【拒絕郵件詐騙，從帳號安全與收信安全做起】2019使用者郵件安全指南

近年不曾停止的釣魚郵件威脅，一直是網路犯罪者的最愛，因為不需太複雜的技術就可以讓用戶上鉤，回顧2018年的各式大小新聞事件，仍然不少與郵件安全相關。

儘管這些新聞事件，已經不斷提醒使用者要注意，但還是有許多民眾，遭到社交郵件工程手法所引誘，並缺乏基本的安全概念。

就像詐騙電話的社會新聞不斷，若民眾警覺心不足，而相信對方的話術，就可能上當受騙，政府執法單位也不斷宣導，希望避免民眾受害。詐騙郵件也是如此，網路犯罪分子透過各式假冒的內容，以及種種夾帶惡意程式、連結的方式，讓使用者誤信而上當，就是要讓電腦中毒，或是竊取用戶帳密，又或是騙取金錢等。

過去幾年，iThome其實也報導過許多企業郵件安全的議題，包括像是商業電郵詐騙猖獗、重新認識釣魚郵件威脅，以及企業郵件安全防護方案、社交工程演練服務等。

而提升企業員工郵件資安意識的重要性，也是重要的一環。不過，企業在教育宣導時可能不知如何著手，除了透過演練的方式來加強，在各式郵件引起資安新聞事件中，不論執法單位與資安公司，也都有論及一些基本的使用者自保要點，只是這些資訊較為零散，加上郵件安全防護面向廣大，因此，這次我們期望整理成一份基本的自保之道，以提升使用者郵件防護意識。同時，也期望讓企業與用戶，能夠以此統整出更全面或是適合自身的教戰守則。

對於釣魚郵件、惡意郵件用戶該如何自保？簡單來說，一些基本的網路安全知識不可少，要知道所有機制都有被利用的可能，風險無處不在，只要有使用就該有基礎的安全概念。這裡我們歸納了兩大安全面向，包括帳號安全與收信安全，讓一般民眾能有更多郵件安全的風險概念，以及簡單的遵循方式。

 去年10月開始，專騙一般民眾的郵件詐騙手法激增，對方聲稱知道你的密碼，甚至竄改寄件者為自己，並以恐嚇方式騙取比特幣 ，要讓民眾誤以為自己真的被入侵。而這樣的詐騙信件，其實突顯了使用者在不同網站服務，使用同一組帳密的不安全性，以及帳密外洩的狀況確實嚴重。今年初甚至已有中文版本出現。

強化電子郵件帳號安全

在郵件帳號安全方面，使用者應該要有一些基本的認知，首先就是做好基本的密碼安全管理與保護，簡單的兩大原則，例如：（一）郵件帳號的登入，不要設定他人易於猜到或破解的帳號密碼。（二）開啟兩步驟或多因素驗證來強化帳號安全。

接下來，我們將一一說明兩大原則。首先，第一點，對於一般民眾而言，容易輕忽電子郵件帳號的密碼設定問題，在註冊時就往往可能因為要方便記憶，而使用簡單易猜的密碼，像是「111111」、「123456」、「12345678」等符合最低字元數要求的數字密碼，以及「password」、「iloveyou」、「P@ssword」等常用單字組合，又或是「qwerty」等鍵盤上的橫排。

拒用懶人密碼

儘管一些電子郵件業者，會要求禁止設定易於破解、規則簡單的弱密碼，最主要原因就是一些懶人密碼，在全球可能成千上萬用戶如此設定，等於駭客利用這些密碼來破解的可能性大增。

因此，重要的網路服務更應該避免使用，像是個人主要的電子郵件帳號。

不要以自己的手機、身分證等個資當密碼

此外，同樣是為了方便記憶密碼，不少用戶可能以自己的個人資訊相關，如身分證字號、手機號碼當成密碼，或是設定了符合複雜度要求的密碼，但在不同雲端服務使用同樣的帳號與密碼，這些的作法也不夠安全。

相信民眾對於個資外洩事件應該並不陌生，這類新聞時有所聞，因此用戶密碼設定要更謹慎。已經有不少案例，像是國內有犯罪集團透過個資猜出用戶電子郵件密碼，進而將用戶網路銀行盜轉。

如果要設定強度足夠的密碼，又要能讓自己記住，其實每個人可能都有一套自己的方法。舉例來說，以下密碼組合23$%0920654321FA，是透過鍵盤排列大小寫，加上非一等親的朋友電話號碼，再搭配單字、縮寫或參數組合而成。

