4.5 电子邮件内容安全

电子邮件内容就是指电子邮件中的图文、超链接和附件，是电子邮件的主要组成部分。

4.5.1 典型事件

近年来，网络诈骗手段层出不穷，电子邮件更是重灾区，无论对个人还是企业都造成了重大损失，利用邮件木马和病毒进行诈骗的案例屡见不鲜。

2016年2月，一款名为Locky的敲诈者木马在全世界各地快速传播。Locky木马主要利用电子邮件附件传播含有恶意宏的Office文档，用户一旦感染病毒，计算机的文档、图片等重要资料都会被恶意加密。用户要想重新解开数据的密码，就必须向木马研发者缴纳一定数量的赎金。

2016年6月，日本大型旅行社JTB宣布，因为员工打开钓鱼邮件导致公司网络遭到非法入侵，有近800万客户资料外泄，包括姓名、地址及护照号码等。该案件中的钓鱼邮件使用包含“ana”的邮件地址伪装成全日空航空公司（ANA），发送提醒确认机票预订的邮件。JTB员工打开该邮件后，导致计算机客户端及服务器中毒，大量资料被泄露。

2016年8月12日，欧洲最大的电线电缆制造商、全球第四大供应商德国莱尼集团北罗马尼亚分公司收到模拟官方支付需求发出的诈骗邮件。莱尼集团在比斯特里察工厂的财务官认为这封邮件是莱尼德国总部的顶级高管发来的，而且该公司的信息系统也是欧洲最安全的系统之一。于是，财务官按照邮件要求将4000万欧元汇到了指定账户。经过两周的调查，发现该笔巨款汇入的是捷克共和国的一家银行，但由于骗子没有留下任何可被追踪的信息，至今未抓到真凶。这一消息导致该家公司股票下跌5~7个百分点。

2017年10月3日，据HackerNews.cc消息，思科研究人员发现近期有黑客通过合法的VMware二进制文件发送网络钓鱼邮件，旨在分发银行木马感染目标设备后实施反分析技术，窃取用户敏感信息并获取非法经济利益。该银行木马使用Delphi编写，可以终止分析工具的流程，创建自启动注册表项，利用Web注入操作诱导用户暴露银行登录凭据等敏感信息。黑客以发票为主题，用葡萄牙语（母语）撰写钓鱼邮件，并在邮件中上传了包含重定向到goo.gl链接的附件。用户点击之后，系统将重定向下载另一个包含JAR文件的压缩包，最终目标设备将执行恶意代码并安装该银行木马。一旦用户设备上的银行木马完成环境设置，它将从远程服务器下载其他恶意软件。完成这些操作后，木马会对自己进行重命名，并利用合法的VMware二进制文件进行传播，以欺骗安全程序。

4.5.2 电子邮件内容的安全防范

通过网络的电子邮件系统，用户无须支付额外费用便可以飞快的速度与世界上任何一个角落的网络用户联系。电子邮件已经是个人、企业沟通和信息传递最重要的手段。有研究表明，企业中80%以上的办公文档、95%以上的公司业务数据等机密文件都在通过电子邮件传递和交流。但是，另一个事实是电子邮件于40多年前被创造出来的时候，安全并不是设计的主要部分之一，电子邮件系统和协议设计上都缺乏对内容真实性、安全性的保障措施。任何人稍作处理就可以任何身份给任何人发送邮件，因此邮件很容易被冒充或仿冒。而冒充的人发来的邮件内容是否安全是个值得深究的问题。

1.警惕来历不明的邮件

网易邮箱给出的利用邮件进行诈骗的常见形式有如下几种。

1）冒充公司的同事或领导，向用户索要公司通讯录及联系方式等。

2）索取用户的银行账号或密码，要求用户转账到安全账户或者打款给客户。

3）冒充网易或支付宝等官方名义要求用户退款或者转账等。

4）冒充公安、法院、电信运营商、银行等要求用户转账给所谓的国家安全账号。

5）退税或退款，要求用户填写退款账号，其中退款账号包括银行密码等进行诈骗。

6）冒充用户的朋友或者客户，要求用户借款转账或者打货款等。

具体的邮件内容示例如图4-4、图4-5和图4-6所示。

2.小心邮件附件和链接

当收到的邮件中包含推送的附件和链接时，用户就要十分小心了。一般地，这种邮件具有两种可能，一是别有用心的人特地发给用户的；二是被入侵或者被病毒感染的用户在发送邮件的时候被悄悄附上毫不知情的内容。而这些推送的附件往往就是病毒或者木马程序，一旦访问就会让用户的计算机感染上病毒或者被木马远程控制。

有时候邮件的内容还会夹杂一些意外的链接，一旦点击，就会跳转到指定的页面，而这页面很有可能是一个“挂马”或者带有病毒下载链接的页面。