◆张全安
电子邮件诈骗手段及防范措施探讨
◆张全安
(中国五环工程有限公司 湖北 430223)
电子邮件系统作为当前信息沟通的主要方式之一,带来了很多便捷,但是在利用电子邮件进行交流时可能导致邮件信息泄露、被窃取及被篡改等。本文针对电子邮件沟通中可能遇到的诈骗手段,在详细分析各诈骗手段和所用的技术的基础上,提出了几种防范邮件诈骗的措施。
电子邮件;信息泄露;诈骗技术;防范措施
由于电子邮箱沟通方便快捷,且可以在邮件中附上电子附件,很多公司使用电子邮箱作为正式的沟通交流工具,根据调查其实用频率平均每天每人15次左右。通常使用电子邮件进行工作协调,业务往来、合同约定、内部信息共享,商务沟通交流。但是由于操作疏忽,不够警惕,加之技术手段处理等原因造成邮箱的持有者真实身份不明确,不能够快速有效甄别真实身份,导致邮件内容泄露、邮箱信息被攻破,信息被窃取、拦截及被篡改等。网络黑客借助计算机技术在网页或者邮箱中植入病毒或者木马,从而窃取真实用户信息,截获电子邮件等方式,冒充合作伙伴、供货商等合作方进行交易诈骗,造成双方不必要的经济损失。从以往的诈骗手段来看,此类诈骗手段共用的特征是收集证据相当困难,公安机关侦破难度很大,造成的经济损失严重,并且挽回损失的希望很小,因此遭受损失的风险较高。
下文总结了近些年比较常用的诈骗手段。
(1)黑客或者非法分子利用电脑黑客技术,通过在网页中或者应用程序、软件中植入木马或者病毒,在计算机使用者好奇浏览其设置的网站链接或者安装应用程序、软件后,对用户的账号和密码窃取,获得电子邮箱账号和密码。不法分子利用盗取的电子邮箱账号和密码,在本机直接登录非法获取的邮箱,查看电子邮件内容和联系人,了解各种往来邮件的信息、收发邮件双方的关系,商务合作情况。查明业务上的合作伙伴,开始冒充业务合作伙伴的身份与各客户进行试探性沟通,通过几次真假难辨的业务往来沟通,完全了解合作者身份和业务情况,再以各种方式实施诈骗,通常的一种方式如告知客户企业银行收款账号最近发生了变更,要求客户将剩余款项汇入变更后的新银行账号,从而骗取钱款。企业利用电子邮件沟通,很少通过其他方式(如电话、传真等)再次进行二次确认。由于往来函电主要通过电子邮件进行沟通,所以沟通双方一般不会对邮件内容产生怀疑,不法分子正是利用了信函往来中的漏洞实施诈骗活动。
(2)不法分子利用黑客或电脑技术未能攻破电子邮箱,没有获取到邮箱账号和密码,仅获取了电子邮箱的地址,然后注册一个新的电子邮箱,该邮箱与客户的邮箱地址极其相似(如:o改为0,i改为1等极其相似的改动),不注意查看难分真假,最后冒充业务员或客户给对方发电子邮件联系。不法分子利用假冒的电子邮箱和企业合作伙伴进行前期交流,了解业务往来。这类诈骗通常在两家企业合作初期,企业都在了解对方业务情况。然后不法分子冒充企业业务员,利用假冒的电子邮箱向客户发送货款或定金付款方式或者付款账号,从而实施诈骗,造成双方经济损失。
忽略或者直接删除来路不明邮件,不点击非必要、不确定的链接,防止不明邮件里的木马病毒和不明链接网站上的钓鱼网站。对于来路可信的邮件中链接都应仔细检查链接地址。定期更换邮箱密码并将密码设为复杂等级,密码中包括数字,大小写字母,特殊字符。
不法分子在得到业务员邮箱后,通常会花一笔小钱,先和客户签订一个订单,通过这些订单获取到该公司的各种印章,在得知企业与客户准备预付定金或者付款时,立即注册非常相似的邮箱地址,骗取定金或付款。所以,在电子邮件交流过程中要仔细查看邮箱地址,特别是全英文地址,要注意分辨真伪;这里可以采取备注的方式,降低被骗概率,把常来往的客户或者合作伙伴的邮箱用自己熟悉的文字或者符合标注,进行必要的说明,并且仔细核对印章真伪。
建议在项目策划中,考虑关键信息变更时采用多样化的确认方法。可将信息变更按照重要程度分级处理,分三级:
第一级:公司信息(银行账号,收款人,电话,传真等)变更,必须采用不同的沟通方式进行二次确认;
