威脅案例洞察
評分說明
一場 Covid-19 的疫情使得很多人的工作模式由每天進辦公室改為居家辦公 (Work from home),即便現在已解封,多數人還是維持這樣的上班模式。而由於企業員工資安意識的不足,很容易就掉入網路犯罪者 (Cybercriminals) 的陷阱中。本文將為您揭露一種十分普遍、時常被網路犯罪者用來發動大量攻擊的詐騙郵件-性勒索郵件 (Sextortion emails)。
操弄人心的性勒索郵件
性勒索郵件係一種利用威脅性、急迫性文字迫使收件人必須支付贖金給網路犯罪者的一種詐騙郵件,其內容通常宣稱下列幾點:
已透過專業手法取得收件人電腦或裝置的控制權。
已掌握收件人的重要個人資訊,如社群網站的帳號密碼、通訊錄的聯絡人等。
已透過收件人電腦的網路攝影機鏡頭拍攝收件人的私密/不雅影片,或是收集其造訪成人網站的相關紀錄。
脅迫收件人在指定時間內支付一定金額的贖金,通常是比特幣 (Bitcoin),否則將在社群網站或對收件人通訊錄中的聯絡人散布影片。
假裝釋出善意,表示收到贖金後會立即刪除影片,甚至給予收件人一些日後避免再陷入此窘境的建議。
在收到這類郵件時,收件人應保持冷靜客觀的態度,並能判斷這只是一個騙局,犯罪者並無真正取得收件人電腦或裝置的控制權,更沒有收件人的不雅影片。發送此詐騙郵件的犯罪者利用的正是收件人的恐懼與羞恥心,認定其不會向別人透露這等關乎私密的事情,因此只能服從犯罪者的要求。
這類的勒索郵件通常只是大量發送、亂槍打鳥的敲詐行為,實際上犯罪者並無持有任何有關收件人的所謂私密或不雅影片,如果有的話,犯罪者直接在郵件中附上證據的話不是更有說服力、能迫使收件人更迅速的支付贖款嗎?但因為他們實際根本沒有掌握收件人的任何東西,所以只能用威脅性的文字來操弄收件人的情感。他們預期在這些郵件的收件人中,一定會有部分的人實際上真的有做過他們提到的這些行為,並會為了保護聲譽支付贖金。
而某些犯罪者的郵件內容可能會帶有收件人的一些個人資料 (如帳號密碼) 以增加說服力,事實上他們有各式各樣的管道可以取得收件人的個資,例如收件人過去可能在不知情、不夠謹慎的情況下意外地洩漏了個資,抑或是曾經註冊過帳號的網站、使用過的網路服務資料遭到竊取等,甚至現在還有專門販售個資名單的公司。
典型的性勒索詐騙郵件
再來談到這次要解析的郵件案例,由 Cellopoint 郵件安全防護系統攔截到的這一封便是典型的性勒索詐騙郵件。郵件內容如下圖所示,寄件人宣稱他是一名駭客,並且利用收件人使用網際網路時的疏忽在其電腦安裝了木馬程式,再透過這個木馬程式取得收件人網路攝影機的控制權以及瀏覽網路的歷史紀錄,並利用網路攝影機錄製了收件人的不雅影片,接著以恐嚇的口吻寫說收件人一定不會希望這些影片被散布給家人、朋友、有郵件往來的聯絡人甚至是色情網站,更強調其安裝的木馬程式是無法被防毒軟體檢測和移除的,收件人除了支付贖金之外別無他法,以此種種說法向收件人施壓,讓其心生恐懼。
最後更給予時間壓力,脅迫收件人在短時間內支付贖金,為的就是不讓收件人有多加思考的時間。而其為了強化可信度,甚至提供收件人往後要定期更換密碼以及設置多重驗證的建議,讓收件人更加相信真的有那麼回事。
除了從上方圖片的郵件內容來判斷這是一封典型的性勒索詐騙郵件之外,尚可找出幾點這封郵件的可疑之處:
1. 企圖使用合法的郵件地址混淆視聽。寄件人看似是來自知名企業的電子郵件地址 (moonwu@mail.hiwin.com.tw),但實際上查看郵件原始碼即可發現其 Received From 的資訊其實並非來自該企業 (如下圖所示)。
2. 寄件人信中宣稱已獲得收件人電腦的控制權以及掌握其不雅影片等,但並未提供任何證據證明。
3. 由 Cellopoint 郵件安全防護系統統計資訊可得知,這封郵件被大量的發送給不同的收件人。
強化郵件安全防護的指標性新功能
Cellopoint 寄內郵件安全五層縱深防禦方案的 Anti-spam 模組會偵測此類型的郵件 pattern,同時也會搭配 IP 偵測、來源信譽評分等機制作綜合評估。因此郵件的寄件來源為陌生 IP,且被 Anti-spam 模組判定為詐騙郵件,故在綜合評估後此郵件被系統判定為高風險並予以攔截。
更重要的是,在最新版本的 Cellopoint 郵件安全防護系統中,新增了一項非常具有指標性的功能 — 郵件分析。系統分析郵件後,會在郵件區的讀取窗格中列出每一封郵件的特徵,包含一般特徵和威脅特徵。透過郵件分析功能,系統管理員可檢視每一封郵件的分析結果,有助於快速檢測和辨識可能包含惡意內容的郵件。再者,基於分析出的特徵,系統管理員可以制定更加精準和客製化的郵件策略,以阻擋瞬息萬變、千奇百怪的惡意郵件,達到防禦加乘的效果。
以本文的詐騙郵件為例,在經由 Cellopoint 郵件安全防護系統掃描後,偵測到下列幾點郵件特徵:
TF_CID_SPAM_FCD:此郵件有可疑的頻繁變換來源網域行為,相似特徵的郵件以不同的網域重複多次寄送,疑似有刻意變換來源以規避偵測的狀況。
TF_CID_SPAM_SNR:此郵件的寄件網域缺少 SPF (Sender Policy Framework) 紀錄。
TF_CID_SPAM_AFC:此郵件經雲端 AI 分析發現含有詐騙內容。
TF_CID_SPAM_USA:此郵件的寄件地址在收件人的電子郵件系統中沒有被識別或記錄過。
TF_CID_SPAM_USD:此郵件的寄件網域在收件人的電子郵件系統中沒有被識別或記錄過。
由上可得知,一封性勒索的詐騙郵件,可能會具有上述幾點的郵件特徵,此時系統管理員就可利用這些郵件特徵來制定郵件策略,未來若有符合這些郵件特徵的郵件再進入郵件系統,便可直接進行隔離或刪除,防止其進入收件人的信箱中。Cellopoint 安全防護系統的郵件特徵分析功能確實大幅的提升了惡意郵件阻擋的準確率以及效率。
郵件安全,人人有責
最後,回歸根本,個人和企業的郵件安全意識也是非常重要的。就組織層面來說,企業可加強郵件安全的佈防與管控,選用可信賴的郵件安全防護系統商,並透過資安宣導、社交工程演練等方式培養與強化員工的郵件安全意識。以個人層面來說,在使用各種網路服務、平台時,需提高警覺,勿隨意洩漏重要個人資訊,或是在安全性不足的網站註冊、填寫個人資料等。面對任何可疑、陌生的郵件,需時刻保持警覺、抱持懷疑的態度,絕不輕易開啟附件檔案,再三思考郵件內容的真實性,謹慎再謹慎的處理每一封郵件。