電子郵件附件何時可以安全開啟?

電子郵件附件可能包含惡意軟體。在開啟或下載附件之前,請務必確認傳送附件的人、傳送附件的原因以及附件的作用。

學習目標

閱讀本文後,您將能夠:

  • 說明開啟電子郵件附件的風險
  • 瞭解電子郵件附件何時可以安全開啟
  • 描述導致惡意軟體感染的電子郵件附件類型

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

電子郵件附件何時可以安全開啟?

將檔案附加到電子郵件的功能很有用,但也會帶來風險。來自惡意方的電子郵件附件可能含有惡意軟體,這可能導致駭客入侵或資料外洩。沒有萬無一失的方法可以知道電子郵件附件是否可以安全開啟——但來自未知人員的意外附件很可能是危險的。

為什麼電子郵件附件很危險?

電子郵件附件是隨電子郵件傳送的檔案,就禮物附帶的卡片一樣。幾乎任何類型的檔案都可以附加到電子郵件中;通常唯一的限制是一個檔案的大小,或者電子郵件用戶端願意接受多少檔案。但是,就像透過網路傳送的任何檔案一樣,電子郵件附件有時可能包含危險或惡意內容,這些內容可能會用惡意軟體感染裝置。

攻擊者經常嘗試將惡意軟體附加到電子郵件中來分發惡意軟體。有時他們附加惡意軟體作為可執行 (.exe) 檔,並試圖欺騙電子郵件收件者下載並開啟執行惡意軟體的檔案。其他時候,他們可能會將惡意指令碼隱藏在看似無害的檔案中,例如 Microsoft Word 文件(DOC、DOCX)或封存檔案(ZIP、RAR 等)。指令碼執行後,它會下載並安裝惡意軟體,或執行其他惡意動作。最後,攻擊者還可能將惡意軟體或指令碼偽裝起來,隱藏在看似不可能包含惡意軟體的檔案類型中,例如影像或影片檔案。

我們可以把電子郵件附件想像成一份包裝好的禮物,那麼電子郵件就是禮物所附的賀卡。收到禮物的人在開啟禮物之前,無法知道裡面裝有什麼。同樣,收件者也不可能確定電子郵件附件中的實際內容。不幸的是,世界上幾乎任何人都可以相互傳送電子郵件,因此,必須以懷疑態度對待所有電子郵件附件。哪怕電子郵件(類比「賀卡」)似乎來自可信的人,也應謹慎對待其附件。

哪些電子郵件附件通常可以安全地開啟?

與任何安全性問題一樣,沒有辦法保證任何特定檔案一定安全。不過,回答以下問題可以幫助確定是否應該信任某個電子郵件附件。如果其中任何一個問題的答案是「否」,那麼使用者應該聯絡所謂的寄件者,或聯絡所在組織的安全性團隊,這才是明智之選。

  • 您認識寄件者嗎?已知來源的電子郵件附件比未知來源的電子郵件附件更可能可信任。收件者根本不認識的人更不可能有合理理由傳送電子郵件附件——就像我們不可能收到陌生人的生日禮物。
  • 您能確認寄件者確實傳送了電子郵件嗎?有時,惡意方會冒充熟人或可信寄件者,甚至收件者通訊錄或所在組織中的人。他們的方法包括偽造或模仿寄件者的電子郵件地址,或闖入寄件者的收件匣,然後代表寄件者傳送電子郵件。
  • 這封電子郵件在您意料之中嗎?意外的電子郵件往往是攻擊企圖的訊號。大多數惡意電子郵件都是意料之外的——畢竟沒有人想被駭客攻擊。
  • 您是否預料到這封電子郵件會有附件?即使這封電子郵件在您意料之中,意外或不相關的附件也可能是惡意文件。
  • 附件是預期的檔案類型嗎?例如,如果寄件者說他們附加了或將會附加一張影像,但收到的檔案卻是 PDF 或 EXE,這可能是一個訊號,表明不應信任該檔案。

如果所有這些問題的答案都是肯定的,電子郵件附件就更可能是安全的,但也不能確保安全。

電子郵件附件何時不能安全開啟?

上一節中的問題是一個很好的起點,有助於識別潛在危險附件。開啟電子郵件可能會不安全還有其他指標,包括:

  • 急迫性:攻擊者希望收件者迅速行動,讓他們沒有時間質疑或進一步調查。電子郵件可能會要求收件者迅速下載或開啟附件。
  • 將電子郵件傳送給大的群組或未知收件人:攻擊者有時會盡可能廣撒網,提高有人下載惡意附件的可能性。為此,他們會將惡意電子郵件的收件者列為一長串名單或大型群組電子郵件別名。他們可能會使用 BCC(密件抄送)或將「收件者」欄位留空,試圖隱藏收件人數。
  • 電子郵件中不尋常的寫作風格:拼寫和語法錯誤是電子郵件可能來自騙子的常見訊號。不過有時候,合法的寄件者也會忽略這些約定。收件者應將電子郵件與寄件者的典型電子郵件撰寫方式進行比較。此外,如果電子郵件是關於寄件者通常不會解決的主題,則電子郵件實際上可能不是來自預期的寄件者。
  • 缺少個人化問候:攻擊者並非總是有那麼多時間,一次只針對一個受害者。問候語很寬泛,或沒有問候語,可能是一個訊號,表明該電子郵件不正常。(但情況並非總是如此——特別是在魚叉式網路釣魚企業電子郵件入侵攻擊中,電子郵件威脅有時極具針對性,高度個人化。)
  • 附加檔案中包含惡意軟體:許多電子郵件提供者會透過反惡意軟體分析來識別可能的惡意軟體,並標記出危險的附件——這是一個明確的訊號,表明不應開啟該電子郵件。

哪些電子郵件附件可能包含惡意軟體?

