admin 的部落格

有別於購買 Email 名單、付錢給擁有僵屍網路的駭客代發垃圾信的方式，另一種更省錢、更有效方法─夥伴計畫 (Affiliate Program) 正慢慢的興起。何謂夥伴計畫：Affiliate Program 是利用網民帶進流量的一種行銷手法，以 Amazon 為例，申請加入夥伴計畫的會員會得到一組 HTML 碼，將之置入於自己網站上後，當網頁被瀏覽時會自動帶出 Amazon 廣告，讀者點該廣告連到 Amazon下單購買，會員就可得到本次消費的某個百分比作為抽成。結果現在有網站採用這種概念，經營 Spammer 夥伴計畫，我想教行銷學的教授們知道了，一定對於這些人的創意頭腦感到無言。

Glavmed 這個網站是 Spammer 夥伴計畫中的佼佼者，他們的商業模式：Clavmed 扮演掮客角色，代收廣告主的付款，然後提供會員一個 URL連結，當會員透過轉寄信、部落格連結將流量導到那個連結時，就會按流量或下單金額多寡支付會員酬勞。乍看之下其實很正常，就像 Google Adsense 及其他沒兩樣夥伴行銷一樣，但 Glavmed 引發爭議的原因是，他們的廣告主是一些販賣威爾剛(Viagra)、減肥藥及不合法藥品的購物網站，Glavmed 巧妙的運用自己身為掮客的身分游走於法律邊緣。

Glavmed 不自己建構僵屍網路，所有的垃圾信都是從會員電腦發出，所以Glavmed 不會被關站或被抓，但這對於反垃圾郵件產品廠商來說，可就相當惱人了。因為垃圾郵件可以從任何一個人的電腦發出，只要他加入Spammer 夥伴計畫，就成為 Spammer 的一員，而且發出的垃圾郵件可能是五花八門，看起來很正常，會員也許只寄給自己的親朋好友，或是把內容寫成心得分享，再利用轉寄連環信 (Email Forwarding) 的方式做置入性行銷。黑名單、白名單失效，內容過濾也無法攔截，是許多反垃圾郵件產品廠商的痛，好在 Cellopoint 採用雲端運算─CelloCloud™，對於這種動態的暫時性 Spam 發送來源可以做有效的監控，「SRL 發信者信譽評等」與「ICA 智慧型內容分析技術」並可依據 IP 與信件內容準確辨別正常信與垃圾信，不漏攔也不誤攔，提供讓客戶滿意的高防護水準。

想了解更多 CelloCloud™請上網：http://www.cellopoint.com/tw/solution/cellocloud

用這樣的標題實在是因為 Viagra Spam 藥性太強，讓我在 Cellopoint High 了長達四年之久！話說今天一早去公司上班就接到 CGAC 的通知，又有新變種的 Viagra 型垃圾信出現。有時候真的是非常佩服 Spammer 的巧思跟創意，竟然能讓同樣的東西持續不斷地變型進化。

我們公司 Cellopoint 主要的研發方向是 Email UTM，其中 Anti-spam 技術是我們奮戰多年玩意。各位朋友有興趣的話不仿先聽我講古一下反垃圾郵件技術的演化史吧！四年前的 Anti-spam 技術主要是以 Rule Base 以及 Heuristics 的方式來進行的，最有名的就是 SpamAssisam。接著出現以 Signature Base 的方式主的相關技術與產品，廣為人知的應該是Symantec 的 Brightmail。接下來就是以 Sender Base 的方式為主的相關技術，這也是目前的主流，例如 Cisco 的 IronPort、TrendMicro 的 NRS 以及許許多多的 RBL(Real-time Blocking List) 等等。雖說有上述技術，但 Viagra 型的垃圾信永遠就像是打不死的蟑螂一樣，Spammer 都能一一擊破，這實在是太超過了。

