各位市場推廣公司及人員注意,Google 宣布將會在明年 2 月 1 日開始為電郵安全性加辣,推出全新的發信人政策,只要每日會向 Gmail 帳戶發送多過 5,000 個電郵,就會受到這個新政策影響。如果未能達成指定目標(包括維持垃圾郵件率保持在 0.3% 以下),未來發出的電郵就有可能受到影響,例如被歸類為垃圾郵件,又或無辦法發出郵件等等,雖然條款好辣,但對 Gmail 用家來說,又的確是一件好事。 想知最新科技新聞?立即免費訂閱 ! Google 為了加強用家的電郵使用體驗,會經常推出新的服務,其中最令用家頭痛的問題,首選垃圾電郵,有時數量真的多到無法整理信箱。而在上年,Google 就要求發送到 Gmail…
Search Results: DKIM (6)
當見到 Chrome 瀏覽器的網址位置,出現安全鎖圖示時,是否會感到比較安心?不過 Google 宣布,安全鎖圖示已不能反映網站絕對安全,將於 9 月停用,並以新圖示「Tune」取代之。除此之外,Gmail 亦會開始在寄件人名稱旁加上「藍剔」,代表寄件人或所屬機構已通過認證。 想知最新科技新聞?立即免費訂閱 ! 安全鎖最早出現在 1990 年代的 Netscape,代表網站採用 HTTPS 加密傳輸通訊協定,意味用戶及網站之間的連線,是透過安全通道進行,不會被第三方竄改或監聽,沿用至今已長達 30 多年。 Google 表示…
因為電郵所用的SMTP協議有不需確認身份的先天缺陷,所以要假冒成任何身份寄送電子郵件其實不難,而這個缺陷往往就被黑客利用及進行詐騙。 BEC 三大類 近年十分猖獗的變臉詐騙攻擊(Business Email Compromise,簡稱 BEC)所帶來的威脅實在不能低估,而攻擊手法大致分為三類: 寄件人偽裝 – 透過假冒而獲取收件人的信任,用不同的藉口來騙取企業相關資料或匯款。連結偽裝 – 以假冒寄件人的身份發出電郵,誘使收件人點擊連結。這亦稱為釣魚信件,讓收件人點選之後即會連結到外部的惡意連結,藉此取得收件人相關資料。附件偽裝 – 也是以假冒寄件人的身份發出電郵,再搭配有病毒的附件。一旦附件被下載及執行,便進行勒索或各式各樣的攻擊,來取得所需利益。 抵禦 BEC 的安全方案 除了一般的電郵安全培訓、員工意識測試、定期更換電郵帳號密碼之外;在選擇電郵安全方案時,除了防病毒、防垃圾電郵功能外, 針對以下一些抵禦 BEC…
金融機構及其客戶,一直是網絡罪犯的頭號攻擊目標,最常用的攻擊手法便是釣魚電郵(phishing)或更專門的魚叉式電郵(spear phishing),因此金融業界要保護客戶,便必須從電郵安全方面著手,例如準確設定各種電郵驗證技術,防止罪犯冒充銀行發電郵進行詐騙。 正確啟用電郵安全功能,最大好處是只有金融業界發送給客戶的電郵,只能從核實的郵件服務器發出,令犯罪分子只能註冊使用類似的網域發送電郵,只要收件者夠細心,便能從網域上分辨真偽,再者亦容易被電郵防護工具的威脅情報所過濾,減低詐騙電郵的成功率。不過,並非所有金融服務都會引入這些安全措施,其中聯邦信用合作社(Federal Credit Union)便沒有足夠防護。根據 IntelFinder 最近進行的一項研究顯示,在 300 個 FCU 機構中,只得 8% 啟用了強大的電郵安全工具。 IntelFinder 專家特別檢查了FCU 機構中的 SPF 和 DMARC 記錄是否存在,以及…
經電郵發動嘅攻擊與日俱增,黑客透過假冒發信人地址,或修改信件內容,繞過電郵驗證系統嘅攔截。雖然電郵系統設有 DMARC 驗證機制,但由於設定上比較麻煩,所以採用率偏低。Google 為咗吸引電郵用戶採用 DMARC 技術,而家喺 G Suite 新推出先導計劃,經驗證後嘅用戶可以喺電郵上顯示公司嘅標誌,唔知又有幾多公司會參與呢? 為咗解決電郵造假問題,電郵驗證系統一般都設有 SPF(Sender Policy Framework)以及 DKIM(Domain Keys Identified Mail)兩種方法。SPF 主要用喺防止電郵造假,因為系統會先驗證發送者嘅電郵地址,睇下究竟有無喺寄件伺服器上存在,如果來源伺服器根本無呢個電郵,就好大機會證明係假電郵。DKIM 就用喺驗證電郵內容嘅完整性上,以攔截有可能喺發送過程中被修改嘅電郵。雖然有呢兩個系統把關,但由於有啲舊電郵系統唔支援呢兩種技術,所以有時都焗住要收入信箱。 DMARC(Domain-based…
會計部初級職員錯信釣魚郵件,令世界最大嘅飛機零件製造商 FACC 損失約 5 千萬美元,時任 CEO 同 CFO 雙雙被炒,更被企業以「沒有盡責防止事件發生」 為由告上法院。法庭最終沒有受理案件,但足以反映呢個低成本行騙模式嘅利潤與破壞力,隨時令 CEO 躺著也中槍。 釣魚攻擊嘅相關個案不斷上演,而且觸及各行業同層面,唔係科網業嘅安全意識就特別高,你睇 Facebook 同 Google 不單喺受害者名單上,損失更係史上 Top 3 之列,所以大企業都唔敢輕視呢種攻擊手法,將防禦術編入入職培訓課程。搞係搞咗,但到底有幾多人留心聽書?…