如用戶沒有使用密碼管理工具，這可能也是一種變化的方式，但如果未來密碼有變動，也要記得，變化前後的規則也要避免容易被猜到。

使用多個雲端服務時，不要設定同一組帳號密碼

在國際間，更多的是利用已經外洩的帳號密碼，以自動化方式嘗試登入不同雲端服務，也就是說，若使用者以同一組帳密在不同網站服務，若其他網站帳密外洩，也等於自己的郵件帳密遭外洩。

因此，在不同網站服務最好不要使用同樣的密碼。由於大多數網路帳戶，都是以個人郵件信箱為帳號，至少使用者該注意到的一點是，各式網站服務的密碼，不要與郵件信箱的密碼相同。

更重要的是，由於近年資料外洩問題嚴重，更有人將所有洩漏的帳密集結成一大包，使用者如果知道自己帳密外洩，就應該立即從正確管道，去更改密碼，不要偷懶也不要怕更改密碼。若要知道自己的帳號密碼，是否曾經被駭過，網路上也有Have I Been Pwned等網站能提供查詢上的幫助。

建議使用較安全的雙因素認證

另一方面，現在使用的主流雲端電子郵件服務，普遍都提供了兩步驟或雙因素驗證，是普遍保護用戶郵件帳密常建議的方法，只是，但還是有不少用戶沒有採取行動。

用戶該知道的是，這可以讓自己的郵件帳號多一道保護的關卡，也就是在輸入密碼之外，還要另一個驗證程序，像是用手機接受通知以確認，或是使用安全金鑰驗證身分，才不致於讓密碼被他人竊取，就能直接登入。

此外，一般民眾也要從相關新聞資訊得到概念或教訓。

舉例來說，各式網路帳密外洩的新聞事件，都是在提醒用戶，一旦收到帳密外洩通知，要知道去修改密碼，並注意該網頁不是釣魚網站，也要小心自己是否使用同一組密碼，在其他服務。

還有像是密碼管理業者公布的最常見密碼，其實意謂著使用者要避免使用的密碼，而對於密碼難記的問題，不少專家也鼓勵一般用戶使用密碼管理工具，來降低記憶各種網路帳號及密碼的困擾。

應啟用雙因素驗證以強化帳號登入安全

帳密外洩事件頻傳，為了確保帳號安全，使用者應該要啟用多因素認證機制來保護，如此一來，使用者將可用自己的手機，或是硬體安全金鑰裝置，做到更進一步的郵件帳戶身分驗證，才不會讓密碼被他人竊取後就能直接登入，畢竟資料外洩的問題是外在環境已經存在的現況。

電子郵件收信需提高警覺

在郵件收信安全方面，一般民眾也可以把握三個大原則，避免自己遭受到釣魚郵件、詐騙郵件與惡意郵件的威脅。簡單來說，就是（一）對於陌生寄件者與可疑信件，要有警覺。（二）不輕易開啟郵件中的附檔，以及網址連結。（三）應該要從不同得管道，確認信中資訊的正確性。

基本上，這些原則套用在即時通訊上也是可行。

一般而言，現在電子郵件服務都會搭配防毒、垃圾郵件過濾，或是一些資安防護措施，幫助用戶過濾大部分的威脅，但再好的機器也只是機器，使用者的經驗判斷仍是最後一道防線。要建立警覺性，民眾就是要先體認到風險無所不在。

接下來，我們將說明依循這三大原則的原因與注意細節。

不隨意開啟陌生寄件者的來信

要如何識別可疑的郵件呢？

其實有幾個徵兆可以注意，像是陌生寄件者的來信，以及帶有引誘的標題與內容。

關於陌生寄件者的概念很簡單，就像陌生人給的糖果不要吃，自己應思考的是，我為何會收到這封郵件。

看到優惠、情色、時事等誘人與引發好奇的內容，要有戒心

對於與個人或公事無關的郵件內容，自己也應意識到，通常根本沒有開啟的必要性，像是聲稱有好康優惠訊息，腥羶色聞、時事話題，或是金錢、交易與借貸的廣告內容。

看似可信、熟悉的寄件者，也可能是被竄改仿冒，或遭盜用

若是只開啟熟悉寄件者的信件，但用戶還是必須知道，寄件者有被竄改或盜用的可能性，以及其他種種狀況。

最要有所警覺的是，那些看是正常的假冒重要郵件，或著是系統通知信。

使用者該要有的安全意識是，為何對方傳來這封信，是否寄件者真的代表對方身分，對於郵件內容也要有所警覺，是否可能是詐騙行為。舉例來說，偽冒的系統通知信，讓使用者誤信帳號已遭檢舉為垃圾帳號，需於24小時內立即點選信中夾帶的連結，以進行帳號安全性確認。

