透過 iOS Mail 打開郵件),偽裝時可以加入「Sent from my iPhone」提升像真度。
  • 用戶查看郵件的時間,單獨地知道一次時間並無大礙,如果用戶有定時查看郵件的習慣,網絡罪犯就能掌握時間表,並看準時間空隙展開詐騙。

電郵安全應注意事項
雖然要完全避免被追蹤十分困難,但並不代表要讓網絡罪犯輕鬆達到目的,所以建議用戶留意以下幾點:

  • 如果電郵客端要求點擊下載圖片,這意味著內容因為私隱的原因而被攔截,在點擊下載前想清楚,即使電郵只有字較難看,但下載圖片意味著你提供自己的資料給寄件者。
  • 不要打開垃圾郵件資料夾內的電郵,一般情況下現代的電郵過濾準繩度都相當高。
  • 小心 B2B 的群發電郵,訂閱公司的更新當然可信,但來自不明公司或原因不明的電郵,則要多加注意不打開為佳。
  • 使用可靠的anti-spam 和 anti-phishing 技術的方安案保護公司電郵