數據揭示潛在威脅,駭客攻擊需滿足三條件
DNSFilter 發現,每 644 次點擊寫著「取消訂閱」的連結,就有一次將使用者導向潛在的惡意網站,最低程度的風險是測試電子郵件是否有效。資安公司 Zenity 共同創辦人暨技術長 Michael Bargury 提及,點選取消訂閱連結等於「告訴攻擊者你是一個會與垃圾郵件互動的真人」,雖然不會立即造成傷害,但「可能會讓你未來成為更大的攻擊目標」。
一旦駭客確認電子郵件地址屬於會閱讀信件的人,他們就能開始針對該使用者建立檔案,進一步透過社交工程或其他詐騙手法,達到勒索目的。資安公司 Coalfire 資深副總 Charles Henderson 表示,取消訂閱連結還會將使用者導向仿真的網站,意圖騙取登入憑證,甚至嘗試在使用者裝置上安裝惡意軟體。
Charles Henderson 說明,駭客若要透過「取消訂閱」連結成功發動攻擊,需同時滿足三項條件:第一,使用者的瀏覽器版本存在未知的安全漏洞;第二,駭客精準針對該特定漏洞進行攻擊;第三,使用者點擊假的取消訂閱連結。
安全退訂怎麼做?資安專家提供以下建議
Michael Bargury 警告,如果「跳轉後的網站要求你輸入密碼以完成取消訂閱,不要照做。」他建議使用者開啟新的瀏覽器分頁,直接前往寄件方的網站並手動更改通訊設定,而不是點選信件內的連結直接操作。
針對如何安全退訂,三位資安專家一致建議,優先使用電子郵件服務供應商提供的「list-unsubscribe headers」(清單取消訂閱標頭)功能。這類按鈕通常內建於信件標頭中,透過內部機制提供退訂選項,不會將使用者導向外部網站,相對安全。
若該功能無法使用,專家建議最簡單的方式是標記為垃圾信件,或透過設定讓可疑寄件者的郵件自動轉入垃圾郵件夾。此外,可為不同用途建立臨時電子郵件帳號,例如用於註冊網站、兌換優惠或參與活動等,Charles Henderson 說明:「為特定用途創建帳號,只要停用該帳號就能解決問題。」
《The Wall Street Journal》補充,Apple 的「Hide My Email」功能提供隨機電子郵件,能將信件轉寄至使用者的真實信箱,保護個資隱私。使用 Chrome 或 Firefox 的用戶,可透過瀏覽器下載類似的隱私擴充功能,強化個人資料安全。
