正確使用電子郵件及相關操作，才能避免被駭客利用社交工程等.docVIP

正確使用電子郵件及相關操作，才能避免被駭客利用社交工程等手法入侵得逞！ 電子郵件安全－停看聽 方耀宇 壹、電子郵件的黑暗面 　　電子郵件是21世紀現代社會重要的資訊傳送管道，現代人透過電子郵件進行資料傳輸、溝通訊息、處理公務、聯絡感情等，是便利且迅速的資訊交流方式。但是隨之而生的電子郵件安全性議題，從許多媒體及資安事件中，發現電子郵件已成為發生資訊安全事故的重要傳播載體。 　　社交工程(Social Engineering)是以影響力或說服力來欺騙他人以獲取有價值的資訊。駭客以電子郵件為載體結合社交工程的攻擊手法，近年來一直是造成企業或個人威脅和損失的主要原因。這種攻擊手法造成的威脅，在於有心人士不需具備頂尖的電腦專業技術，只要企業員工對於防範詐騙沒有足夠的認知，就可輕易地避過企業的軟硬體安全防護。這些有問題的電子郵件附件中常夾帶病毒、蠕蟲、木馬程式、傀儡程式等惡意程式，或是在信件本文中夾帶惡意連接、網路釣魚、偽裝成知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等等手法，而取得各項帳號密碼、個人資料、財務資料或公司重要資料等資訊。 貳、不得不看的使用須知 　　維護電子郵件的安全不僅僅只針對您的帳號設定「安全」的密碼而已，以下幾項說明或可幫助您確保在使用電子郵件上的安全。 　一、使用任何電子郵件軟體前，必須確認以下認知： 避免在不安全的網路環境使用電子郵件：儘量避免使用公共場所的電腦收發電子郵件，很可能由於該設備被植入鍵盤側錄程式而造成帳號、密碼等資料外洩。有些瀏覽器被設定成自動留下Cookie紀錄，若使用公共場所的電腦完畢，必須記得清除自己的使用紀錄及敏感資料，以免有心人士竊取或登入冒用。不管在任何情況下，儘量不要在沒有經過加密的連線環境下讀取您的電子郵件；明文傳輸的網路環境，隨時都可能讓有心人士竊取您的電子郵件帳號及密碼。 建立電子郵件驗證機制：市面上有許多商用軟體及免費數位簽章軟體可用，可在您所發送的電子郵件中加上數位簽章，機關(構)或公司也可依據需求自行建置CA(Certification Authority，憑證授權)提供服務。如果您使用了PGP(Pretty Good Policy)或GnuPG(GNU Privacy Guard)之類的加密工具，將您的電子郵件加上數位簽章，那麼擁有您公開金鑰(Public Key)的收件者便可以確認這封信是由擁有私密金鑰(Private Key)的您所發送的，因此您必須妥善保管您的私密金鑰。在進行身分認證時請進行加密，理由很簡單，若您在未加密的情況下進行身分認證，可能會遭到駭客竊取您的帳號密碼，之後，駭客便可以使用您的帳號密碼收發電子郵件，或者將您的帳號密碼賣給垃圾郵件廠商或其他有心人士，用您的帳號發送郵件給其他人。 圖1.點選電子郵件選項 以純文字模式開啟信件：不要讓電子郵件軟體使用html或xhtml網頁格式開啟信件，如果您的電子郵件軟體是使用Microsoft Outlook、Outlook Express或是Mozilla Thunderbird時，您應該設定電子郵件不以html格式打開，而以純文字的方式開啟。因為當您的電子郵件以html格式打開電子郵件的同時，可能會被駭客利用，甚至植入惡意程式。因此，筆者建議不管使用何種郵件軟體，請設定成以「純文字」的方式讀取電子郵件。可參考前圖Microsoft Outlook 2003的操作畫面。 關閉「自動完成」的功能：許多電子郵件軟體都有提供「自動完成」的功能，我們也發現許多意外出現在選取收件者時發生。例如在Microsoft Outlook的收件者欄位中，我們常可看到Outlook會跳出下拉式選單讓我們選取收件者，不過有時候會選到排序上相鄰的聯絡人。如果今天這封電子郵件是要討論相當機密的事情時，發生選錯聯絡人的情況是相當嚴重的。 圖2.關閉自動下載 HTML郵件中的圖片或其他內容功能 　二、收發信件時必須注意： 如果資料的私密性對您而言是相當重要的話，請使用信任的POP3(Post Office Protocol 3，郵局協議版本3)和IMAP(Internet Message Access Protocol，交互郵件訪問協議)收發信件：如果電子郵件內所包含的資料對您而言是相當私密的話，請避免使用Web-Based的電子郵件服務，像是GMail、Hotmail以及Yahoo! Mail…等等。即便是該電子郵件服務廠商所制定的政策，對用戶隱私已有相當程度的保護宣告，但電子郵件服務商員工的行為不是我們所能控制的，網路上就曾出現員工將客戶的電子郵件帳號賣給發送垃圾郵件廠商的案例。 （二）發送給多人的郵件時，請將收件者以密件副本方式傳送：若是將朋友的電子郵件地