詐騙滿天飛已經是近年最頭痛的問題了, 除了電話、簡訊外, 現在連電子郵件都被用來做為詐騙的工具, 在此為您說明如何使用 MailScanner 過濾詐騙郵件。
什麼是釣魚詐騙 (phishing fraud) 信
釣魚詐騙 (phishing fraud) 信與近年流行的電話詐騙與簡訊詐騙類似, 詐騙者利用電子郵件偽裝為銀行或其他知名網站, 信件內容會要求使用者登入其帳號, 可是信件內提供的連結卻是詐騙者自行架設的網站, 所以當使用者直接點選信件內文的連結進行登入時, 詐騙者便可以藉此收集各使用者的帳號、密碼、甚至銀行戶頭或是信用卡號等機密資訊。
下圖是一封釣魚詐騙信的範例:
上例中, 雖然網路銀行連結的文字為 "www.flagbank.com.tw", 但是 HTML 原始碼的部分卻將連結設定為 "www.iflagbank.com.tw", 僅僅一個字母的差別, 連線的網站卻完全不同。只要詐騙者將 www.iflagbank.com.tw 網站的外觀做得跟真正的 www.flagbank.com.tw 一模一樣, 使用者便可能因此而受騙上當。
如何偵測釣魚詐騙信
以下筆者重新列出上例的釣魚詐騙信, 並且特別將連結部分將以 HTML 原始碼的方式顯示:
| 標標銀行會員您好, 我們已經偵測到您的網路銀行密碼遭到不名人士盜用, 請立刻登入標標網路銀行 www.flagbank.com.tw 更換密碼, 以保護您的帳號。 如果您無法登入的話, 則請連線此網頁與客服人員聯絡。 感謝您的支持與配合, 謝謝。 |
由於大部分的釣魚詐騙信都是藉由上述方式企圖欺騙使用者, 因此 MailScanner 偵測釣魚詐騙信時, 會如下比對文字與 HTML 原始碼內的連結是否相同:
所以當 MailScanner 發現兩者不相同時, 便會將信件列為可能的釣魚詐騙信, 並且會在信中放置一段警告文字, 提醒使用者這封信可能有問題。
另外有些信件會如下使用 IP 做為連結:
此類連結比較難辨真偽, 所以 MailScanner 內有一個選項, 可以讓管理者設定是否對此 IP 形式的連結提出警告。一般情形下, 銀行或是知名網站都會使用網域名稱, 而不會只使用 IP 連線網站, 所以此種形式的連結有極大的可能為詐騙信, 因此仍建議開啟警告 IP 連結的功能。
不過因為 MailScanner 是藉由比對顯示文字與真正連結來進行判斷, 所以當連結顯示文字不包含網址時, MailScanner 便無法偵測是否為釣魚詐騙信:
設定 MailScanner 過濾釣魚詐騙信
MailScanner 預設便會偵測釣魚詐騙信, 請開啟 /etc/MailScanner/MailScanner.conf 檔, 檢查下面項目是否設定為 "yes":
| ... Find Phishing Fraud = yes | ← 設定是否偵測釣魚詐騙信 |
| ... Also Find Numeric Phishing = yes | ← 設定是否偵測 IP 形式的連結 |
| ... Highlight Phishing Fraud = yes ... | ← 設定偵測到釣魚詐騙信時, 是否在信中放置警告訊息 |
如果上面項目不是使用 "yes" 做為設定值, 請編輯檔案將其設定為 "yes", 編輯後請執行 /etc/rc.d/init.d/MailScanner restart 命令, 使新設定生效。
未來當 MailScanner 發現釣魚詐騙信, 便會如下標示警告使用者:
TIP:開啟過濾釣魚詐騙信的功能後, 因為必須一一檢查信件的內文, 所以對於郵件伺服器效率的影響不小。如果您發現開啟此功能後, 伺服器的效率非常低落, 則請重新考慮是否要使用此功能。
修改 MailScanner 放置於釣魚詐騙信的警告文字
MailScanner 預設的警告訊息是英文的, 使用者收到後, 如果對於英文不熟悉, 可能會看不懂訊息, 所以本節將說明將自訂警告訊息。
首先請開啟 /etc/MailScanner/MailScanner.conf 檔案, 如下找出訊息檔的目錄:
然後請切換到警告訊息的範本目錄, 也就是上例中的 /etc/MailScanner/reports/linuxtech, 然後開啟該目錄下的 languages.conf 檔案, 如下編輯:
完成後請執行 /etc/rc.d/init.d/MailScanner restart 命令使新設定生效, 便可以將 MailScanner 的警告訊息設定為中文:
 |
| 自行設定的中文警告訊息 |
忽略非詐騙的網址
前面所舉詐騙信的例子中, 連結文字為 www.flagbank.com.tw, 但是 HTML 原始碼中設定的連結為 www.iflagbank.com.tw, 所以 MailScanner 會判斷此信件為釣魚詐騙信。不過如果使用者反應 www.iflagbank.com.tw 真的是 www.flagbank.com.tw 所建立的另一個網站, 此時您可以開啟 /etc/MailScanner/phishing.safe.sites.conf 檔案, 如下將 www.iflagbank.com.tw 加入最後一行:
| ... www.iflagbank.com.tw | ←加入 www.iflagbank.com.tw, 或者也可以使用*.iflagbank.com.tw 表示所 有以 iflagbank.com.tw 結尾的網址 |
完成後, 請執行 /etc/rc.d/init.d/MailScanner restart 命令使新設定生效, 未來 MailScanner 便會忽略 www.iflagbank.com.tw, 而不會將其判定為釣魚詐騙信了。
TIP:目前歹徒的詐騙技術真可用日新月異來形容, 但是電腦的偵測方式卻是死板的, 自然不可能過濾出所有詐騙信, 所以管理者應該教育使用者不要相信電子郵件中的連結, 最好自行輸入才能真的確定是實際的網站。
發表文章
沒有留言:
張貼留言