在外贸行业工作中,收到钓鱼邮件是必然会遇到的情况,骗子们通过钓鱼链接、病毒文档等手段来试图窃取用户信息,用于后续作恶。通常,钓鱼邮件在窃取用户信息会选择后冒充用户进行商谈、使用用户账户进行作恶、窃取用户私人财产等行为。
在外贸活动中,因信息被窃取,被骗子线下介入正在进行的交易导致自身名誉和客户资金损失的案例不胜枚举,这类案例中应及时由资损方报警,寻求法务协助,追回款项。如骗子取得A公司邮箱信息xxxx@gmail.com后,会注册一个类似的邮箱xxx.x@gmail.com,冒充A公司进行商谈,以更换银行账户等理由骗取打款。或者骗子会直接用已经盗取的邮箱以更改打款账户的名义要求打款。
如何识别钓鱼邮件?
最常出现在外贸中的钓鱼邮件可以分为3个类别,链接钓鱼邮件、附件钓鱼邮件和仿冒邮件,以下我们会一一对这些钓鱼邮件做举例。
一,链接钓鱼邮件
顾名思义,这类钓鱼邮件在邮件内直接嵌入了钓鱼链接,并且通常情况下会在邮件中或者在打开的链接页面中要求用户输入账户信息来查看订单或样本。这类链接通常会以超链接或者直接链接的形式出现在邮件中。
当然,有些钓鱼链接会引导用户进行附件下载附件,下载后的附件一定要进过病毒查杀后才能打开查看。
样本一:
样本二:
这里我们可以例举两个常见的钓鱼链接页面样式(一般钓鱼邮件都会让你填写账号和密码)
二,附件钓鱼邮件:
在以往的案例中, Html网页附件,Exe/Scr附件,Doc附件,Excel附件,PDF附件等均会存在钓鱼风险,尤其以Exe/Scr属性的附件的风险程度最高,一般是病毒执行程序。
1,Html网页附件
Html网页附件打开后可能是钓鱼链接,在收到带有Html文档邮件时,您也需要注意打开的链接是否会要求您输入邮箱或账户信息。
2,Doc附件、Excel附件、PDF附件
这三类附件虽然是风险较小的附件,但是仍然可以携带病毒,不经过病毒查杀直接打开、或者允许运行附件内的宏命令的行为是极其危险的,很多客户因此中招。
这三类附件还可以另一种形式钓鱼,在杀毒软件检测没有病毒的情况下,在打开后的文档内容里面嵌入钓鱼链接,将钓鱼链接隐藏在里面。
3,Zip/Rar压缩包附件
压缩包可以携带以上任意的附件,收到压缩包附件时,我们建议您先保存查杀病毒后再决定是否开启压缩包内的相关附件。
三,仿冒邮件
仿冒邮件是目前邮件用户困扰最大,识别难度最高,互联网防治措施最无力的钓鱼邮件,全球范围内每天约有1亿封仿冒邮件在投递。
1,仿冒邮件是如何产生的:
电子邮件都是通过发件服务器来发送的,当骗子能够搭建自己的发件服务器时,仿冒邮件就产生了。骗子通过自己构建的发件服务器,可以实现隐藏真实发件人信息,并伪装成任意发件人。因此,骗子可以轻松的伪装成阿里巴巴集团的邮箱对外发件。
如下图,骗子伪造的邮件,显示的发件人和发件邮箱与真实的阿里巴巴集团邮箱没有任何差异。
2,仿冒邮件为什么难以防治:
1,仿冒邮件之所以这么难以防治,最根本的原因是互联网的安全缺陷,这个安全缺陷使骗子能够拥有自己的发件服务器,并且这个虚拟的发件服务器要追踪起来难度高,很难有实质成果。
2,企业通常都会选择使用企业邮箱来作为业务邮箱,而企业邮箱通常都无法使用Dmarc协议来阻止仿冒邮件投递。
传统的Outlook、Gmail等大型的邮箱服务商虽然可以使用Dmarc协议,但是却是最容易被注册相近邮箱的邮箱,因此在业务邮箱的选择上,需要仁者见仁智者见智。
注解:Dmarc协议:由Paypal,Google,微软,雅虎,ReturnPath等15家行业巨头联手推出的电子邮件安全协议。
3,仿冒邮件的类目以及如何识别仿冒邮件:
那么我们如何来识别仿冒邮件呢?