變種的 Viagra Spam 會讓每一封垃圾都產生不同的Signature – 特徵值 (隨機產生一段雜湊文配上隨機的扭曲 Viagra 圖片)，如此一來 Rule Base 與 Signature Base 就被攻破了。而更高竿的方式是，這些 Spammer 會下符咒(指令)給那些被植入後門程式的郵件伺服器來幫忙發送這些 Spam，等幹完這些勾當之後，符咒的效果就結束了。這是一種類似 Botnet (僵屍網路)的手法，利用高信譽評等的伺服器幫忙發垃圾的方式，讓 Sender Base 破功。

所以我才會氣到說， Viagra! 你讓我持久了快四年。當然，CelloCloud 還是有解決之道，仍然能一網打盡這些討人厭的垃圾信。最近除了變種 Viagra 外，CGAC 並未發現其他特異垃圾郵件攻擊，這意味著 CelloCloud 威脅聯防與即時分析運作效率良好，都能把球門好好守住，保護我們的客戶免於各種郵件威脅！

原文 by CelloCloud 雲端安全計畫主持人 Yukoh Wu

今日社會中，企業、組織在通訊媒介上仰賴電子郵件的比重越來越高。以近期發生的88水災來說，電子郵件扮演了民眾與媒體、政府溝通重要的橋梁，特別是在請求支援及災情回報方面，電子郵件早已成為不可或缺的通訊工具。然而使用電子郵件所衍伸的問題，如垃圾信、病毒信及其他惡意郵件攻擊，卻也不時造成組織資訊系統的威脅。許多企業、組織為了解決這些資安問題，必須花費大量的時間及成本，同時增加IT管理人員的負擔。Cellopoint「郵件安全代管服務」(SaaS)模式出現解決了上述郵件安全管理問題，因此成為企業、組織資安委外首選。

郵件代管VS郵件安全代管

• 一般的「郵件代管服務」，指的是代管郵件帳號或郵件主機，客戶將原有的郵件伺服器交由ISP業者代管或使用代管業者所提供的電子郵件帳號。
• Cellopoint「雲端郵件安全代管服務」是為網際網路上所流通之電子郵件，提供安全過濾機制。Cellopoint 採用「CelloCloud™」的技術，讓垃圾信、病毒信在進入組織原有的郵件伺服器之前，就被阻擋。客戶只要擁有專屬的郵件網域(Domain)，不論是自建的郵件伺服器或由 ISP 業者代管的郵件帳號，都可以採用 Cellopoint「雲端郵件安全代管服務」，因為 Cellopoint 所提供的過濾服務包含 Anti-spam、Anti-virus 及 Anti-malware，一次解決所有的郵件安全問題。

「雲端郵件安全代管服務」的三大優勢

• 成本精省：不需要專屬的IT維護人力，也沒有硬體採購費用。按使用者數量計費，易於掌控成本。
• 防禦即時：由代管廠商負責系統的維運及 Anti-spam、Anti-virus 資料庫更新，永遠維持最新最即時的防禦能力。
• 效能優化：在垃圾郵件、病毒郵件進入內部網路之前就予以攔阻，可以有效降低網路頻寬與郵件伺服器資源的佔用。

Cellopoint「雲端郵件安全代管服務」採線上申請、快速開通方式，申請此服務之客戶，只需將自家郵件伺服器的 MX record 轉換到 Cellopoint「雲端郵件安全代管服務」之位址，之後所有寄給該客戶之郵件，將先送至Cellopoint 進行病毒掃瞄、垃圾信過濾後，再轉發至客戶郵件伺服器，以確保郵件安全。

即日起 Cellopoint 推出免費試用活動，想體驗優質的 Cellopoint 雲端郵件安全代管服務，請立即上網申請，活動網址：http://www.cellopoint.com/tw/hosted_security

網路釣魚 (Phishing)係指駭客透過發送含有釣魚網址(Phishing link)之電子郵件，誘使收件人點選連結，將其導引至駭客所設立的釣魚網站以竊取個人帳戶資訊，或是下載惡意程式使收件人的電腦中毒。

