Cybersec Wednesday|注意!网络钓鱼中使用的 .HTML 电邮附件
在 2022 年的一项调查报告,.HTML 文件仍然是网络钓鱼攻击中最常用的附件之一。这些文件旨在于网络浏览器中阅读的数字内容文档,通常用于网络钓鱼电邮中,以将受害者链接到恶意网站。
在隐藏网络钓鱼信息方面,.HTML 比纯文本电邮的效果更佳。因为 .HTML 本身并不是恶意的,所以电邮安全软件不太可能检测到需要关注的附件,因此更容易成功发送到受害者的收件箱。
在 2023的3月,有一间网络安全方案公司,利用数百万封电邮附件进行分析,发现在云云.HTML附件当中,有接近一半(45.7%)为恶意附件,比去年5月的报告上升超过一倍。这结果对于企业营运来说确实是很大的冲击。
攻击者之所以会使用 .HTML 附件进行网络钓鱼、个人资料盗窃和传送恶意软件呢,原因是.HTML 附件有两个主要优势,让攻击者更易达到目的:
1. 减少反病毒检测的机会
精心制作的 .HTML 文件可以降低被电子邮件安全软件或设备阻止的可能性。 .HTML 文件一般视为文字档案类型,它不会像.EXE 和 Office 文件(.DOC、.XLS 等)一样,被视为环境中构成明显的威胁并且被归类成 malspam(恶意垃圾邮件)。 此外,.HTML 文件更可用于嵌入 URL 重定向,以逃避仅检查电子邮件正文中出现的 URL 的 AV 扫描程序,同时亦可用于传送混淆网页(通常是 base64 编码),甚至可以避过检查 .HTML 附件的扫描。
2. 用户熟悉度
一般用户对.HTML 附件的认识比较熟悉,这也驱使他们减低对 .HTML 附件潜在威胁的警觉。而且不少涉及一些金融服务的交易都会使用.HTML 附件,,使用者容易将 .HTML 附件视为简单的例行公事而忽视其威胁。
尽管在网络钓鱼电邮中分发.HTML 附件已经不是新鲜事,但案例只是有增无减。我们建议可从以下几点著手,来阻止这种网络威胁:
一)我们必须以极度怀疑的态度查看 .HTML 附件,在仔细检查附件的内容及来源之前,切勿打开该档案。
二)更改Windows 默认禁用文件扩展名显示的设定。这经常会阻止使用者注意到文件的扩展名,为了更有效避免打开有害的文件,我们可考虑启用查看文件扩展名。
三)既然.HTML 附件是随电邮而来,我们可以从电邮地址来判断附件的可信性。我们要提防可疑的电邮地址——尤其是来自 Gmail 或 Outlook 等供应商的电邮地址。
四)最重要的是,我们切勿点击来源不明的链接或附件。Web 威胁防护、勒索软件防护、反网络钓鱼和反垃圾邮件防护可以帮助抵御诈骗和网络攻击。
总括而言,我们建立适切的网络安全环境,要采用有效并自动的电邮保护措施,不只扫描连结和附件,亦要评估整封电邮的内容来减低安全风险。在用户体验方面,大家又是否有充足的网络安全员工培训?藉著深化员工对网络安全的认知,由源头降低网络安全风险,把我们的环境构建成一个更安全的网络智慧城市!
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
关于 Cybersec Wednesday
每逢星期三,HKIRC网络安全团队都会挑选一个网络安全主题,以文章、贴士或最佳实践的形式与大家分享。 请留意每周三的更新,定时掌握最新鲜的网络安全资讯。