1,尽可能的使用Dmarc协议来过滤假冒的阿里巴巴邮件。
2,养成通过后台核查邮件真实性的习惯。每一封阿里巴巴的邮件在后台都会有对应的信息,例如您收到一个询盘通知信,那么后台就会有对应的询盘信息。
3,通过人工来辨别这些邮件的真假,这是最直接,也是最有效的方法。仿冒邮件是钓鱼邮件的一种,它的根本目的仍然离不开钓取账户信息的初衷。下面我们将为您介绍人工识别的方法:
1),通过邮件的from区域进行判断
尽管有些仿冒邮件的from区域可以做到完全和阿里巴巴的邮件一样,但是并不是所有的仿冒邮件都能做到这一点。
如下图所示,当您发现发件邮箱显示为非阿里巴巴邮箱时,您可以怀疑这是一封钓鱼邮件。
这里要提一些识别的小技巧
(1),当邮件只有发件人,发件邮箱被隐藏的时候,把鼠标移到发件人上,发件邮箱就可以浮现出来
(2),阿里巴巴国际站邮件,不会出现乱码、夹带附件和私人邮箱代表阿里巴巴集团发送邮件的情况
乱码情况:
夹带附件情况:
(3),根据根据邮件内的链接来判断
由于钓鱼者最终的目的就是钓取您的账户信息,通过邮件的可疑链接来判断一封邮件的真实性是最简单、可靠的方法。
我们以下面的例子作为示范,将鼠标移动到邮件内会有链接的按钮或者超链接上,会浮现出其中的真实链接。可以看到这条链接的主域名是mamkerman.ir,而不是阿里巴巴的主域名alibaba.com。这时候我们基本可以认定这是一封钓鱼邮件相应的,速卖通的主域名为aliexpress.com。
(4),假阿里巴巴国际站客服案例
有些仿冒邮件会通过伪装阿里巴巴客服进行诈骗,这些团伙会特别针对新手卖家,以线上订单无法交易、支付遇到问题等方式需求所谓客服介入,再进一步骗取账户密码和资金。
在这里阿里巴巴集团提醒您,阿里巴巴集团不会主动要求办理信用保障服务,任何涉及到资金问题和密码的请求请谨慎咨询服务人员后再处理。
以下面这个案件为例:
骗子首先在平台下单,然后伪造所谓的‘系统通知’,告诉卖家店铺有问题,无法交易,需要服务人员介入。
在卖家添加所谓的QQ阿里客服后,骗子开始行骗,并要求用户办理缴纳保障金:
在这个案例里,两个明显的破绽
1,卖家收到的邮件,邮箱地址为 service@aliexpcress.com, 而不是官方的aliexpress.com,要注意甄别。
2,阿里巴巴国际站绝对没有所谓的QQ客服。
如何预防钓鱼邮件?
因此,在外贸行业中,我们不仅要能识别钓鱼邮件,更重要的是做好自身安全防范,不让骗子有机可乘。
1,工作电脑上保证电脑杀毒程序更新、漏洞补丁更新的及时度。
2,保持工作电脑环境的清洁,来历不明的下载、应用尽量避免下载安装运行。
3,账户密码不应当过于简单并且保持阶段性更新,因为,通过“撞库”——也就是随机尝试用户密码,破解用户密码也是黑客的拿手好戏。
4,企业邮箱应当定期查看邮箱的登陆记录是否正常。
5,养成谨慎交易的习惯,公司对外的信息应当在商谈前就确认,比如联系人、联系邮箱、联系电话、打款账户,进入打款阶段做到信息核实确认再收付款。
6,外贸邮件中出现要求输入账户密码的网站,不要随意输入信息,下载附件选择保存而不是直接打开。
7,收到或者下载附件后务必进行病毒检测再打开,exe、scr属性文档是最常见的病毒附件,值得注意的是doc文档和excel文档也能携带宏病毒。
已经被钓鱼情况下的补救措施:
1,遇到已经打开病毒附件的情况,我们建议您及时做好资料保存、备份后断开网络,并在电脑安全模式下进行病毒查杀。最直接有效的方法是格式化硬盘,重装系统。
被植入木马以后补救如果想做的彻底的话,基本只有重装一种方法,但是需要注意备份数据的时候不要备份可执行文件。
只备份文档、邮件,用压缩文件压缩加密后,复制到新机器上,在新机器上对压缩的文件进行杀毒后再操作。
2,如果在钓鱼链接内输入了阿里巴巴账户信息,除了及时更换密码外,您可以将相关账户提交至accountsecurity@service.alibaba.com查询被盗风险。
3,遇到在钓鱼链接内输入邮箱账户密码的情况,我们建议您在修改密码后仍需要做以下步骤:
1),您要在”自动转发“里查看是否有骗子填写的邮箱,有的话请删除,否则,您发给任何客人的每一封信都会自动抄送一份给骗子,而您却不知道
2),您要在 ”相关联的帐户“或者”相关联的邮箱“里,将骗子设置的帐户和邮箱删除掉,否则,就算您采取了第一条措施,骗子仍然能以其他帐户来登陆您的邮箱
3),第三件事,有相当一部分邮箱,修改密码之后,可以自动把新密码发送到手机号码,因此您要查看一下,在您的设置里面,骗子有没有留有任何手机号码信息
4),做了上述三件事情之后,三周之内,您要不时的查看一下,最近邮箱的登陆历史。大部分邮箱都有这个功能,一进入邮箱,点击登陆详情,查看,最近有没有其他地区的人登陆您的邮箱。
如果连续三周之内,无外地的人登陆您的邮箱。那么您基本可以高枕无忧了。当然,如果有客人要下单之前,您可以适当查看一下邮箱的登陆记录,更保险。
当然,在被钓鱼后,第一时间通知客户近期可能出现的异常行为是最为要紧的事情。
最后提醒,如果实在无法辨别钓鱼邮件,可以随便胡乱编写一个邮箱和密码填写登陆,发现登陆成功的,一定是钓鱼邮件!!!
