[技巧] 在 Outlook 輕鬆區分釣魚詐騙信

公司幾乎每個月都會收到一封看起來很逼真又精緻的釣魚信,以前一眼就看的出來陽春的釣魚信,現在卻是越來越難辨認。尤其是在外商公司的話,又是英文又不熟悉公司的狀況下就更容易被騙了。

如果我是公司的新人,直接看到這封釣魚信或許就有 50% 的機會不小心點下去:

每天我會收到 10 封以上的 emails,有些是群組內的溝通、有的是系統自動化的報告、有的是公司的訊息。這麼多雜七雜八的資訊,要每封都提高警覺判斷是不是釣魚信真的很累。

通常我們會想用 blacklist 來擋這類的 emails,但其實我們也可以用相反的概念: whitelist。概念是與其封鎖一大堆各式各樣的網域,不如允許少量真正信任的網域。

這篇文的適用對象主要是給我們一般使用者如何保護自己免受釣魚信的困擾。

方法1: 用 Outlook 垃圾郵件設定 (Junk Email Options) 分類釣魚信

Step 1: 不在 Whitelist 全部當成垃圾信

我們點 Outlook 右上角選單中的垃圾郵件設定 (Junk E-mail Options):


選擇最後一個最嚴格等同 whitelist 的選項 "Safe Lists Only":


Step 2: 加入信任的 Emails/網域

要允許"寄送"的對象我們可以加在 Safe Senders:


他也可以用 * 例如 "@*.company.com" ,如果你覺得全部的 subdomains 都可以信任的話。

另外旁邊的 "Safe Recipients" 是要允許我們可能在一些 email groups 裡面,例如寄信到 xxx-group@company.name.com 也同時會寄給團隊中 10 個人包含自己,那我們可以允許這個 group,但我覺得平常應該用不太到,通常 "Safe Senders" 那邊就夠了:

方法2: 用 Outlook 收件匣規則 (Rules) 分類釣魚信

Outlook 收件匣規則 (rules) 設置的話順序會是這樣:

  1. 任何信,除了從信任的網域來,全部移到一個 "Not in Whitelist" 資料夾
  2. 其他自己原本設定的規則...

Step 1: 不在 Whitelist 就移動到特殊的資料夾

我們點 Outlook 右上角選單中管理 rules 的選單:


新增一條規則,有三個條件一定要設定好:


  • 移動到一個名稱看起來就會讓自己懷疑的資料夾,我是取名叫 "Not in Whitelist" 很直覺
  • 除了自己公司網域 @compnay.name.com 的信件、或是在我自己的連絡人清單
  • 不要繼續跑接下來的規則 (這個很重要)

Step 2: 確保這個 Whitelist 的規則永遠在第一條

如果這個規則不在第一條,那就有可能會被我們自己之後加的規則誤判到其他資料夾去,所以之後我們有加新的規則都不能比這個更優先。

而上面 "停止處理其他規則" (stop processing more rules) 勾起來也是當可疑的信件如果套用到第一條特殊的規則被移動走之後,照理說就不該再跑第二條之後的規則了。

全部的規則就會長這樣:


雖然比方法1 複雜了許多,但這個方法把 whitelist 以外的信件都丟到一個專屬的資料夾而不是全部丟到垃圾信夾,我們比較不會漏掉一些偶發的信件 (像是和醫院約健康檢查醫院寄來的信):


常見的釣魚信關鍵字

因為釣魚詐騙信都是用撒的方式出去,他也不知道你的名稱,所以我看到現在通常他們很喜歡用這樣的稱謂:

  • Dear Recipient,
  • Dear Customer,
  • Dear Colleague,
  • 直接把我 email ID 列出來
  • 或是完全不稱謂,直接寫 Hi,/Morning,/Hi all,
但通常他們自己會寫完整的姓名,裝作好像真的有這個人。但也有可能假裝成系統信不會有名稱。

然後因為我們公司主要是做軟體的,所以他們很會偽裝成自己是軟體公司日常的一部分:

  • Package: 說我有包裹在櫃台,請點連結領取或看一下
  • Meeting: 說有 meeting 在線上等我加入
  • Notification/Messages/Voicemail: 系統信說有訊息我忽略了,點連結來看或聽
  • Document/Invoice: 說有文件請點這個連結來 review/sign
  • Payroll/Payment/Pay: 說我的薪水有調整,請我開 Excel/Word 附件看 (通常都會有惡意 macro code 在裡面)

Whitelist 方法還是有缺陷,但至少我比較安心

Whitelist 乍看之下好像很完美,但不小心的話我們還是有可能會點到釣魚信:

  • 當 whitelist 條件設的不好的時候: 像我們公司有外包問卷調查,每次收到這類的信都會自動被丟到 垃圾信/"Not in Whitelist" 資料夾,雖然我不敢點但是公司之後就會催促你去完成問卷,那如果你還是經常去點 垃圾信/"Not in Whitelist" 裡面的信件就還是有機會中釣魚信
  • 當信任的對象被攻破 (compromised) 的時候: 如果信任的對象被駭客掌控,那他寄的信你可能不會多想就點下去

所以這個方法也不是絕對的是非黑白,我們還是要經常教育我們自己去了解詐騙釣魚信的手法。

但當很多釣魚信已經被分類到一個很可疑名稱的資料夾 垃圾信/"Not in Whitelist" 的時候,你還沒開始看內容就會有種看熱鬧的感覺: "我來看看你這個釣魚信長什麼樣"

來看看釣魚信長什麼樣

我就分享一下我收到各式各樣的釣魚信範例:

HTML 類型

有包裹,請印收據


請簽名


有 meeting 你怎麼不趕快來?

客戶在你不在的時候找你了,快點開來看



純文字類型

HR 說薪水有調整?


怪我害他們被收費?


有客戶想寄東西給我? 抱歉我沒在用 fax


結語

上面方法1 和方法2 都是我自己去網路上看相關文章學到的,公司沒有預設開這些選項。方法1為什麼預設沒開我猜可能是因為怕人抱怨信常常被分類到垃圾信去。方法2又太複雜,一般的人根本不會用,IT 可能也無權去改別人的資料夾或規則。

到頭來我們還是得靠自己學會一些招數來保護自己不受釣魚信影響,資安對工程師可是非常重要,如果重要資料外洩或是電腦被掌控,相關的開發工具和產品也會跟著受威脅。

留言

此網誌的熱門文章

[試算表] 追蹤台股 Google Spreadsheet (未實現損益/已實現損益)

[Side Project] 互動式教學神經網路反向傳播 Interactive Computational Graph

[插件] 在 Chrome 網頁做區分大小寫的搜尋