根據 Cellopoint 全球反垃圾郵件中心統計，全球每日流通的電子郵件中，釣魚郵件的比例約佔23.51%，若不慎將造成資料外洩，損失難以預期。本文就來探討如何辨識及預防網路釣魚的威脅。

在一封網路釣魚電子郵件中，使用者開啟時看到的超連結實際上只是連結的「顯示文字」，而真的網路釣魚連結則被「顯示文字」所掩飾。使用者只要透過將滑鼠指標放在顯示的連結上，即可檢視網路釣魚連結的實際位址。

圖一：顯示的連結為合法的網域：secure.ally.com/allyWebClient/....

而當滑鼠游標移到該連結，下方則出現了真實的連結：secure.ally.com.fedfifl.hn/allyWebClient/....，此為一釣魚網址

但是對於大多數使用者來說，在收發信件時並不會特別注意到這個細節，以致於誤開釣魚網址而上當或中毒的事件常常發生。因此許多的企業、單位開始採用含有URL信譽的郵件過濾產品，攔截含有釣魚網址的電子郵件。
然而釣魚網站的網址時常變動，駭客不斷註冊新的免洗網域(Domain)，平均URL存活時間只有不到48小時。另外駭客也利用網址簡化服務將惡意URL轉化為短網址，讓釣魚URL變化萬千。即使採用含URL信譽資料庫的過濾產品，仍然無法完全杜絕釣魚郵件竄進使用者信箱中。

在這種情況下，如何進行防護呢? 其實方法不難，透過Cellopoint Policy Center的設定，關閉email中的超連結，避免使用者在不知情的狀況下亂點信中超連結而中毒；Policy Center可將電子郵件中的超連結取代成無法外連的字串，當使用者收到信時，就無法點選信中連結，如此一來完全阻擋了釣魚郵件的威脅。

圖二：經過Cellopoint Policy Center的掃描之後，將有害的超連結移除，使用者只能看到合法的網址而不能點選被掩飾的釣魚網址。

欲了解更多郵件安全解決方案，請參考 Cellopoint Email UTM 相關說明

熱門時事總是最容易引起大家的興趣，駭客也善用此一社交工程手法散佈垃圾郵件，隨著H1N1新型流感（豬流感）在全世界傳出疫情，利用「豬流感」相關話題之垃圾郵件的惡意攻擊也已開始傳播。CelloCloud™威脅感知系統(Threat Sensor System)於全球已觀察到多種「豬流感」相關垃圾郵件及惡意攻擊案例。此類垃圾郵件以聳動的標題吸引收件人，如”Madonna caught swine flu!”或”Swine flu in USA”，引導收件人點擊郵件中的惡意網址，下載木馬程式至收件人電腦中，以盜取個人資訊。甚至結合Flash漏洞，攻擊尚未修補該漏洞的電腦。

針對此次攻擊，Cellopoint提醒大家1. 對可疑郵件須保持警戒心，不隨意打開並點閱不明郵件中的連結網址。絕對不要在郵件表單中填入個人的敏感資料，如銀行帳號、密碼等，因為正常的公司是不會向使用者要求這些資訊的。2. 不回覆垃圾郵件，因為這會讓駭客知道這是一個有效的郵件地址，進而發送更多的垃圾郵件。此外許多垃圾郵件會提供取消訂閱連結，當使用者按下去時，同樣會讓駭客確認郵件地址的正確性。遇到垃圾郵件最好的方式就是直接刪除不要回應。3. 小心社交工程的陷阱，駭客的手法有複雜化及個人化的傾向，魚叉式攻擊(針對特定的對象進行個人化的釣魚郵件攻擊)時有所聞。4. 不轉寄連鎖信，這可能是駭客為了蒐集郵件帳號的所製作的郵件。

