免費電郵網釣攻擊勢將蔓延

近日不時有大型免費電郵網釣攻擊的報導。免費電郵網釣攻擊使大量電郵帳戶被盜，影響的用戶不計其數，亦再次敲響了網絡威脅的警號。

不過，最有可能被忽略的，是對受害人士網上活動的潛在衝擊。那些網絡罪犯不但可存取受害者的電郵，及以有關帳戶發送垃圾電郵，亦可獲得受害者的個人資料及朋友清單。

「用戶獨特的電郵地址可用以確認多個不同網站的身份，包括社交網絡及即時訊息帳戶。假若用戶的電郵帳戶被盜，不但須更改電郵帳戶密碼，同時亦應盡快更改利用該電郵地址認證的網站之密碼。」Symantec Hosted Services MessageLabs Intelligence高級分析員Paul Wood續指，這次並非網絡罪犯首次作出類似攻擊。去年，MessageLabs Intelligence報告曾提及運用即時訊息系統作相類似攻擊的個案。網絡罪犯收集真實即時訊息用戶的帳戶資料及密碼，並利用這些資訊向朋友清單上的人發出商業訊息。有證據顯示這種攻擊是由傀儡網絡所推動。

除此之外，MessageLabs Intelligence最近發現一款網上網釣工具Mail Bomber，讓網絡罪犯可以更迅速輕易地向無辜的網絡用戶，發動大規模的網釣攻擊。網絡罪犯只須透過Mail Bomber進行數個簡單步驟，輸入受害人的電郵地址及點擊「Do It」按鈕。點擊「Do It」按鈕後，該工具即會開啟一個載有以base-64編碼字串的特定檔案，及後會將有關字串解碼，而經解碼的字串將會收集伺服器的資訊，最終把多至五千封電郵傳送至特定受害人的電郵地址。

 
「當垃圾電郵發送者下載這個免費的Mail Bomber工具，並用以攻擊受人的電郵帳戶，這些垃圾電郵發送者或許不會察覺其實自己亦成為受害者，因為該軟件會把其伺服器及檔案資訊傳送至另一個電郵帳戶。這意味者垃圾電郵發送者害人終害己。」

設定密碼小貼士

針對近日的免費電郵網釣攻擊事件，另一保安機構F-Secure認為，被黑客以網絡釣魚手法騙取登入名稱和密碼的二萬多名Hotmail用戶的情況將會持續蔓延，更有機會禍及Gmail等免費電郵用戶，因此呼籲Hotmail用戶立即更改密碼。

F-Secure保安實驗室資深保安事故應變經理謝榮輝為電郵用戶提供以下設定密碼小貼士：
- 使用最少八個字或以上密碼組合；
- 密碼應分成兩組：文字和數字，大楷小楷英文字母；
- 方法：可從網站抽取其中三個英文字母，例如將用於Amazon.com的登入密碼，設為「aMA」、「Ama」、「aMa」或「AMA」，然後加入數字或標點符號，變成：「aMA224235!" 」、「aMA35!2242」、「35!aMA2242」或「gMA35N135」
- 定期更換密碼，一般的密碼有效期為七十二至九十日；
- 切勿在不同戶口使用相同密碼，特別是網上銀行密碼應與電郵分開；
- 切勿使用一些日常字眼，例如名字及可於字典內查到的生字；
- 切記不要將個人密碼與信用卡等放在銀包內，一旦被拾獲，對方便可以為所欲為。