【大纪元8月21日报导】(中央社记者韦枢台北21日电)“哇!林志玲寄MAIL给我耶”、“天哪!王永庆教我致富之道”。大家对这种电子邮件一定不陌生,内容都是要求连结到另一个网址。专家说,此时该是踩刹车的时候了,这种垃圾邮件扰人不说,最可怕的是有一堆网路病毒跟着种入使用者的电脑中,今后将有挥之不去的梦魇。
根据调查显示,全球每分钟有1040万封垃圾邮件(SPAM)在流通,美国的企业花在处理垃圾邮件的时间,加上网路频宽被垃圾邮件占据,导致生产效率下降,一年损失超过百亿美元。根据今年6月的统计,垃圾邮件已经占正常邮件的65%以上,并且有不断升高的趋势,几乎每个人的信箱中都有数十封垃圾邮件,让人无法容忍。
垃圾邮件是一种不请自来的电子邮件或简讯广告,它大量寄送并造成企业网路的负担,甚至背后夹藏着病毒,所以欧、美及邻近的日、韩等国也都立法禁止,新加坡也加强立法管制垃圾邮件并寻求网际网路服务供应商(ISP)的合作。
为何垃圾邮件如此猖獗?难道没有方法消弭吗?但答案恐怕是“无解”。资讯安全厂商赛门铁克北亚区技术总监王岳忠表示,依赖电子邮件的人愈来愈多,而且大部分人还不止拥有一个电子信箱,再加上大量散发邮件的成本非常低,个人网址外泄严重,一万封垃圾邮件只要五封有回应就可开始获利,无怪乎众多人加入发送垃圾邮件的行列。
雪上加霜的是,从搜寻引擎GOOGLE宣布加大个人信箱到1Gb之后,引发各ISP业者竞相提供大容量信箱,无疑为垃圾邮件的发送提供更棒的温床,短期内垃圾邮件只会无限量增加。
资讯安全厂商趋势科技亚太区产品行销经理李淳熙指出,在无法消弭垃圾邮件的状况下,只能用科技抑制它的骚扰。在企业端从早期的发送者黑、白名单来判别,到中期使用SIGNATURE DATA BASE的比对技术去比对每一封邮件的特征、格式、表头、主旨栏、发件者、收件者等。
最近使用启发式 (HEURISTIC)技术,程式会比对每一项分类条件并评分,判断是否符合拦阻条件,若超过标准时就送入“垃圾信件匣”内,供收件人再检视。
至于在使用者端,李淳熙强调,电脑使用者并非十分了解电脑,因此他们需要防毒、防垃圾邮件的整合型资讯安全产品,而且必需安装容易、人性化使用介面,再加上个人不去点阅来路不明的邮件和网站,不在网路上留下个人资料,如此才能减少垃圾邮件的困扰。
王岳忠更强调,近来垃圾邮件不但会使用各种方法规避资讯安全产品的拦阻,甚至偷偷摸摸的进驻某大企业的服务器,利用大企业的频宽代发送信件,完全看不出发送人是谁,只见到代罪的某大企业。
此外,更可怕的是垃圾邮件夹藏病毒、募软体、广告软体、键盘侧录程式、木马程式等混合式威胁,不但个人机密资料被盗一空,往后的梦魇才刚刚开始。
王岳忠说,近半年出现一种与垃圾邮件大量寄发信件手法相同,更可怕的钓鱼攻击 (PHISHING ATTACK),这种攻击专门诈骗电子邮件使用者的个人资料,如身份证号码、提款机密码、信用卡卡号等。它假冒知名大企业的电子邮件,再以警告的口吻骗不知情的使用者尽速到一个预先安排的假冒网站输入个人资料的诈骗方式。
由于这个假冒的网站与被仿冒的公司网站几乎一样,因此很多不知情的使用者因而受骗,在这些仿冒的网站上输入个人资料。根据 Anti-phishing WorkingGroup的统计 (网路钓鱼防制组织,简称APWG),在2004年4月中,每周都接获约250件的申诉案件。而最常被仿冒的前三家企业是Citibank、eBay和Paypal。
李淳熙说,这种钓鱼攻击一旦获悉有不知情人输入机密资料,会立刻进行犯罪,包括提领所有存款、购买大批物品,而且不到几小时就会关闭这个假网站,任谁也无法追踪到背后的主谋,只得任他逍遥;主谋甚至更恶劣把钓鱼攻击假网站架设在某大企业的服务器内,最后倒楣的是一脸茫然的某大企业。
对付垃圾邮件犹如科技和犯罪的对决,李淳熙强调,相信各家资安厂商明年版的资安产品都会强化利用经验式扫描与特征比对方法,扫描电子邮件中所可能隐藏的恶意内容,包括垃圾邮件或钓鱼攻击邮件。
王岳忠建议电脑使用者,依使用目的不同,每个人可以选取不同的账号和密码,例如网路银行、购物网站、其他任意注册的网站等,可以减少被骚扰的风险;若是任意注册的网站要求填写不必要的资料时,宁可离开这个网站,也不要把个人资料变成别人的商品,一切小心为上,才能远离网路垃圾邮件的梦魇。
