什麼是電子郵件詐騙?

電子郵件詐騙是指攻擊者篡改電子郵件以偽裝成合法寄件人。這種策略常用於網路釣魚攻擊。

學習目標

閱讀本文後,您將能夠:

  • 瞭解什麼是電子郵件詐騙
  • 瞭解電子郵件詐騙如何運作
  • 取得防禦電子郵件詐騙的技巧

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是電子郵件詐騙?

電子郵件詐騙中,攻擊者使用電子郵件標頭來遮罩他們自己的身分,並冒充合法寄件人。(電子郵件標頭是一個程式碼片段,其中包含有關郵件的重要詳細資訊,例如寄件人、收件人和追蹤資料。)

雖然電子郵件詐騙是一種涉及偽造電子郵件標頭資訊的特定策略,但攻擊者可以使用其他策略來實現類似的結果。例如,攻擊者可能會建立一個看起來與合法寄件者網域非常相似的電子郵件網域,寄希望於收件者不會注意到錯誤。例如,使用網域「@1egitimatecompany.com」而不是「@legitimatecompany.com」。攻擊者還可能變更顯示名稱以冒充寄件者:例如,從「LegitimateCEOName@gmail.com」而不是「LegitimateCEOName@legitimatecompany.com」傳送惡意電子郵件。

這些技術之間的主要區別在於,成功的電子郵件詐騙嘗試將顯示為合法網域(例如 cloudflare.com),而非拼寫錯誤的網域 (janeexecutive@jan3scompany.com) 或與該網域完全無關的地址 (janetherealceo@gmail.com)。本文將重點介紹具有偽造標頭的電子郵件。

電子郵件詐騙屬於更大的網域詐騙範疇。在網域詐騙中,攻擊者將嘗試冒充網站名稱(或電子郵件地址),通常是網路釣魚攻擊的一部分。網域詐騙延伸到電子郵件之外,可用於建立冒充的網站或欺詐廣告。

電子郵件詐騙如何運作?

攻擊者使用指令碼偽造電子郵件收件人可以看到的欄位。這些欄位位於電子郵件標頭中,包括「from」地址和「reply-to」地址。下面是詐騙電子郵件中這些欄位的樣子範例:

  • From: “Legitimate Sender” email@legitimatecompany.com
  • Reply-to: email@legitimatecompany.com

偽造這些欄位是可能的,因為電子郵件傳輸通訊協定簡易郵件傳輸通訊協定 (SMTP) 沒有內建的電子郵件地址驗證方法。事實上,寄件人和收件人的電子郵件地址存在於電子郵件中的兩個位置:標頭和 SMTP 信封。電子郵件標頭包括收件人看到的欄位,而 SMTP 信封包含伺服器用於將電子郵件傳遞至正確地址的資訊。但是這些欄位不一定要匹配才能成功傳送電子郵件。因為 SMTP 信封從不檢查標頭,且收件人無法看到信封中的資訊,所以電子郵件詐騙相對容易。

由於詐騙電子郵件看似來自合法寄件人,因此收件人可能會被誘騙洩露敏感性資訊、點選惡意連結或採取其他本不會採取的動作。出於此原因,電子郵件詐騙常用於網路釣魚攻擊。

在某些情況下,攻擊者會使用其他策略來增強詐騙電子郵件網域的可信度。這可能包括複製公司的標誌、品牌藝術和其他設計元素,或使用與被模仿公司相關的訊息和語言。

如何防禦電子郵件詐騙

電子郵件收件人可以採取以下步驟來確保不落入電子郵件詐騙的陷阱:

  • 提防鼓勵快速或緊急採取動作的郵件:收件人應該懷疑任何要求提供個人資訊、付款或其他即時動作的意外或自發的電子郵件。例如,如果有郵件突然提示變更應用程式的登入資訊,則應將其視為可疑。
  • 檢查電子郵件標頭:許多電子郵件用戶端提供檢視電子郵件標頭的方法。例如,<a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'>在 Gmail 中,按一下個別電子郵件上的「顯示原文」,即會顯示電子郵件標頭。在檢視標頭時,尋找「已接收」區段。如果顯示的網域與「寄件人」地址中的網域不同,則電子郵件很可能是偽造的。
  • 使用篩選詐騙郵件的軟體:反垃圾郵件軟體可以對傳入電子郵件要求認證,從而封鎖詐騙嘗試。

網域擁有者也可以採取動作來防止攻擊者從其網域傳送郵件。為此,組織可以建立專用於認證的 Domain Name System (DNS) 記錄。其中包括:

  • SPF 記錄寄件者原則架構 (SPF) 記錄列出了獲得授權從某特定網域傳送電子郵件的伺服器。這樣,如果有人編造了與網域相關聯的電子郵件地址,它就不會列在 SPF 記錄中,也不會通過認證。
  • DKIM 記錄網域金鑰識別郵件 (DKIM) 記錄使用一對加密金鑰進行認證:一個公開金鑰和一個私密金鑰。公開金鑰儲存在 DKIM 記錄中,私密金鑰數位簽署 DKIM 標頭。來自具有 DKIM 記錄的網域的詐騙電子郵件將不會使用正確的加密金鑰進行簽名,因此將無法通過認證。
  • DMARC 記錄基於網域的郵件認證、報告與一致性 (DMARC) 記錄包含 DMARC 原則,這些原則告訴電子郵件伺服器在檢查 SPF 和 DKIM 記錄後應做什麼。網域擁有者可以設定基於這些檢查封鎖、允許或傳遞郵件的規則。由於 DMARC 原則會根據其他認證原則進行檢閱並允許網域擁有者設定更具體的規則,因此這些記錄增加了另一層防止電子郵件詐騙的保護。

在組織層級,網路安全領導者還可以實作網路釣魚和惡意軟體防護,採取措施防止員工落入電子郵件詐騙的陷阱。

電子郵件認證如何融入電子郵件安全性?

儘管電子郵件認證可幫助防止電子郵件詐騙,但它並不是一個全面的電子郵件安全解決方案。例如,電子郵件認證不考慮其他常見的網路釣魚技術,例如相似網域或從已遭入侵的合法網域傳送的電子郵件。

Cloudflare Area 1 電子郵件安全提供更全面的方法。它搶先爬行網際網路以識別攻擊者基礎結構,從而防止網路釣魚攻擊並保護收件匣。