IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

熟知威胁电子邮件安全的25个常见错误

2007年04月13日
赛迪网技术社区/db19851217

我仍然记得我在AOL帐户下收到的第一封钓鱼邮件,说我中了AOL的彩票!虽然听起来很令人欣喜,但我还是感到有些怀疑。没有多想,我打开这封电子邮件并点击了里面的链接,看看我是否真的成为了百万富翁。而那一瞬间,我的计算机死机了,而之后每次重启都仍然会导致计算机死机。

在这之后无数次的死机和无数的垃圾邮件中,我吸取到了教训,只是打开垃圾邮件就会给计算机造成危害。但不幸的是,仍有很多陷阱和漏洞会导致电子邮件用户上当受骗,因为他们对这些并没有深刻的认识。

在这篇文章中,我们主要关注的是,关于电子邮件安全的25个常见却很容易避免的错误。这篇文章主要是面向一些较为新手的互联网用户,如果你已经是这方面的专家,那么你可以将它推荐给你的一些新手朋友们看。

1、仅使用一个电子邮件帐户

一些新接触电子邮件的人可能会认为,电子邮件帐户就像他们的家庭地址一样,你只有一个家庭地址,因此你也只需要具备一个电子邮件帐户。相反地,你应该将你的电子邮件帐户看作是钥匙,也许你家的前门和后门可以使用相同的钥匙,但如果想所有的东西都只用一把钥匙打开的话,那就不太实际也不安全。

一个很好的原则就是,普通的电子邮件用户应该至少拥有三个电子邮件帐户。用于工作的帐户应该要专门地处理与工作相关的事务,第二个帐户则用来处理一些私人的事务以及交往关系,第三个邮箱帐户就用来装那些七七八八可能存在威胁的东西。这样就意味着那些新闻邮件之类的只需要通过的三个帐户来获取。同样的,如果你需要将你的电子邮箱帐户公开在网上,例如你的个人博客,你就应该使用你的第三个电子邮箱帐户。

你的第一个和第二个邮箱可以是付费的也可以是免费的,而你的第三个“杂物箱”则应该使用例如Gmail或Yahoo!等提供的免费邮箱。你应该计划每六个月就更改一次帐户,因为这个帐户的邮箱最终总是会被那些广告之类的垃圾邮件充斥。

2、过久地纠缠于垃圾邮件泛滥的帐户

电子邮箱会随着时间的增长而堆积垃圾邮件,这是一个不争的事实。特别是你使用一个帐户来接收一些通讯或是你将它公布到了互联网上(以上文所述,它不应该是你主要使用的电子邮件)。当这个问题发生了之后,最好的方法就是直接将这个帐户丢弃,申请一个全新的帐户。而不幸的是,很多新手电子邮件用户非常喜欢他们的电子邮件帐户,宁愿每天跋涉在成堆的垃圾邮件中。要避免这个问题,开始就要做好心理准备,告诉自己必须将那个作为“杂物箱”的电子邮件帐户每六个月抛弃一次。

3、在登出帐户后立即关闭浏览器

当你在图书馆或是网吧里查阅电子邮件时,你所要做的不仅是在完成之后登出电子邮件帐户,还需要确保浏览器窗口被完全关闭。一些电子邮件服务会在你登出了之后仍显示你的用户名。如果你在这些场合使用的邮件服务会存在这种情况,那么你的电子邮件安全就会受到威胁。

4、忘记删除浏览器的缓存、历史记录以及密码

当你在使用一台公共场合的终端之后,清楚浏览器的缓存、历史记录和密码是相当重要的。大多数浏览器都会自动保持你所浏览的页面以及你所访问网站的记录,而一些关于密码或个人信息可能也会被保持下来,以帮助你将来在填写类似表格时使用。

如果这些信息落入了贼人之手,那么就可能让身份窃贼窃取你的银行以及电子邮件信息。由于风险非常大,对于新的互联网用户来说,请注意如何将公共计算机的浏览器中的缓存清除,以删除隐私信息,防止那些黑客们得到它们。如果你使用的是Mozilla的Firefox,之需要按下“Ctrl+Shift+Del”即可。Opera的用户则需要通过“工具>>删除私人数据”来做到。而使用微软Internet Explorer的用户则需要通过“工具>>Internet选项”接着点击“清除历史记录”、“删除Cookies”以及“删除文件”按钮。