任何檔案類型都可能包含惡意代碼。許多惡意軟體攻擊都利用過封存檔案、PDF、Microsoft Word 文件和 Microsoft Excel 試算表。然而,攻擊者並不局限於這些檔案類型。從影像到文字檔案,任何檔案類型都可能有危險。

最明顯的危險文件類型之一是可執行檔。可執行檔是在開啟檔案時電腦會執行的程式設計說明。合法寄件者很少會在電子郵件中附加可執行程式碼,通常會以其他方式傳送軟體程式。可執行檔的副檔名為 EXE(Windows 系統)或 APP(Mac 系統)。

什麼是副檔名?

副檔名是檔案名稱末尾的句點後面的文字。例如,在檔案名稱「quiche-recipe.doc」中,副檔名為 .doc 或 DOC。副檔名表明檔案類型——DOC 副檔名表示這是 Microsoft Word 文件。

副檔名可以偽造。識別副檔名不是確定檔案是否安全的可靠方法。

其他需要瞭解的常見副檔名包括但不限於:

  • Microsoft Word:.doc、.docx(DOC、DOCX)
  • Microsoft Excel:.xls、.xlsx(XLS、XLSX)
  • Adobe Acrobat PDF:.pdf (PDF)
  • 可執行檔:.exe、.app(EXE、APP)
  • 封存檔案:.zip、.rar、.iso(ZIP、RAR、ISO)
  • 影像檔案:.jpeg、.png、.gif(JPEG、PNG、GIF)
  • 音訊檔案:.mp3、.wav(MP3、WAV)
  • Web 檔案:.html、.css、.js(HTML、CSS、JavaScript)
  • 純文字檔案:.txt (TXT)

攻擊者如何在常見檔案中內嵌巨集、指令碼和其他危險內容?

Office 檔案

巨集是在 Microsoft Office 檔案(如 Word 和 Excel)中使用的可執行指令碼。雖然巨集有許多合法用途,但它們也被用於攻擊。如果電子郵件附件要求收件者啟用巨集,則可能是惡意的。

PDF

攻擊者可能在 PDF 中嵌入惡意 JavaScript,以及指向危險網站的連結或由攻擊者控制的雲端託管檔案。

封存檔案

封存檔案是一種檔案格式,用於將一個或多個檔案以及相關中繼資料儲存在包裝函式中。封存檔案通常也經過壓縮,以使其更便於攜帶。封存檔案只是內部檔案的包裝函式——任何內容都可能包含在其中。這讓攻擊者能夠將惡意檔案隱藏在封存檔案中,然後誘騙使用者下載檔案並開啟其內容。

其他檔案

不安全的指令碼和連結幾乎可以包含在任何類型的檔案中,無論是直接在檔案中還是隱藏在其中繼資料中。此外,攻擊者可以偽造副檔名,使惡意檔案看起來像是影像、音訊檔案、影片檔案、TXT 檔案或使用者可能更可能信任的其他類型的檔案。

使用電子郵件附件的勒索軟體攻擊有哪些?

多年來,許多勒索軟體攻擊透過電子郵件附件進入組織或到達受害者的電腦。範例包括:

  • Petya 勒索軟體通常透過電子郵件(附上 PDF 格式的虛假工作申請)傳播到人力資源部門。
  • 早些年,Maze 勒索軟體透過惡意電子郵件附件傳播給受害者。(這種方法可能仍在使用,但 Maze 也透過 RDP 漏洞利用和其他攻擊媒介進行傳播。)
  • 有人發現,REvil 勒索軟體集團使用惡意電子郵件附件傳播勒索軟體。

有些勒索軟體攻擊並不直接使用電子郵件附件,而是利用以前使用電子郵件附件攻擊的成果。Ryuk 勒索軟體通常透過 TrickBot 感染進入組織,而 TrickBot 又通常透過 Emotet 殭屍網路進行傳播。(這種多層攻擊很常見,表明攻擊者一旦在組織的網路中獲得立足點,就可以採取各種動作。)Emotet 最常在電子郵件中附加惡意 Word 文件進行傳播。

還有哪些攻擊使用電子郵件附件?

任何指令碼或惡意軟體都可以隱藏在電子郵件附件中,從而允許攻擊者存取網路,竊取機密資料並執行其他惡意動作。收件者開啟電子郵件附件後,就可以用來傳播間諜軟體、廣告軟體、蠕蟲,甚至是殭屍網路

安全電子郵件閘道會封鎖惡意電子郵件附件?

安全電子郵件閘道可篩選掉不安全的電子郵件流量,包括垃圾郵件網路釣魚電子郵件和危險電子郵件附件。許多安全的電子郵件閘道都包含反惡意軟體掃描功能,可以識別附加檔案內的惡意軟體。它們還維護已知威脅清單並封鎖來自它們的所有電子郵件。

但是,安全電子郵件閘道並不能保證防禦基於電子郵件附件的攻擊。新類型的惡意軟體可能無法偵測到;從可信任或未知來源傳送的電子郵件不會遭到封鎖;甚至已知的惡意內容有時也可以通過防禦措施。

許多組織試圖完全避免使用電子郵件附件,而是使用安全的檔案上傳入口網站或分享雲端中檔案的連結(這會帶來風險)。減少電子郵件附件所帶來的威脅的其他策略包括:

即使目前有無數的通訊應用程式,電子郵件仍然是許多組織最常用的通訊方法,因此電子郵件安全性對於防範攻擊至關重要。進一步瞭解電子郵件安全性