CelloCloud™威脅感知系統偵測到此波「豬流感」垃圾信威脅時，立即發布了「反垃圾郵件特徵資料庫更新」，即時保護全球的客戶。CelloCloud™提供「全球聯合威脅防禦」與「即時線上更新防護」功能，可解決垃圾郵件、病毒郵件、間諜程式、釣魚郵件、中繼轉信、DoS攻擊、駭客入侵等威脅。CelloCloud™像一朵虛擬的安全雲，隨時將客戶納入保護範圍，實現「電子郵件雲端安全」服務的目標。

經濟不景氣，求職人口驟增的情況下，駭客竟然藉此機會詐騙求職者。Cellopoint全球反垃圾郵件中心近來監測並攔截到一波大量的求職拒絕信的釣魚信件，內容寫著「感謝您應徵XX職位，然經審閱您的專長及經驗後，未能符合本職位需求…我們將您的履歷表回傳給您…」，信件的內容看似無異常，而連結的公司網址也是有效且正常的，但若收件者開啟郵件的附加檔案時，迎接他的不是自己的履歷表而是木馬程式；當求職者同時應徵了多項工作時，要記住所有應徵的公司及職務是不可能的任務，因此很容易被這樣的信件蒙蔽，成為受害者。

Cellopoint全球反垃圾郵件中心表示，這一波的釣魚郵件攻擊行為，顯見社交工程的變化日新月異。除了許多被木馬程式所攻陷的電腦組成的Botnet(殭屍網路)，駭客也使用免費的Web郵件作為媒介，因為一些Web郵件服務提供業者自身在垃圾郵件防禦的不足，使得駭客可透過這些漏洞發起攻擊。免費Web郵件成為垃圾郵件跳板已經變成一大問題，對服務提供業者來說，不只會影響整體的郵件系統運作效率，也讓自己維護的發信IP因此被列入黑名單，直接影響到使用者正常收發信件的行為；若業者想要推廣升級付費的電子郵件的服務，黑名單問題將成為絆腳石，不利於商機的拓展。加上行政院在2009年二月二十六日通過「濫發商業電子郵件管理條例草案」，明文規定「電子郵件服務提供者」須採行必要措施，防止濫發商業電子郵件，否則將被處以罰鍰，並得按次處罰至改善時止，服務提供業者不得不正視垃圾郵件氾濫的問題。

Cellopoint郵件安全暨管理解決方案又稱為Email UTM，今年榮獲資策會2008年ITes Best Choice「郵件內容安全/Anti-spam」首獎之肯定。採用此一解決方案，可享受Cellopoint全球反垃圾郵件中心(CGAC)線上聯防服務，包括反垃圾郵件、病毒郵件、防間諜程式、釣魚郵件、中繼轉信、DoS攻擊防禦、防駭客入侵及保障郵件傳輸安全之郵件加密、防偽冒的數位簽章功能，解決垃圾郵件氾濫的問題。Cellopoint Policy Center可將電子郵件依照內容分類，區隔商業電子報跟正常信件，提供IP Pool管理功能，避免正常信件的發信IP避免落入垃圾郵件黑名單中，解決惱人的黑名單問題。提供郵件處理動作如：轉寄、刪除、隔離、通知稽核人員或密件副本等等，大幅提升系統效率，所有客戶包含服務提供業者、企業及組織單位的郵件服務都可因此得到大幅的改善。

關於Cellopoint Email UTM
Cellopoint Email UTM解決方案包含：「郵件安全防禦」、「內容稽核與法規遵循」、「歸檔暨郵件生命週期管理」等三大主軸，以完整且經濟的方式，協助客戶做好郵件管理，提升管理績效。

隨著西洋情人節的到來，隱藏在電子情書中的病毒也開始活躍起來，二月初 Cellopoint 全球反垃圾郵件中心偵測到來自 Waledac 殭屍網路大量的郵件攻擊，偽裝成電子賀卡的型式散播。這類郵件引導收信人點選進入連結網站讀取電子賀卡。若進入連結網址，將被引導下載惡意程式，使電腦被遠端控制，受感染的電腦將成為另一個殭屍網路(botnet)，使用者將在不知情的情況下，將病毒和惡意軟體傳送給其他使用者。

