NGO 工作者的 Gmail 被入侵?分辨釣魚信件的五個細節!

將此信件轉交專業資安研究人員鑑定後,研究人員判定這些疑似來自 Google 的安全通知信件,事實上是來自駭客的釣魚信件。
評論
評論

本文作者林雨蒼,自由軟體工作者、公民記者,目前任職於民間司法改革基金會,並為不當黨產處理委員會兼任委員。INSIDE 獲授權轉載。

聲援劉曉波 + 李明哲,人權團體被盯上

近日,台灣 NGO 組織持續關切中國諾貝爾和平獎得主劉曉波於服刑期間逝世的議題,並聲援遭中國拘禁的我國非政府組織工作者李明哲。在人權團體鍥而不捨大力奔走的努力下,聲援的行動受到聯合國與歐盟的支持與關注。然而,除了獲得國際間的關注之外,這些 NGO 組織的成員似乎也受到另類的「關注」。

許多 NGO 工作者最近收到了貌似來自 Google 的安全通知信件,聲稱其帳號受到多次嘗試登入,並且帳戶已因此遭到鎖定。除此之外,信件內容更要求收件者點選連結以重新登入帳戶,或進行安全設定檢查來確保帳戶的安全性。收到此信件的許多工作者因而感到非常擔心,懷疑是否自己設定的 Gmail 二階段驗證登入機制失效,或帳戶已受到駭客掌控。

然而,將此信件轉交專業資安研究人員鑑定後,研究人員判定這些疑似來自 Google 的安全通知信件,事實上是來自駭客的釣魚信件。

Gmail 的安全通知信,其實是釣魚信件

此釣魚信件的目的是利用當事人恐慌的心理狀態,誘騙當事人點選信件中的連結以騙取其電子郵件的帳號密碼。一旦收件者受騙上當並輸入帳號密碼後,駭客極有可能會利用這組帳號密碼嘗試入侵其他相關系統,達成進一步的入侵。

在資安研究的領域中,這種透過當事人各種心理狀態進行誘騙,達到攻擊目的的攻擊方式被稱為「社交工程」。使用社交工程的攻擊方式不僅能大幅的提高攻擊的成功率,更能降低攻擊者的攻擊成本,因此,這是一種在網路攻擊行動中被廣泛使用的攻擊手法。

身為一般電子郵件使用者的我們,該如何自行判斷這封信件是否正常呢?首先,不只生活中充斥著各種詐騙,電子世界中也是。因此,不論收到任何主題與內容的電子郵件,收件者都務必保持冷靜,並仔細觀察信件內容來找出任何可疑的蛛絲馬跡。

判斷釣魚信件的五個細節

以此封釣魚信件為例,我們可以透過以下的方式來進行判斷:

一、標題:
此封信件的標題為「登入告警:嘗試登入達到認證上限」,其中「登入告警」很明顯為中國用語,在繁體中文的環境下,正常應會被寫作「登入警告」,而不會使用「告警」。

二、寄件者:
為避免冒用,Google 不會使用 gmail.com 結尾的電子信箱來寄送任何 Google 系統信件,因為 Gmail.com 任何人都能註冊,這封信件結尾卻使用了 gmail.com。

三、信件內容:
信件內圖片網址的持有者不是 Google , 然而,Google 系統通知信內附的圖片不使用 Google 旗下的伺服器或網站,即是一個非常可疑的疑點。

四、連結或者附件內容:
雖然頁面長的跟 Google 登入畫面一模一樣,但要求帳戶安全檢查等連結網址的持有人卻不是 Google。

五、交叉確認:
Google 帳戶安全警告除了利用 Email 通知外,Google 通常會另行顯示在帳戶內的其他地方,例如會顯示在我的帳戶 → 裝置活動與通知 → 近期安全事件。使用者可以利用這個功能確認 email 所描述的安全事件是否真的存在。

綜合以上描述,我們可以合理懷疑這封信大有問題。裡面的連結恐怕是惡意連結,非常可能是釣魚信件。

平時對 Gmail 帳號的資安維護

其實,除了在收到信件時可以利用以上的方法來進行確認外,建議使用者平時也需對於帳戶安全性多加注意,利用以下的方法來加強安全的防護。

一、打開 Google 兩階段驗證:設定帳戶兩階段驗證完成,使用者輸入登入帳戶密碼之後,系統會透過簡訊或其他方式寄送驗證碼到使用者的行動裝置上,或是透過 app 自動產生驗證碼,使用者需要再次輸入收到的驗證碼才能完成登入。此驗證方法的目的在於利用使用者的行動裝置再次確認登入者的身分,多一個確認步驟,增加駭客入侵的難度。

二、從 Google 研究功能中打開 Gmail 的驗證功能:啟用 Gmail 驗證功能後,Gmail 會在寄件者地址旁邊提示使用者是否通過身分認證,開啟此功能後,真正的 Google 系統郵件旁邊會額外顯示鑰匙圖示。

最後,假設我們真的收到了釣魚信件時應該怎麼辦呢?如同案發現場,在發現攻擊事件時最重要的是先保留證據,無論是使用瀏覽器登入使用 Gmail,或是使用 Outlook 等軟體收發郵件,可以透過擷取畫面的方式保留當下所看見的信件畫面。除此之外,保留原始信件也非常重要,在 Gmail 上,可以在信件右方點選「顯示原始郵件」來下載原始郵件。

在保留信件畫面與原始內容後,可以將這些資料交由資安研究人員進行分析,以利進行進一步的追查。

如果信箱真的遭到入侵,可能會被做什麼事?

首先,攻擊者可能會先設定「篩選器」的功能,設定將郵件轉寄至攻擊者可以控制的信箱,進一步分析這個帳戶的來往郵件與撰寫習慣;接下來,攻擊者可能會透過信箱發送特定的釣魚信,謊稱是當事人並特別地攻擊某位認識的朋友,看是不是可以取得更多的資料,或是誘騙被入侵者點擊連結,進而取得被入侵者電腦的控制權,存取更多機密資料。

很多人會說,「我的信箱或電腦中又沒有什麼資料,我不擔心會被入侵」。

但事實上,對方要的可能不是信箱中的郵件,而是透過你的信箱、電腦,偽裝成被入侵者以接觸到他周圍的朋友或同事,進而從他們身上竊取資料;或是控制電腦後,以該電腦發起攻擊,如此一來警方追查時可能就只會追到被入侵者,而無法揪出真正在背後發動攻擊的攻擊者。

資訊安全不是只有換換密碼而已,有機會可以多多參與資安相關的研討會,了解最新的攻擊技術與防禦技巧,在現實生活中也要多方查證,才不會不小心讓自己成為攻擊他人的節點。

不要以為自己沒有什麼重要的資訊就不會被入侵,你可能會變成有意人士攻擊別人的節點。

附錄

此次釣魚郵件所使用之網址與對應 IP:
http://account.mailcloud.pw -> 104.156.239.73
http://membersgrupojuritas.isasecret.com -> 200.105.138.195

此次釣魚郵件有問題的寄件者 Mail address:
[email protected]
[email protected]


精選熱門好工作

Campaign Associate 線上活動策劃專員

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$15,000

行銷企劃專員(海外市場/電商)

VeryBuy非常勸敗
臺北市.台灣

獎勵 NT$15,000

Engineering Manager

ShopBack 回饋網股份有限公司
臺北市.台灣

獎勵 NT$15,000

評論