NO.29 | 2018.01.16
banner
title資訊百科 友善列印>>
淺談近年電子郵件之相關資安重大事件_應用服務組 陳修澤 副工程師



上半世紀前,電子郵件成為人們交換電子訊息的方法之一。近年來歷經各種通訊技術演進,從商業名片中不難發現,電子郵件仍為目前通訊主流,甚至是美國每日網路活動之首(如下圖)。電子郵件位址包含個人帳號、域名及公司等相關資訊,正是駭客攻擊前必需蒐集的訊息,此資訊也正好提供駭客明確的攻擊目標。

綜觀過去一年的資安重大事件,如美國信用機構Equifax在2017年7月發生超過1億筆資料外洩案;Uber 2017年11月爆出2016年遭駭客竊取5,000萬筆駕駛乘客資料,並付出300萬贖金;Yahoo則在2017年10月證實2013年駭客入侵,影響Yahoo所有客戶資料約30億筆。上述資安事件經調查後均指向釣魚郵件。釣魚郵件皆非出自於官方伺服器,基於阻擋釣魚郵件接觸使用者概念,美國國土安全部(United States Department of Homeland Security)於2017年10月已要求聯邦政府單位導入DMARC(Domain Message Authentication Reporting & Conformance)機制以驗證電子郵件。

駭客通常利用夾帶惡意連結或程式,以廣告或社交等主題之內容,透過大量寄送的方式,來引誘終端用戶開啟郵件,進行釣魚郵件攻擊。然而民眾普遍對垃圾郵件的危機意識薄弱,甚至以為電子郵件與隱私並無關連性,但電子郵件在茫茫網路中可以精確定位至個人相關資訊(如同住家地址),某種程度已可視為個人數位身分證。想像今天回家後,門口信箱塞滿廣告信件,可能有許多廣告業者經過,造成附近居民的門口信箱也滿信為患,但只有知道電子郵件位址才能送進信箱的情況下,這亦可解讀為針對個人的騷擾,甚至是隱私權的侵犯。但要如何讓信箱滿到一張紙都塞不下呢?就像中心的個人信箱容量有500MB配額,大約可容納50萬封1,000位元的電子郵件。當駭客在5分鐘內使用1萬個電子郵件信箱,同時對service@ttc.org.tw發送50封電子郵件,這樣的行為如同DDoS(Distributed Denial-of-Service)攻擊,此時應考量的是中心郵件伺服器是否還能正常提供服務?更一步值得思考的是:這應歸類於騷擾還是攻擊?電子郵件服務在近兩年受到List bombing或Subscription bombing攻擊,除加強驗證措施外,國際組織成立Sapmhaus專案,針對電子郵件相關的威脅來源,提供ISP與資訊安全組織相關訊息。

如同稍早所提及之電子郵件位址,某種程度可視為個人數位身分證,淺白而言就是個人識別資料(個資)。今年歐盟將正式施行GDPR(General Data Protection Regulation),針對個資加強管理、使用及處罰。加拿大則有CASL(Canada's Anti-Spam Legislation)於2017年7月開始允許消費者控告發送違法電子郵件寄送者,並可針對個人所受之影響進行求償。美國聯邦貿易委員會(Federal Trade Commission)於2017年8月底,完成收集公眾相關意見,針對限制商用電子郵件的CAN-SPAM(Controlling the Assault of Non-Solicited Pornography and Marketing Act)進行修法之預先準備。

總結上述之相關資安事件,與我們共存半世紀的電子郵件使用量,看來不只沒有凋零,還更加茁壯。研究指出每日電子郵件傳送數量預估將從2017年近27億封成長至2021年的32億封(如下圖),相信未來電子郵件的相關安全議題仍會受到資安界的持續關注。組織雖然可布建完整的資安防護基礎設施,以及周詳的資訊安全管理等機制過濾惡意電子郵件,但終端使用者亦可利用關閉電子郵件的預覽功能、不輕易開啟來路不明的電子郵件、附件內容以及超連結等方式,避免惡意電子郵件攻擊,唯有透過雙管齊下的防護措施,才能防範資安危機於未然。