第二级:业主条约变更,宜采用二次电话、传真确认;
第三极:项目条约变更,严格按照项目变更控制流程执行。
在付款前后等重要业务往来时,摒弃单纯依靠电子邮件进行沟通的习惯,电子邮件作为主要的、正式的沟通方式,电话、传真作为补充的沟通手段在这时候非常必要。必须在关键环节进行电话或传真进行确认沟通。并且不要采用明文的电子邮件提供收款方的各类信息,如收款人、银行账户等重要信息。双方约定在转账或汇款前后进行电话确认就是简单且必要的防骗手段。
采用软件技术手段对不明邮件进行拦截,防止垃圾邮件和病毒进入邮箱,如邮件网关,邮件过滤器等。结合硬件手段对电子邮件的真伪进行辨别,过滤来路不明的电子邮件。
安全邮件网关作为重要且必需的技术防范手段,在邮件系统遇到高级威胁或定向攻击时,能够有效抵御攻击,保护敏感数据。对于近年来威胁较大的加密勒索邮件、社交工程邮件、恶意附件或者URL等很难侦测拦截的邮件,需要深度威胁邮件网关防御。深度威胁邮件网关必须具有抵御社交工程邮件攻击、定向邮件攻击,防护勒索软件威胁,采用拦截、监控等多种部署方式。如图1为一种安全邮件网关系统结构图:
图1 安全邮件网关系统结构图
作为主要的安全邮件防御系统,安全邮件网关必须具有的功能有:
定制沙箱分析:安全邮件网关能够精确匹配专为邮件系统定制的虚拟沙箱镜像,此镜像要求与操作系统的配置、驱动、应用程序、语言版本等兼容,定制化的沙箱能够提升高级威胁的侦测率,防止由于使用普通沙箱镜像造成高级威胁和社交工程邮件沙箱逃逸。
业务诈骗邮件拦截:通过定制专家规则,利用机器学习引擎,识别并标识恶意攻击和欺诈邮件。专家规则和机器学习能够自动寻找恶意攻击和邮件的意图,此项功能可以针对公司或组织中的管理人员和其他重要用户提供更严格的保护。
防勒索软件攻击:调查结果表明,在群发社交工程邮件后,在发出40秒到一分钟之内,就会有第一个受害者打开该恶意邮件。事实证明,勒索邮件和恶意链接是惯用的攻击载体,勒索软件常常被附在邮件附件或者URL链接,用户打开邮件时勒索软件就开始运行,这使得企业的所有用户都置身于极度风险之中。
邮件附件分析:安全邮件网关具有多个检测引擎和邮箱定制化沙箱检测附件,包括多种 Windows 可执行文件exe、Microsoft Office、PDF、Zip、Web内容和压缩文件类型等。
文件漏洞检测:对常见的办公文档和社交软件,工具软件中的恶意软件和漏洞,安全邮件网关提供专业检测和沙箱技术,能够及时发现藏匿在这些文档和软件中的恶意软件和漏洞。
嵌入式URL分析:利用多级嵌入式URL分析,通过Web信誉检查、内容分析和沙箱模拟可识别嵌入在社交工程邮件以及文档附件中的恶意URL,必要时对目标内容进行扫描和沙箱分析,发现隐蔽下载中使用的重定向、高级恶意软件和漏洞。
智能文件解密:使用多种启发式密码提取技术对密码保护的文件附件或压缩附件进行解密。
综合能力:防御APT攻击,防御带0-day或CVE/MS高危漏洞等恶意攻击软件的附件。避免用户邮件系统遭受DDoS攻击,导致邮件系统负载增加或瘫痪。手动或定期扫描邮箱密码的强弱等级,提示用户补强密码强度。
安全邮件网关在部署上通常要求不中断正常的邮件业务,在用户层面看来属于无缝切换,不会影响用户电子邮件的正常运行,部署示意图如图2:
图2 安全邮件网关部署图
网络安全的关键主体还是人,要充分认识到人为因素对安全的威胁。以上所有的分析都是人的行为不符合网络安全操作所致,成为不法分子和网络黑客攻击的突破口。因此,不断强化操作人员的网络安全意识、规范网络安全行为,使其充分的认识网络安全重要性,从而应对各种网络诈骗行为,减少不必要的损失。
[1]樊晓云.国际贸易中的电子邮件诈骗手法及防范措施[J].对外经贸,2012(10).
[2]卓晓宁.浅析网络诈骗犯罪[J].经济与法,2018(4).