還有像是收到熟悉的人所轉寄的信，自己也該意識到，是否有可能對方根本沒看信，就直接轉寄。民眾只要了解有這樣的現象，這時就能知道一件事，並不是認識的人寄出的郵件就沒問題。而這樣的狀況，也同樣會發生在大家熟悉的即時通訊軟體上。

惡意或釣魚郵件也可能偽裝成系統通知信的型態

對於信中夾帶的網頁連結，使用者要有風險的認知。但駭客使用的手法多元，例如會假冒成系統通知信，就是要讓使用者不慎中招。因此，使用者應注意不隨意開啟陌生寄件者的連結，也要知道寄件者有被竄改的可能，並且對網頁連結的欺騙方式要有基本認知，察覺信中夾帶的連結可能有問題。

如果你沒有足夠的網路安全概念，最好辦法就是置之不理

另一方面，對於郵件附檔與連結的安全性問題，這裡牽扯到的是民眾對於檔案與網頁連結的安全認知。首先要知道的概念是，檔案是否可能含有惡意程式，網站是否可能是惡意網站、釣魚網站。

如果民眾連基本的網路安全與風險概念都沒有，在自己無法確認的情況下，通常最安全的作法就是，千萬不要輕易點選或開啟。

就像前面所提，即便真的真的覺得郵件是認識的人所寄，或是看起來很像系統通知信，民眾對於信中連結與附檔，還是要培養一些基本的網路安全認知，除了要能判斷文字上的各式詐騙內容，還要有基本的網址、檔案格式，以及邏輯上的判斷。

接下來，我們也將進一步針對連結與附檔，說明一些簡單的網路安全概念與警覺點。

對於網頁連結常見的欺騙方式，要有基本認知和判斷能力

舉例來說，在郵件中提供的連件，如果連結上的文字顯示為www.yahoo.com，當滑鼠移過時卻顯示為www.yahooyy.com，就要警覺有問題而不能點選，還有更多不易判別的狀況，像是www.yahoo.hinet.com，這樣的網域其實是屬於Hinet，而不是Yahoo，以及短網址也無法立即識別。

而且，若是使用者點擊連結後看到的網頁模樣，也不該信以為真，因為他人可以將網頁設計的很相像。

在可疑的網頁連結之外，民眾必須知道，即便正常網站也是有可能在某段時間被注入惡意程式等。或者是網站的廣告被暗藏惡意程式。因此，電腦本身的漏洞修補與防護，也不能少。

對於開啟檔案的可能風險，要有基本概念和顧慮

郵件附檔也是如此，即便是熟悉寄件者的來信，也要注意盡量不要開啟高危險的檔案格式，像是.EXE、.JS、.JAR等，儘管現行一些郵件系統也會預設阻擋一些高風險的檔案格式，但一般用戶更應該先思考的是，為什麼會收到這種檔案格式的附檔？

還要注意的是，文件與壓縮檔也可能暗藏危機，例如近年一些攻擊手法就是在微軟Word、Excel文件中，夾帶惡意的巨集，或是能在PDF文件藏有JavaScript，或是將惡意軟體藏身在壓縮檔內，使用者不容易一一識別。

當然，如果用戶擔心檔案或連結有問題，有些人可能會想到上傳到Virus total網站檢查，這是一種查驗方式，但也必須要有一些觀念，像是還是可能有沒被偵測出的狀況存在，此外，也要有不應將重要檔案隨意上傳的安全意識。

夾寄Office文件也可能暗藏惡意巨集

對於郵件夾帶的附檔，使用者同樣要有開啟檔案後的風險認知。使用者應注意不輕易開啟郵件附檔，對於高危險性的執行檔，如EXE等更要小心為何會收到這類副檔格式，甚至要知道，看似無害的微軟Office文件，也可能藏有惡意巨集等，一旦開啟使用者千萬不要亂點而啟用巨集。

