電子郵件附件可能包含惡意軟體。在開啟或下載附件之前,請務必確認傳送附件的人、傳送附件的原因以及附件的作用。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
將檔案附加到電子郵件的功能很有用,但也會帶來風險。來自惡意方的電子郵件附件可能含有惡意軟體,這可能導致駭客入侵或資料外洩。沒有萬無一失的方法可以知道電子郵件附件是否可以安全開啟——但來自未知人員的意外附件很可能是危險的。
電子郵件附件是隨電子郵件傳送的檔案,就禮物附帶的卡片一樣。幾乎任何類型的檔案都可以附加到電子郵件中;通常唯一的限制是一個檔案的大小,或者電子郵件用戶端願意接受多少檔案。但是,就像透過網路傳送的任何檔案一樣,電子郵件附件有時可能包含危險或惡意內容,這些內容可能會用惡意軟體感染裝置。
攻擊者經常嘗試將惡意軟體附加到電子郵件中來分發惡意軟體。有時他們附加惡意軟體作為可執行 (.exe) 檔,並試圖欺騙電子郵件收件者下載並開啟執行惡意軟體的檔案。其他時候,他們可能會將惡意指令碼隱藏在看似無害的檔案中,例如 Microsoft Word 文件(DOC、DOCX)或封存檔案(ZIP、RAR 等)。指令碼執行後,它會下載並安裝惡意軟體,或執行其他惡意動作。最後,攻擊者還可能將惡意軟體或指令碼偽裝起來,隱藏在看似不可能包含惡意軟體的檔案類型中,例如影像或影片檔案。
我們可以把電子郵件附件想像成一份包裝好的禮物,那麼電子郵件就是禮物所附的賀卡。收到禮物的人在開啟禮物之前,無法知道裡面裝有什麼。同樣,收件者也不可能確定電子郵件附件中的實際內容。不幸的是,世界上幾乎任何人都可以相互傳送電子郵件,因此,必須以懷疑態度對待所有電子郵件附件。哪怕電子郵件(類比「賀卡」)似乎來自可信的人,也應謹慎對待其附件。
與任何安全性問題一樣,沒有辦法保證任何特定檔案一定安全。不過,回答以下問題可以幫助確定是否應該信任某個電子郵件附件。如果其中任何一個問題的答案是「否」,那麼使用者應該聯絡所謂的寄件者,或聯絡所在組織的安全性團隊,這才是明智之選。
如果所有這些問題的答案都是肯定的,電子郵件附件就更可能是安全的,但也不能確保安全。
上一節中的問題是一個很好的起點,有助於識別潛在危險附件。開啟電子郵件可能會不安全還有其他指標,包括:
任何檔案類型都可能包含惡意代碼。許多惡意軟體攻擊都利用過封存檔案、PDF、Microsoft Word 文件和 Microsoft Excel 試算表。然而,攻擊者並不局限於這些檔案類型。從影像到文字檔案,任何檔案類型都可能有危險。
最明顯的危險文件類型之一是可執行檔。可執行檔是在開啟檔案時電腦會執行的程式設計說明。合法寄件者很少會在電子郵件中附加可執行程式碼,通常會以其他方式傳送軟體程式。可執行檔的副檔名為 EXE(Windows 系統)或 APP(Mac 系統)。
副檔名是檔案名稱末尾的句點後面的文字。例如,在檔案名稱「quiche-recipe.doc」中,副檔名為 .doc 或 DOC。副檔名表明檔案類型——DOC 副檔名表示這是 Microsoft Word 文件。
副檔名可以偽造。識別副檔名不是確定檔案是否安全的可靠方法。
其他需要瞭解的常見副檔名包括但不限於:
巨集是在 Microsoft Office 檔案(如 Word 和 Excel)中使用的可執行指令碼。雖然巨集有許多合法用途,但它們也被用於攻擊。如果電子郵件附件要求收件者啟用巨集,則可能是惡意的。
攻擊者可能在 PDF 中嵌入惡意 JavaScript,以及指向危險網站的連結或由攻擊者控制的雲端託管檔案。
封存檔案是一種檔案格式,用於將一個或多個檔案以及相關中繼資料儲存在包裝函式中。封存檔案通常也經過壓縮,以使其更便於攜帶。封存檔案只是內部檔案的包裝函式——任何內容都可能包含在其中。這讓攻擊者能夠將惡意檔案隱藏在封存檔案中,然後誘騙使用者下載檔案並開啟其內容。
不安全的指令碼和連結幾乎可以包含在任何類型的檔案中,無論是直接在檔案中還是隱藏在其中繼資料中。此外,攻擊者可以偽造副檔名,使惡意檔案看起來像是影像、音訊檔案、影片檔案、TXT 檔案或使用者可能更可能信任的其他類型的檔案。
多年來,許多勒索軟體攻擊透過電子郵件附件進入組織或到達受害者的電腦。範例包括:
有些勒索軟體攻擊並不直接使用電子郵件附件,而是利用以前使用電子郵件附件攻擊的成果。Ryuk 勒索軟體通常透過 TrickBot 感染進入組織,而 TrickBot 又通常透過 Emotet 殭屍網路進行傳播。(這種多層攻擊很常見,表明攻擊者一旦在組織的網路中獲得立足點,就可以採取各種動作。)Emotet 最常在電子郵件中附加惡意 Word 文件進行傳播。
任何指令碼或惡意軟體都可以隱藏在電子郵件附件中,從而允許攻擊者存取網路,竊取機密資料並執行其他惡意動作。收件者開啟電子郵件附件後,就可以用來傳播間諜軟體、廣告軟體、蠕蟲,甚至是殭屍網路。
安全電子郵件閘道可篩選掉不安全的電子郵件流量,包括垃圾郵件、網路釣魚電子郵件和危險電子郵件附件。許多安全的電子郵件閘道都包含反惡意軟體掃描功能,可以識別附加檔案內的惡意軟體。它們還維護已知威脅清單並封鎖來自它們的所有電子郵件。
但是,安全電子郵件閘道並不能保證防禦基於電子郵件附件的攻擊。新類型的惡意軟體可能無法偵測到;從可信任或未知來源傳送的電子郵件不會遭到封鎖;甚至已知的惡意內容有時也可以通過防禦措施。
許多組織試圖完全避免使用電子郵件附件,而是使用安全的檔案上傳入口網站或分享雲端中檔案的連結(這會帶來風險)。減少電子郵件附件所帶來的威脅的其他策略包括:
即使目前有無數的通訊應用程式,電子郵件仍然是許多組織最常用的通訊方法,因此電子郵件安全性對於防範攻擊至關重要。進一步瞭解電子郵件安全性。