有些偽冒電郵的仿真度非常高,如何可以分辨出來?
大家都知道,「寄件人」一欄所見的,不一定是真的,因為那是「自稱」的寄件人。
要知道實際是誰寄出來的,需要查看其電子足跡——這方法可以分辨出大多數的偽造電郵,節省查找的時間。但請謹記,真正的偽冒高手,雖然改不到電子足跡,但卻可以更改你所看到的電子紀錄。
查看電郵的電子足跡並不困難。以下先介紹要查看的東西;然後再介紹常用電郵程式的查看方法,包括:蘋果的官方郵件、微軟的outlook、Gmail,以及Firefox的Thunderbird;最後,簡介如何應付偽冒高手。
辨別真假電郵的元素
先講要查看什麼。電郵的足跡,記錄在 raw message 或 raw email 中,中譯作「原始碼」或「源代碼」等。
打開某一個電郵的原始碼,一眼望去是一大堆外星文,但我們只需要看其中兩項東西:
- Envelope-from 或 Envelope Sender 或 Package from
- Return-path
這兩個項目應該是相同的。Envelope-from是指真正從哪一個電郵信箱寄出的;Return-path則是當郵件寄不出時,要送回原來的寄件者地址。原則上這些是電郵服務供應商所作的標記,較難偽冒,因此可以篩選掉大部分假電郵。
例如郵件「寄件人」欄位顯示是政府某部門寄出的 xxx@xxx.gov.hk,但真正寄出郵件的電郵卻是 @xyz.co,那很明顯就是騙人的了。
具體例子
頁頂圖顯示的,是一個看像由Netflix發出的郵件。
打開原始郵件,可以看到Return-Path和Envelope-From顯示的電郵是 info@stealerslacxxxxx.com(筆者追查發現,該郵箱來自一個可能被駭了的網站,因此以XXXX隱去部分名稱)。明顯是一個偽冒電郵。
另一個例子,偽冒香港一家電訊商,但原始碼揭露了真正的寄件郵箱是replyto@baanr.com。一看就知道是假的。
凡事都有例外。寄件人和電郵地址不相同,也可以是正常的。最常見的情況,是使用了第三方電郵平台寄出郵件。
下圖顯示的電郵,是一家網上營銷工具公司Semrush發出的,但Return-path卻是@mandrillapp.com。其實只要Google一下,就可發現該郵箱是電郵平台MailChimp的app,因此屬於正常,毋須擔心。
如何查看電郵原始碼
以下介紹在幾個常用電郵程式中,如何找到電郵原始碼。
- 蘋果電郵Apple Mail
- 微軟Outlook
- Gmail
- Thunderbird
手機不一定可以查看電郵原始碼或真正寄件人,如有疑問的話,或者打開電腦來看是最穩陣的。以下皆為使用電腦查看的方法。
蘋果電郵Apple Mail
如你使用蘋果電郵程式,可以:
- 打開電郵程式,選取要查看的電郵
- 點擊選單:顯示方式 > 郵件 > 原始碼(或使用快捷鍵 Option + Command + U)
- 打開原始碼後,在開首位置尋找以上提到的兩個項目
微軟Outlook
- 打開電郵程式,打開要查看的電郵
- 點擊選單:File > Properties (檔案 > 內容)
- 即可見到原始碼
Gmail
- 在網頁瀏覽器上登入Gmail,打開要查看的電郵
- 在電郵旁邊,有一個直排三點的按鈕,點選:Show Original 或「顯示原文」
- 即可見到原始碼
Thunderbird
- 打開電郵程式,選取要查看的電郵
- 點擊選單:View > Message source
- 即可見到原始碼
高手的偽冒
以上查看的,紀錄於電郵的header上。真正的偽冒電郵高手,則可以連你看到的原始電郵紀錄也修改了,讓你看到似乎是真的郵件,以減低戒心。
有時候,這些高手的電郵還是有破綻的,例如一個美國機構,電郵中的Envelope-from和Return-path都顯示與寄件人一致,但原始碼中的 “authenticated user” 卻是以 “.ru” 結尾的電郵,即使用了俄國的伺服器。
即使表面上毫無破綻,你仍可以透過其他方法來確認電郵真偽:
- 凡是要求提供敏感資料、要求點擊連結的、催促你立即採取行動的,要格外小心。
- 自行前往機構的官方網頁,查看相關資訊,以及進行對方要求你採取的行動。不要點擊電郵中的連結。
- 直接向對方機構查詢電郵的真偽。這是十分有效的方法,有關機構都會樂意回答,並有助他們及早發現偽冒電郵的出現,向其他客戶發出警示。