5、使用不安全的电子邮件帐户收发敏感的公司信息

大型的公司总是会花巨资来确保他们计算机网络以及电子邮件的安全。尽管他们这么做了,粗心的雇员还是可能会使用个人的电子邮件帐户来处理公司业务以及传递敏感数据,这样就有可能对安全系统造成隐患。因此,在你使用自己的个人计算机或电子邮件地址来传递公司敏感数据时,请确保你没有威胁到公司的安全以及你的工作。

6、忘记了电话的使用

关于电子邮件的安全最重要的一点就是,无论你采用了多少步骤来保持你电子邮件的安全,也不能保证它是绝对安全的,而在你使用公共计算机时更是如此。因此,除非你需要传递书写记录或是进行跨国的联系,请考虑是否一通简单的电话会是你更好的选择。也许电话交谈会需要更多几分钟的时间,但比起通过公共计算机使用电子邮件,电话则是一个安全得多的选择,并且它不会留下任何的活动记录。

7、不使用盲送副本

当你在盲送副本中添加了你个人电子邮件的地址,而不是在副本窗口中添加时,没有一个接收者能够看到你所发送给其他的接收者的地址。

新手电子邮件用户通常都过于依赖“直接发送”,因为它是默认的发送电子邮件方式。这在你仅向一个人或是几个家庭成员发送邮件时固然是可行的。但如果你是向一个群组的人们发送邮件,混淆了盲送副本和副本则可能导致一些严重的隐私和安全问题。这样一来,只要一个心怀不轨的人收到你的电子邮件,那么你邮件名单中的每个人都会可能受到垃圾邮件攻击者的骚扰。

即使这个群组的人的可信度不是问题,但很多电子邮件程序也会将每封收到的邮件地址添加到地址簿中。这也就意味着一些在这个群组中的人会不慎地将整个名单都添加到他们的地址簿中,而结果就是,如果他们中其中一人的计算机受到“Zombie”恶意软件的感染,而它又在悄悄地发送垃圾邮件,你就成了导致整个名单中的人受到垃圾邮件攻击的罪魁祸首。

8、很轻松地就随意点击“回复全部”按钮

有些时候,错误的发生并不是取决于副本还是盲送副本之间,而是在你点击“回复全部”而不是“回复”的时候。当你点击了“回复全部”,你的电子邮件信息就会发送到所有包含在你之前电子邮件中的每个人,如果你并没有想将所有人包含在内,那么既可能处于安全原因也可能是个人的尴尬,都会发生在这一瞬间。

例一:“在我们的网络中有一位非常成功的商人,他的地址簿相当庞大,包含了他最好的客户,一些很重要的政府关系。就是一次点击,他不小心将一个装满了他喜欢的色情卡通和笑话发送到了他的特殊客户名单上。他的主题还写道‘特别为我最忠实的客户所定制!’。无需多说,近日他与其他的一些公司都断了生意来往。”

例二:“一位女士为一段失败的罗曼史感到苦恼。她写了一封很长很详尽的邮件给她的朋友,说道她的前男友喜欢男人胜过女人。但在发送的时候,她误点击了‘回复全部’而不是‘回复’,她的秘密就被发送给了甚至她自己都不认识的人,包括她提到的前男友以及前男友的男朋友。仿佛还不够糟糕,她之后还干了两次以上这样的蠢事!”

9、由于转发电子邮件而制造垃圾邮件

转发邮件能够很快地将关于一个主题的邮件找出发送,而不需要写一封实时的邮件,但如果你没有注意,转发邮件也能够对你自己以及之前这封邮件的接收者造成重大的安全威胁。如果一封电子邮件被转发,当前这个邮件接收者的邮件中就会自动列出这个邮件之前发送出去的地址名单。如果再继续转发出去,越来越多的接收者地址就会被列在这份名单上。

不幸的是,如果被不怀好意的人得到这封电子邮件,他们就能够将整个名单中所有的电子邮件地址公布,这样其中的人就都会受到垃圾邮件的骚扰。如果在转发邮件之前,花费几秒钟时间删除之前接收者的ID,这样就能够避免让你的朋友或工作伙伴受到垃圾邮件侵害的险境。

10、不对电子邮件进行备份

电子邮件不仅仅是用来闲聊的,还能够用来缔结合法的合同关系,做出财政决断,以及引导一些专业的会议。就像你会对其它重要的商业以及个人文档做出备份一样,定期将你的电子邮件备份也是非常重要的,这样在你的电子邮件客户端出现问题导致数据丢失的情况下就非常有用。

