IT業界資訊媒體

【專家主場】小心「加密電郵附件」

近年,利用「加密電郵附件」來發動惡意攻擊有趨升之勢,一般都會以 DOCXLSPDF 文件等形式發出,並會在電郵正文告知你附件的密碼。當你收到這類電郵時,請注意,因為它很可能是惡意電郵!

如果只看電郵原文內容,一般是看不出有任何不妥,附件也是收據、發票、逾期欠款、財務報告、簡歷等,但當你輸入密碼、打開附件,你的軟件(例如 DOC 文件則為 Microsoft Word)將詢問您是否要 Enable Editing。如果你容許及啟動 Macros,就可能中招了。

為何黑客會使用這種方式去散播惡意軟件?

1. 容易避開電郵過濾檢測

從罪犯角度看,使用受密碼保護的電郵附件,是有效避開電郵過濾檢測的方法。雖然電郵網關安全掃描能夠檢測和刪除惡意附件,但如果附件是加密文件,大部份的電郵過濾器是束手無策的。

2. 易於發動

導致電郵附件惡意程式普及的另一個原因,是創建這些附件相對容易。惡意 Macros 可以使用 Microsoft Visual Basic 或 JavaScript 編寫,技術門檻較低。

3. 利用人性弱點

惡意程式通過令人信服的附件進行發放,這些附件看起來像業務相關的文檔。更重要的是,添加密碼保護會產生安全感和真實性,令用戶放下戒心,打開文件。

如何保護及免受加密電郵附件惡意程式侵害?

1. 保持警惕

花時間去驗證你的電郵是否安全及從合法來源發出。除非是你認識並信任的發件人,否則請避免打開任何附件。

2. 小心點擊

不要盲目點擊電郵的附件或超鏈結。如果你必需打開附件,請確保文件的 extension 是合理的(例如「圖片」不應該是 EXE 或 JS 文件),並在點擊之前仔細檢查超鏈結的 URL 是正確無誤。如果對方要求你提供密碼或登錄詳細資料,請務必格外小心。

3. 更新軟件

舊版 Microsoft Office 默認 Macro 啟用,而較新版本則默認禁用 Macro,並提供 Protected View,這是一種 Read Only 模式,可防止執行可能有害的內容,從而降低惡意軟件感染的風險。

4. 使用有效的安全方案

使用可以識別可疑活動的 Endpoint 保護方案,在惡意軟件執行之前把它阻止。