注意手機上的收信風險

不僅如此，在手機上的收信也要特別當心，例如，在手機郵件介面要檢視夾帶的真實連結並不夠直覺，需要對著超連結長按才會跳出相關資訊，很容易發生誤點的情況。

而且，手機上的系統防護也相對較為缺乏，因此在手機上收信，對於夾帶的連結與附檔，更要注意。

在手機上檢視郵件細節不易，更要提高警覺

由於手機螢幕的介面較小，因此要檢視寄件者電子郵件信箱，以及信中所夾帶的網址連結，都比較不直覺，而且手機上的系統防護也不如電腦，郵件附檔下載的風險也較高。（圖片僅說明手機檢視郵件的風險，不代表圖中來信有問題）

善用多方查證的方式，有助於判斷郵件內容的真偽

另一方面，為了判斷郵件內容的真偽，民眾應該要有從不同管道確認資訊的概念。

有警覺性的用戶就會發現問題，察覺可疑之處，若是沒有警覺性的人，由於近年流行的許多詐騙話術各式各樣，透過網路查詢，或是向朋友、同事詢問，都是再次確認的一種方式。當然，查詢確認也還是有需要注意的部份。

舉例來說，像是近期許多用戶收到聲稱知道使用者密碼，並勒索比特幣的郵件，不清楚也可在網路上查看，是否有人遇到同樣狀況，原因是什麼？以及該如何處理。

與金錢交易轉帳有關的事務，務必從第二管道向對方確認

更要注意的是交易匯款方面的內容，像是近年商務上就出現突然變更交易匯款通知的手法，這時應該要有所警惕，務必從第二管道與對方確認。

電腦本身安全防護也應注意

最後，在上述的郵件帳號安全與收信安全之外，要避免郵件所引發的各式威脅，在基本的電腦安全防護中，也有兩大必要的原則，分別是：（一）做好作業系統與軟體的安全更新，（二）啟用電腦的安全防護軟體。

這兩種基本的電腦防護，算是很基本的要求。而且，如同前面所提，一旦用戶不慎連到惡意網站或執行惡意程式，只要系統或軟體漏洞已被修補，或是被端點安全軟體阻攔或封鎖，就還有機會保護自己的電腦不受這些惡意威脅。

簡單而言，每個系統與軟體都有漏洞，有的輕微有的嚴重，因此業者也會一段時間就發布安全更新，將這些已知的漏洞修補，不僅是電腦作業系統本身，還有像是Flash、瀏覽器、微軟Office、Java與PDF檢視器，以及各式各樣的軟體、韌體等。由於各系統軟體的預設不同，有些會自動更新，有些則不會，因此使用者應要定期執行與檢查。

此外，各式端點進階威脅防護方案，不論是作業系統本身內建，或是資安業者提供的端點防護產品。對於一般民眾而言，安裝防毒軟體仍是一種簡單的方式，多一道保護的關卡，同時也應定期執行防毒掃描與更新病毒碼。

使用者郵件使用七大安全重點

 重點1  不要使用同組帳號密碼

 重點2  若得知帳密外洩，記得從安全管道變更

 重點3  對陌生寄件者與可疑信件要有警覺

 重點4  不輕易開啟郵件中的附檔與連結

 重點5  從不同管道確認郵件內容正確性

 重點6  落實作業系統與軟體定期安全更新

 重點7  啟用電腦的安全防護軟體

認識電子郵件使用上的風險

不要輕忽電子郵件帳密外洩的風險！

用戶自己必須認識這些風險的存在。畢竟，用戶主要電子郵件帳號被入侵，所衍生的風險太多，不僅是裡面存放了許多個人重要資料，許多雲端服務忘記密碼要重新驗證，電子郵件也是接收認證碼的管道之一，另外，也可能被他人偽冒成用戶本身來詐騙自己的聯絡人。

不該輕忽電子郵件附檔與連結的風險！

無論如何，民眾應該對於網站連結與檔案的安全有基本的認知，才能對於郵件夾帶的連結與附檔有所警覺。例如，信中夾帶的連結可能是釣魚網站、惡意網站，可能導向假冒的網站藉此詐騙，誘使用戶提供帳號、密碼，甚至是信用卡號碼等敏感資訊，或是透過程式漏洞等方式將惡意程式植入電腦內；還有，信中夾帶的附檔可能含有惡意程式，引誘使用者主動去執行，像是導致電腦被勒索軟體加密，或是被植入木馬程式與後門程式。

另外，詐騙話術各式各樣，使用者若是輕信詐騙信的內容，就跟接到詐騙電話一樣危險。同時，對於交易匯款的內容更要當心，要知道跟你通信的可能不是你以為的對方，自己若不慎把錢轉到詐騙帳戶，將帶來嚴重損失。