值得庆幸的是,大多数电子邮件的供应方都提供了备份电子邮件的简易方法,那就是将电子邮件导出到特定的文件夹内,接着可以将这个文件夹的内容存储到可写入的CD、DVD、移动硬盘等介质上。如果这个简单的导出过程听起来还是有些复杂的话,你也可以去购买一份自动备份软件,它就会帮你打点好所有的一切。无论你是准备购买软件还是手动备份,遵照一定的计划安排进行备份都是非常重要的,而这也是一些新手用户比较会忽略的事情。你备份的频率设置当然取决于你使用电子邮件的程度,但无论怎样,你都应该不超过3个月进行一次备份。

11、移动设备访问:误认为备份存在

通过移动电话访问电子邮件,例如“黑莓”(Blackberry),彻底改变了你对电子邮件的看法;你不再束缚于在一台计算机上查看电子邮件,而是能够随处地进行。大多数新的黑莓用户都简单地认为他们通过黑莓检查或删除的邮件在他们家或办公室的计算机上也都是可用的。

你必须牢记的重要事项就是,一些电子邮件服务器与客户端软件会在你将它下载到黑莓设备上之后就从服务器删除。因此,对于一些通过移动设备访问电子邮件的用户来说,如果你将他们在设备上删除了,你也就将它从你的收件箱中删除了。

对此,只需要留意你的电子邮件客户端的默认设置,如果你想要保留一份邮件拷贝,你只需要对客户端的设置做出小小改动,并且最好是要在你准备删除一些重要电子邮件之前就先对此进行确认。

12、认为删除的电子邮件永远消失

我们如果发送了令人尴尬或是不当的电子邮件,通常都会在它终于被删除之后感到长吁一口气,认为这一切都过去了。请不要大意,因为在我们将邮件从“发件箱”中删除时,并不意味着这封电子邮件就永远消失。实际上,删除了的小心通常都还会存在于备份文件夹中,或是远程服务器上,一直到多年以后,而技术精湛的人们是能够将它们恢复的。

因此请将你所写的邮件看作是一个永恒的文档,在书写的时候必须慎之又慎,因为很可能在你认为它消失了之后的多年间,它还会如鬼魅般地出现,对你造成困扰。

13、相信你赢得了彩券或相信其它欺诈性的标题

垃圾邮件攻击者通常都使用了各式各样的巧妙标题来引诱你打开那些塞满了坏东西的电子邮件。一些新手电子邮件用户通常都会错误地打开这些电子邮件。因此为了让大家能比较快地明白,让我简要地告诉你们:

你不会赢得爱尔兰Lotto、Yahoo彩券,或是其它大额的现金大奖。

没有人会想要送给你一千万美元。

你的银行帐户信息是不需要再次确认的。

你不会有一笔来历不明的遗嘱继承。

你实际上并没有发送过这封所谓“退回的邮件”。

新闻标题式的邮件并不仅仅是某人要告诉你的每日新闻。

你没有赢得Ipod Nano。

14、不能识别出电子邮件内容中的钓鱼攻击

如果你没有打开过钓鱼的电子邮件,那么这当然是保护你计算机安全的最好方法,但即使是非常资深的电子邮件用户,都有可能偶然地打开了一封含有钓鱼攻击的电子邮件。如果是这样的话,要减少你的风险的关键点就在于识别出钓鱼邮件的真面目。

钓鱼是一种在线的欺诈行为,邮件的发送者试图欺骗你给出你的个人密码或是银行帐户信息。这些邮件的发送者通常是盗用一些著名银行或PayPal的标记,并将邮件的格式设置成如同银行所发出的那样。一般来说,钓鱼邮件都会要求你点击一个链接,让你确认你的银行信息或密码,但它也许还会叫你回复一封带有你个人信息的邮件。

无论钓鱼攻击采用的是何种方式,它的目标就是通过欺骗让你输入一些信息到看起来安全的地方,但实际上这只是攻击者制造出来的假的网站。如果你将个人信息提供给了钓鱼者,他就会使用这些信息窃取你的身份以及财物。

钓鱼的标志包括:

一些看起来有些扭曲了的标志。

邮件中将你称作是“尊敬的客户”或“尊敬的用户”,而不是你的真实姓名。

邮件中会警告你,如果你不再次确认你的个人信息,帐户就会被关闭。

邮件威胁到一些合理的操作。

这些邮件来自于相似的帐户,但不同于这些公司通常会使用的帐户。

邮件中声称“安全威胁”之类,并要求你立即进行操作。

如果你怀疑一封电子邮件是钓鱼攻击,最好的防御措施就是不要马上打开这些邮件。但如果你已经打开了,不要对其回复或是点击邮件中的链接。如果你想要证实邮件的真实性,请手动输入这家公司的URL,而不是点击邮件中嵌入的链接。

