最近客服中心收到用戶檢舉假冒寄件人「暱稱」的信件,分析信件的特徵,我們發現和常見假造寄件人的方式並不相同。以往較常見的是假造寄件人「email address」(註),而最近發現的是假冒寄件人「暱稱」。
由於寄件人暱稱的排序通常在 email address 前面,因此惡意人士會利用假造寄件人暱稱的視覺效果來誘騙收件人上當,假冒寄件人暱稱的手法很簡單,但卻很容易騙過收件人。
假造暱稱的範例如下,紅色字體那一大串包含 email 的文字其實都是暱稱的部分,藍色字體的部分才是真正的 email address:
-----Original Message-----
From: Mail2000 客服中心 <m2k_adm@mailcloud.com.tw> <xyzmbax@axdohiwa.com>
Sent: Monday, December 16, 2019 3:19 PM
To: <grace.guan@openfind.com>
Subject: 您的發票現已可用。 (見附件)
「寄件人暱稱」是寄件人依自身的喜好、服務特質、品牌規劃等需求而自由填寫並可隨時變動的,以 Mail2000 客服信箱的暱稱為例,暱稱可隨時改成 Mail2000 個人信箱服務、 Openfind Mail2000 客服中心、Openfind Cloud Service 客服中心...等等。因「暱稱」本身並不在任何驗證的範圍內,因此目前的技術尚難以驗證暱稱的正確性。
針對這類假造暱稱的信件,除了提醒用戶留意辨認真實的 email address 之外,我們建議以現有的廣告信機制,並針對信件內容特徵 (包含內容、URL、附檔等等) 來加強過濾。若您有收到此類信件的需求,還請您將收到的詐騙信件反應至 Mail2000 客服中心,客服人員在分析信件內容後,將會依照您的問題與需要,提供最適合的調整建議。
同時 Mail2000 「郵件安全服務」已投入人力研發「假造暱稱」的防詐騙機制,未來對於這類假造暱稱的信件將能更有效攔截,避免用戶受騙造成損失。
註:
過往假冒寄件人的信件,通常是假冒 email address,在信件的寄件人欄位填上假冒的 email address,試圖以假的寄件人 email 來騙取收件人的信任。
假冒寄件人 email address 的手法主要是利用 EMail 國際標準 (RFC 821) 的漏洞,EMail 國際標準 (RFC 821) 是所有郵件主機都必須遵守的標準,但當初制訂標準時對於假造寄件人 email address 並沒有相關規範,以致於任何人都可以在發信的時候隨意填寫寄件人 email address,也因此假造寄件人 email 已成為常見而普遍的廣告信發送手法。
因近年來寄件人網域驗證技術的普遍應用 (例如 SPF 驗證、DKIM 驗證、DMARC 驗證;Mail2000、MailCloud 的防釣魚機制等等),假造寄件人 email address 的信件被成功攔截機率大大提高,一般來說,較具規模的郵件主機 (包含 Mail2000、MailCloud) 通常可以成功攔截假冒寄件人 email 的信件。