电子邮件真的是网络犯罪者的天堂。安全公司一项研究显示全球流通的电子邮件中,约1%是恶意邮件,可能是网钓、诈欺邮件,其中九成不含恶意软件。
安全厂商FireEye研究人员分析今年一月到六月的5亿封电子邮件,发现101封邮件中,有1封是明显的恶意邮件。
研究数据显示,网络犯罪中,91%是电子邮件的攻击型态。值得注意的是,根据IC3的估计,电子邮件攻击中只有10%内含恶意软件;攻击者利用PDF或DOC等附文件趁用户开启时,安装蠕虫、木马、勒索软件、病毒、广告软件等程序。去年以电子邮件传送的勒索软件占了整体的46%。
而剩下90%是不含程序的精准网钓邮件、专门钓大鱼的鲸钓(whaling)、CEO诈欺或是退税诈欺等攻击,黑客冒用同事、友人或CEO等身份,在信中加入假的登入页、恶意连结诱骗使用者点入,或是要求受害者协助汇款及提供财务、人事或自己的隐私信息。IC3估计,2017年网钓攻击增加了65%,光是今年上半年冒充CEO的变脸诈骗(Business Email Compromise)就造成企业损失高达125亿美元。
之前的研究也显示类似结论。资安业者F-Secure指出,垃圾邮件再度成为恶意软件的最佳感染途径,且垃圾邮件所夹带的恶意附加档案中,.ZIP、.DOC、.XLS、.PDF与 .7Z等5种文件格式占了85%。Barracuda研究也显示,即使在多年倡导下,冒用CEO名义的变脸诈骗依然猖獗,CEO的权威让企业员工很容易丧失警觉心,因而几行字就能骗走巨款,其中又以掌握重要资料的CxO为高风险群。