15、通过电子邮件发送个人以及银行信息

银行以及网上商店都在它们的站点上提供了一个受安全保护的地方,让你输入个人信息和银行信息。它们对这方面的工作是一丝不苟地处理,因为无论你如何保护你的电子邮件,比起受安全保护的网站,它还是更容易遭到攻击。因此,你不应将银行信息写入电子邮件,而任何网上商店要求你将私人信息写入电子邮件中的话,你应该对它们产生怀疑。

与不要将银行信息通过电子邮件发送给网络商户的道理相同,在个人邮件的处理上,你也不应这么做。例如,你需要将信用卡信息告诉你在学校读书的孩子通过电话告诉他要比通过电子邮件安全得多。

16、取消订阅那些你从未订阅过的通讯

垃圾邮件攻击者有一个常用的伎俩,那就是发送许多伪造的杂志通讯,并在底部设置一个“取消订阅”链接。电子邮件用户打开邮件后,如果点击了这个“取消订阅”链接,以后就会收到大量的垃圾邮件。因此,如果你不能明确地记得你订阅过这个通讯,你最好将这个电子邮件的地址拖入黑名单,而不是进入这个链接,因为这样很可能导致你的计算机中木马,或是在你不知情的情况下,允许今后大量的垃圾邮件向你发送。

17、信任你的朋友的电子邮件

大多数新手互联网用户在他们收到电子邮件时,对那些不认识的发件人都会保持警惕。但如果是一位朋友向他们发送邮件,所有的戒备心就飞到了九霄云外,心里就认为这一定是安全的,因为发件人他们认识,不会伤害他们。而实际上,来自朋友的ID的邮件也可能像来自陌生人的邮件一样包含了病毒或恶意软件。原因就在于,大多数的恶意软就董事通过人们在不知情的情况下发送出去而循环,因为黑客们都将他们的计算机作为zombie来使用。

维护并保持你的电子邮件扫描以及反病毒软件升级是相当重要的,并且你应该使用它们对所有接收到的电子邮件进行扫描。

18、删除垃圾邮件而没有将它们拖入黑名单

电子邮件黑名单是用户为电子邮件帐户所创建的,为那些垃圾邮件攻击者而设的名单。当你将一封电子邮件的发件人拖入黑名单,你就告诉了你的电子邮件客户端不再信任这些特定的发件人,也就会直接将他们认作垃圾邮件。

不幸的是,新手互联网用户通常都没有合理利用电子邮件客户端上的黑名单功能,只是将这些垃圾邮件删除了事。虽然并不是每封垃圾邮件都来自相同的发送者,但它们中间是这种情况的却有很惊人的数量。因此,在面对垃圾邮件时,让你自己学会点击黑名单按钮,而不是删除按钮,这样的话,你就可以在几个月中大大减少收到垃圾邮件的数目。

19、禁用电子邮件的垃圾邮件过滤器

新的电子邮件用户在开始使用是通常都不会收到太多的垃圾邮件,因此在使用电子邮件初期,他们就无法体会到垃圾邮件过滤器所能够提供的帮助。由于没有一个垃圾邮件过滤器是完美的,并且在起初总可能会错误地将一些邮件误认作垃圾邮件,因此很多新的电子邮件用户就会将他们的垃圾邮件过滤器禁用。

然而,当一个电子邮件帐户使用的时间增加,没有垃圾邮件过滤器的电子邮件帐户则就会有些使用不便了。因此,新的互联网用户不应将过滤器禁用,而应花费一些时间将你朋友的电子邮件列入白名单。这样一来,随着时间的推移,误被认作黑名单的朋友就会越来越少。

20、未扫描所有电子邮件附件

感染计算机病毒的病毒中,十个有九个都是通过电子邮件的附件进行感染。尽管这个比例存在,很多人还是没有将接收到的电子邮件附件进行扫描。也许这是由于过去我们在邮寄信件中的习惯所致,但通常当我们看到附带附件的电子邮件,它又来自于我们认识的人,我们可能会假定这封邮件以及附件都是安全的。当然那,这样的假设是错误的,由于大多数电子邮件病毒都是通过“Zombies”来发送,这样就会在受感染的计算机主人不知道的情况下,肆意地将病毒发送出去。

