【大纪元2017年09月19日讯】(大纪元记者颜上敏编译报导)有时候我们在开启电子邮件(E-mail)的时候,总是担心会不会不小心中了网路钓鱼手法,被植入木马或后门程式之类的。因为这些寄信者看起来都没问题,大都是我们的老板、亲戚或是银行寄过来的。这些网路钓鱼信件,无非是想窃取你的个人信息,比如登入网站的账号密码,或是金融卡使用的相关讯息之类的。
很多人会说,这都是使用者的错,才会不小心掉入这样的陷阱。他一定是按了不该按的连结,才会中木马之类的。所以,只要不要随意点击连结,就不会发生这类事情了。但资安专家说,事情可没有这么简单。
真正的问题在于,今日的网路邮件里面,藏有很多地雷跟诱惑。不只是Gmail有这类问题,Yahoo的网路邮件也有,就连内建在作业系统中的Outlook 也会有这类的问题。
专家说,只有纯文字文件的E-mail才是绝对安全的。所谓纯文字E-mail就是对方寄过来,只有文字,没有一些超链接或图档的邮件。对那些广告商来说,网路邮件真是他们打广告的好地方(因为用Webmail 写信超方便,可以插入各种图档跟漂亮字型),处处有超链接跟吸引人点击的图案。但是,其实这些图案很多时候都是多余的啦,有点画蛇添足,更重要的一点是,带来危险。因为这些超链接里面,常常是挂羊头卖狗肉,看起来是这样,点进去却带你到完全不一样的网站去。
其实,回归邮件的本质来看,应该只有文字讯息就够了,这才能保证安全。就算是联邦政府的顶尖资安专家都说,唯有纯文字文件的邮件才是安全的。无论是对个人、组织或政府部门,要保证不中木马、病毒或网路钓鱼,唯有使用纯文字文件邮件。
“组织或机构必须确保,其内部员工使用的Email 格式必须将HTML格式屏除在外。所有的电子邮件应该都用纯文字格式来书写,这将可以避免那些经由不安全程式码跟超链接所带来的潜在性危险。同时也可以减少不小心或好奇心点击所带来的风险。纯文字文件格式的邮件,将可以避免在文字段落内建立超链接,他要做超链接只能复制贴上,这样网址是哪里都可以清清楚楚。这样做的目的是让收信的人可以在点击之前还有思考机会,可以再多想想,我要不要点。”
对问题的误解
近年来,网路邮件使用者,被严格的教育在开启电子邮件浏览网页之时,要非常仔细小心。他们也被要求不要打开来路不行的电子邮件,也不要随意就打开附加档案。公司或组织,甚至付费给网路资安公司来测试他们的员工是不是有遵循上述规范。但是网路钓鱼事件还是一直发生,而且变得越来越频繁。
一些新闻媒体在网路安全方面的关注与批露有时也使情况显得有些复杂。比如《纽约时报》说,民主党全国委员会(Democratic National Committee)的电子邮件安全把关松散,他同时也指出一些可能的问题。比如,老旧的网路安全设备,来源不明的复杂攻击,比较差的研究员跟漫不经心的助理等。《纽约时报》也说,这些人感觉就是对电子邮件的安全意识薄弱。
那些造成数百万美元经济损失的网路邮件的真正问题在于,网路邮件不会只有文字而已。因为使用者必须透过网页开启,也就是说必须透过浏览器开启,那网页里面难免就会有各式吸引人的图档跟超链接。所以说这样的环境提供了网路钓鱼的犯罪空间。
浏览器的设计其实潜藏极大的风险
浏览器这项工具其实是非常不安全的。因为在设计上,浏览器可以揉合很多讯息来源在同一个页面上,比如文字内容是一个服务器提供,广告来源是另一个,图像跟影音是第三个,有时候网页上有些“喜不喜欢”,“赞不赞成”按钮,是另一个服务器提供,等等。所以一个网路邮件的页面,就是一个大杂脍,里面有很多供应商提供资料凑成一个页面。当然在美工设计上,这些连结跟按钮还有图档,都排的美美的。但其实使用者不知道,这张图是谁提供的,也不知道点下去,会连到哪里。
更糟的是,它让网页,还有电子邮件,可以欺骗使用者。比如,当你在浏览器的网址列打“google.com”,你可以很确定你会被导到google 的网站上去。但是当你点击一个上面写着google的按钮,你真的确定你按下去可以到google 页面吗?除非你很仔细的读网页后面的html原始码,不然你无法分辨。
有好几种方法可以在网页上动手脚,来误导使用者。这是不安全的,因为使用者无法预料他这样点下去会发生什么事。安全的连结可能跟恶意的连结并列在一起,但是在外观上你根本看不出来。
当一个使用者打开电子邮件的时候,他无法预测他点击的这个按钮或连结是否如他表面所显示的这样,他也不知道他这样点下去会连到哪家公司去或接下来会掉到谁的陷阱中。在设计上,浏览器隐藏了他背后的原始码。在你浏览一般网页的时候,你可以选择你信任的网页来浏览,但是网路邮件,说白了就是直接置你于险地,因为你可以收到各式各样看似安全跟可信任的电子邮件。
要在使用网路邮件的时候,要自保只有一招,就是学会如何设计一个网页。只有你自己懂HTML, Javascript跟一些程式码,你才能看懂网页运作的方式为何。只有这样你才会知道一个点击下去,你将会被带到哪里。当然啦,要使用者都来学网页设计是有点不太可能,但要真正解决这问题,唯有此途。
除非软体工程师或程式人员可以修正浏览器的一些问题,让使用者可以确认他这样点击下去将发生什么事,不然我们应该听从东尼•霍尔(C.A.R. Hoare)的建议,“追求极简化的代价就是牺牲彼此的信赖感。”
最安全的邮件是纯文字格式的邮件
公司或其它组织其实比一般民众容易受到不安全网路邮件的攻击。个人只需担心他自己的点击,但是对公司来说,每一个员工都是弱点,都有可能造成公司的损失。用简单数学概念来说就是,如果每一个员工都有1%的机会受到网路钓鱼攻击,那就一家公司来说,该公司的风险就是全部员工概率的总和。事实上,根据研究,一家员工数超过70人或更多的公司,大概有超过50%的概率会常常在网路邮件上犯错,进而造成公司损失。
作为技术专家,长久以来我们一直在强调尽管有些科技看起来令人振奋,但它其实是很糟糕的发明。一些有安全意识的使用者,通常会要求对方寄过来的格式要是纯文字文件。不幸的是,这样具安全意识的人真是不多,但这其实是要杜绝网路钓鱼唯一的方式。
那些拒绝执行此一建议的寄信者,应该都被排除在你的通讯录名单中。网路邮件可以变化的花样多多,看起来好看没错,有漂亮的字形,有花俏的广告跟图档,影音等,但是这并不安全。
要记得,唯有纯文字文件格式的Email,不含超链接跟图档的电子邮件,才能保护你不小心误触地雷。#