Cellopoint 統計這些垃圾郵件標題，包含“Me and You”、“In Your Arms”、“With all my love”及“I give my heart to you” 等等，收到以上及類似標題郵件時，須謹慎處理，不要隨意點開。除此之外，本月份偽裝成退稅通知以及線上訂位確認的垃圾郵件詐騙，也有增加的趨勢。

今年11月11日，美國ISP業者切斷了惡名昭彰的垃圾郵件代管業者McColo的流量，隔天馬上發現全球垃圾郵件數量少了快五成。McColo 代管了許多主要的殭屍網路(Botnet)主機，包括Rustock及Asprox等等。現在經過了一個月後，Cellopoint Labs發現全球垃圾郵件數量正逐漸復甦，垃圾郵件量從McColo流量被切斷後，持續下降了九天，但之後又慢慢的上升。造成垃圾郵件量又開始上升的原因可能是許多殭屍網路(Botnet)再度復活或是形成，垃圾郵件發送者(Spammer)不斷的找尋其他管道，試圖繼續發送垃圾郵件。以數十億垃圾郵件流量聞名的Mega-D 殭屍網路，在McColo被關掉後仍然存活著，持續的發送威爾剛等藥品的垃圾信。

本月初美國總統大選的結果底定後，Cellopoint 全球反垃圾郵件中心監控到新一波影音垃圾信的攻擊，駭客使用 ”歐巴馬的勝選演說”、”歐巴馬的當選感言” 等等為標題，寄發帶有影音檔案的垃圾郵件，當收件人想要觀看影音檔案時，會出現” 需要安裝新版 Adobe Flash 播放器” 的訊息，要求收件人點選該連結，通常收件人有很大的機會逕行點選了該連結，但事實上，此連結並不是連上 Adobe 的網站，而是駭客設立的惡意網站，最後造成收件人的電腦因此被植入木馬病毒，發生個人隱私資料被竊取的情況。

截至上周末為止，依據 Cellopoint 全球反垃圾郵件中心的統計，約有 30% 的惡意垃圾郵件是與這次選舉活動有關，社交工程結合影音檔案內嵌惡意連結的攻擊型態將變成一種趨勢，加強郵件保護的措施，採用郵件安全閘道器產品，第一層保護，在第一時間預防垃圾郵件的威脅；第二層保護，針對寄外的郵件實施內容稽核，預防被感染的電腦傳送敏感資料，造成資料外洩，如此才能確保郵件安全萬無一失。

日前美國共和黨副總統候選人裴林 (Sarah Palin) 的雅虎電子郵件帳戶遭駭客入侵，郵件內容流出不說，部分內容甚至被擺在網站供人下載，目前看來，除了一些居家照以外，並沒有什麼令裴林難堪的內容，但消息指出裴琳曾用此私人電郵進行洽公，可能是要迴避法律約束。目前一名20歲年輕的民主黨代表的孩子被懷疑與此事有關係，可能會被 FBI 約談。

不只是政治人物，在競爭激烈的商場環境中，公司高層的私人電子郵件信箱很容易變成對手攻擊的目標，企業治理對於員工使用私人郵箱的行為需要謹慎以對，如果無法管控，最好是限制私人電子郵箱的使用，預防員工有心或無意將公司敏感資料轉寄到私人電郵。Cellopoint 建議企業或組織可以施行郵件管控政策並搭配郵件稽核工具，在員工收發郵件時進行行為及內容層級的掃描，一旦偵測到員工可能洩漏敏感性的資料至外部私人電郵時，即時對該郵件予以隔離管控，並通知上層主管進行稽核，做到滴水不漏的郵件防護。