这样的失误更加不可原谅的原因在于,许多免费邮件客户端的提供者都在里面内置了附件扫描工具。例如,如果你使用的是Gmail或Yahoo!邮箱,每封你接受或发送的电子邮件及附件都会被自动扫描。因此,如果你不想花钱购买第三方的扫描工具,而你的电子邮件供应方又没有提供内置附件扫描工具的话,你应该通过那些提供了免费病毒扫描的电子邮件供应方来访问你的附件,做法就是先将你的附件转发到这些帐户中再打开。

21、将你的帐户信息与其他人共享

我们都曾这么做过——我们有时急需查看邮件,就会打电话给配偶或是朋友,让他们帮助查收邮件。当然,我们对这些人是绝对信任的,但一旦有除了自己外的人知道了你的密码,你的帐户就不再像过去一样安全了。

而真正的问题在于,你的朋友也许不会按照你自己相同的安全标准来进行操作。你的朋友可能会通过一个不安全的无线帐户来访问他的电子邮件,他也可能没有保持反病毒软件的升级,或是他的计算机可能感染到了窃取密码的病毒,这样在他登录的时候,密码就会被自动窃取。因此,请保证你是唯一知道你访问信息的人,如果你将他们记录下来,也要确保它们放在安全之处,不能轻易地被其他人看到你的记录。

22、使用简单和容易猜到的密码

黑客们会使用程序将一些常见的名称进行编纂,直接将垃圾邮件发给这些用户名的帐户。当你打开这些垃圾邮件时,一小段隐藏的代码就会发送反馈信息给黑客,他们就会知道这个帐户是有效的,这样他们接下来的任务就是猜测你的密码。

黑客们通常卡发的程序都是围绕一些常见的英文单词以及数字结合在一起的用户名,来尝试猜测出一个密码。这样的话,那些由一个单词、一个名字或是日期组成的密码通常都会被黑客们“猜测”出来。因此,当你设置密码时,请使用不寻常的数字以及字母结合,让它们不能组成字典中的单词。一个强大的密码应该要包含至少八个字符,并且要越没有实际意义越好,最好是兼用大小写字母。强大的密码意味着黑客们要花费很大的气力用程序去猜测你的密码,而那个时候,他们就会因为太多次的徒劳无功而放弃。

23、没有加密你重要的电子邮件

无论你花费多大的气力来缩减你的电子邮件被黑客们监视的机会,你都应该始终假定有一些人在窥探出入你计算机的信息。有了这样的假定之后,加密你的电子邮件来保证当有人监视你的帐户时,他们也不能明白你在说什么。

虽然现在有很多花费高昂的顶级加密服务,但如果你只是一个电子邮件新手,并只想要简单廉价的有效方法时,你可以遵照那些一步步的说明,花费20分钟时间安装PGP,也就是最长剑的电子邮件加密标准。将你所有的电子邮件进行加密也许是不切实际的,但一些很敏感的邮件,PGP则是保证它们安全的重要步骤。

24、不加密你的无线连接

将你重要的邮件加密后就能够让黑客们不那么容易地通过访问你的电子邮件来读懂你在说什么,它甚至还能首先就防止黑客访问你的电子邮件。

在你的电子邮件从你到接收者的这个过程中,最容易受到侵害的地方就在你的笔记本和你用来连接到互联网的无限路由器之间。因此,你将你的wi-fi网络用WPA2加密标准进行加密是非常重要的。这个升级过程相对来说还是比较简单和直接,即使对于初接触互联网的用户来说,也只需要15分钟的时间就能够提升他们电子邮件的安全性。

25、没有使用数字签名

现在的法律意识到电子邮件也是企业之间交际的重要形式,例如签署合同或是进入一份财务上的协议。虽然能够通过在线方式处理合同让我们的生活更加方便,但它同时也增加了一些安全问题,例如一些人伪造你的电子邮件来处理违背你意愿的事情。

应付电子邮件欺骗的一个方法就是无论合适你需要签署重要电子邮件的时候,都使用数字签名。一个数字签名能够帮助你证明你是谁,电子邮件来自哪台计算机,以及这封邮件在传送过程中没有经过更改。通过养成在签署重要电子邮件时使用数字签名的习惯,你就不仅能够让其他人来修改你的邮件变得困难,也能够在有人声称你同意某份你实际并未同意的合同时提出有效的证明。

这篇文章旨在为你提供一些让你避免在你使用电子邮件的过程中可能遭遇的陷阱的基础信息。尽管一篇文章并不能包好到电子邮件安全的所有方面,但如果你避免了文章中所提到的25个常见错误,那么在你使用计算机的时候,一定会为你个人信息、电子邮件的安全性的提升带来意想不到的变化。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点