電郵名單的價值:盜取電郵服務的網絡釣魚攻擊

經常會有人以為自己沒有價值所以不會成為網絡罪犯的目標,更甚者有時出自中小企業的口中,然而網絡罪犯的「口味」非平常人能理解,試問又有沒有想過他們的目標,只是為了公司的電郵名單?!

針對電郵服務的網絡釣魚

這一場詐騙從電郵服務供應商的用戶,接收到通知確認訂閱費用開始,訊息的連結原本是把用戶帶到購買的憑據,如果收件者是電郵服務供應商的客戶(網絡釣魚會針對真實的客戶),他們便有機會點擊連結瞭解這筆異常的付款。

雖然超連結看起來是導向電郵服務供應商的網頁,其實完全指向其他地方,但網頁的設計卻刻意模仿真實的登入網頁,而且一如過往,所有在假網頁輸入的資料都會送到網絡罪犯手上,傳送途徑也沒有受到保護,甚至連CAPTCHA也沒有設置,而且右下角缺少了代表地區的國旗,不過一般人可能未能察覺。

左邊是假登入畫面

失去電郵服務供應商帳號的危險

對攻擊者而言的最佳情況,是取得電郵服務的帳號控制權後,使用一系列的客戶電郵地址名單進行濫發,特定行業的電郵一直在地下市場擁有更高的售價,但是還不及瞭解公司的工作流程,使網絡罪犯能度身訂造專屬的詐騙取得更高成果。

一旦成功,被盜名單上的所有人都會收到看似來自公司的網絡釣魚電郵,不論收件者是訂閱了最新消息或是真實的客戶,都有機會打開訊息和點擊連結,因為寄件者看起來沒有可疑。

掩飾的方法

至於釣魚電郵的內容,專家發現它也是經由電郵服務發出(不過是偽裝的另一家競爭者),背後的運作可以瀏覽「借電郵市場推廣服務散播的網絡釣魚服務」,而且為了令騙局看起來更可信,網絡罪犯更設置了專用的網頁,所以專家認為攻擊者具備不同電郵服務機制的知識,更有機會攻擊其他電郵服務供應商的客戶。

防範網絡釣魚

要避免墮入網絡釣魚陷阱,可以參考以下幾個標準的建議:

  • 避免點擊來自不明來歷訊息的連結,尤其要求登入帳號的網頁,即使訊息看起來沒有問題,手動打開瀏覽器然後手動輸入網址比較安全。
  • 檢查網站安全,如果瀏覽器認定為不安全網站,其他人便有機會截取你輸入的用戶名稱和密碼。
  • 認識如何揭發網絡釣魚的蛛絲馬跡,然後教導員工相同的知識,也可以透過網上培訓平台達到以上目標。
  • 使用專門的方案去過濾公司電郵中的釣魚和垃圾郵件
  • 在所有工作的裝置安裝和更新保安方案,即使有人點擊釣魚連結也能立即注意到潛在的危險。

資料來源:Kaspersky Blog