Google分析E-Mail資安風險,企業帳號比個人帳號更容意遭惡意程式威脅

Google分析E-Mail資安風險,企業帳號比個人帳號更容意遭惡意程式威脅

Google日前發表了關於E-Mail資安風險的相關分析報告,報告中指出現在E-Mail仍受到惡意程式、釣魚郵件、廣告郵件等不良內容騷擾,其中企業帳號受到惡意程式攻擊的次數,甚至比個人帳號多出4.3倍。Google也在報告中建議使用者能藉由過濾工具、加密工具、二階段認證等方式,提高安全性。

E-Mail仍是惡意程式散佈管道

雖然社群網站與即時通訊軟體的興起,已經改變許多人的通訊方式,讓E-Mail的使用率越來越低,但是由於有許多服務仍需綁定E-Mail,或者在申請時需搭配E-Mail帳號,所以仍然有使用E-Mail的需求。

根據Google的反郵件濫用團隊(Anti-Abuse Research and Gmail Abuse),提出的報告,目前E-Mail仍受到惡意程式、釣魚郵件、廣告郵件的威脅,例如當使用者開啟E-Mail中夾帶的惡意程式,就會造成電腦感染病毒或被植入木馬程式,釣魚郵件則會騙取使用者的銀行相關資料,廣告郵件則會造成不必要的麻煩。

Google為了保護使用著的安全,持續不斷地在投入工作,並對新出現的資安威脅做出反制,平均每分鐘能夠過濾1,000萬封不安全或不需要的危險郵件、垃圾郵件,其中的技術關鍵,就在於充分瞭解E-Mail威脅的運作方式。

在所有的威脅中,廣告郵件仍然是數量最多的分類,但是它主要會以個人帳號做為目標,相較之下企業帳號收到的廣告郵件數量僅有個人帳號40%。然而企業帳號卻更容易受到惡意程式與釣魚郵件的侵害,這2種郵件的數量分別為個人帳號的4.3與6.2倍。另一方面,攻擊者也會針對許多不同的因素,例如組織的大小與型態、組織做在的國家、組織的資安層級等等差異,對目標以不同方式進行攻擊。

在該份報告中,企業帳號被分類為商業公司、非營利組織、政府相關行業和教育服務企業等不同子分類,並以商業公司為基準進行比較。研究團隊發現攻擊者對於非營利組織,較常使用惡意程式攻擊,對於商業公司則常以釣魚郵件、廣告郵件攻擊,然而其中還有許多微小的差異,會影響目標所受的攻擊型式。

Google分析E-Mail資安風險,企業帳號比個人帳號更容意遭惡意程式威脅

▲企業帳號比個人帳號更容易受到惡意程式與釣魚郵件的攻擊。(圖片來源:Google

Google分析E-Mail資安風險,企業帳號比個人帳號更容意遭惡意程式威脅

▲在4種企業帳號中,非營利組織最容易惡意程式攻擊,商業公司則常遇到釣魚郵件、廣告郵件攻擊。(圖片來源:Google

過濾郵件確保安全

為了提高E-Mail的安全性,研究團隊提出了幾點建議,首先最簡單的方法,就是可以透過Google提供的過濾功能篩選危險郵件,根據官方提供的資料,如此可以阻擋99.9%的危險郵件,此外還能透過插頁式警告,避免因郵件中的連結接觸到惡意程式或釣魚網站的攻擊。

另一方面,研究團隊除了提出需注意收信時容易遇到的危害,也建議需要小心寄出時的資安控管。使用者可以透過二階段認證降低攻擊者竊取帳號的風險,並透過S/MIME或是TLS加密等方式,確保郵件傳輸時的安全。

雖然部分服務需要搭配G Suite方案才能使用,但是一般個人帳號仍然可以使用郵件過濾等防護功能,此外使用者自己也可以提高警覺,避免開啟陌生或可疑郵件,避免讓攻擊者有機可乘。

Google分析E-Mail資安風險,企業帳號比個人帳號更容意遭惡意程式威脅

▲插頁式警告可以在使用者要連至惡意程式或釣魚網站時提出警告。(圖片來源:Google

Google分析E-Mail資安風險,企業帳號比個人帳號更容意遭惡意程式威脅

▲使用TLS加密可以避免攻擊者窺探、篡改郵件。(圖片來源:Google

Google分析E-Mail資安風險,企業帳號比個人帳號更容意遭惡意程式威脅

▲G Suite是為企業設計的付費服務,提供更多安全功能。(圖片來源:Google

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則