點擊取消訂閱也可能是資安破口?
資訊安全 》點擊取消訂閱也可能是資安破口?不可忽視的資安風險!|天矽網頁設計
數位時代趨勢,幾乎所有行銷郵件都有「取消訂閱」連結,讓收件者可以選擇退出接收通知。這個看似貼心的設計,若未經妥善處理,實際上可能成為駭客利用的資安破口。
本文將探討「取消訂閱」常見的資安漏洞,及企業與開發人員應如何規劃更安全的郵件管理系統。
➤取消訂閱常見流程?
現今電子郵件普及的情況下,大多數企業都會在發送電子報或促銷郵件的底部,附上「取消訂閱」的按鈕。
▲範例:大多位於信件底部的「取消訂閱」
若使用者想取消訂閱,常見的取消訂閱流程,通常是使用者先收到郵件,點擊內容裡面的「取消連結」,畫面導向一個頁面或自動完成取消訂閱。
點擊取消訂閱後,系統可能會採取以下幾種作法:
01. 導向取消頁面:使用者被引導至取消訂閱的確認頁,可能直接顯示取消成功的訊息,或是要求使用者再次確認是否要取消訂閱。
02. 自動完成取消:使用者點擊取消連結的當下,即自動完成取消動作。
03. 偏好設定頁面:將使用者導向帳戶的「通知設定」頁面,讓使用者自行調整欲接收的郵件類型,而非完全取消。
➤點擊取消訂閱潛在的資安風險?
「取消訂閱」看似一個簡單的動作,背後卻可能存在資安風險。研究專家發現,每644次點擊「取消訂閱」連結,就有1次可能將使用者導向至潛在惡意網站,資安公司專家指出,使用者點擊取消連結,等於是「告訴攻擊者:你是一個會與垃圾郵件互動的真人」,雖然不會立即造成傷害,但「可能會讓你未來成為更大的攻擊目標」。
駭客如果確認電子郵件地址是會閱讀信件的真人,就會開始針對該使用者建立檔案,進一步以社交工程或其它詐騙手法進行勒索;不過,駭客要發動「取消訂閱」攻擊,同時也須達到以下三個條件:
➤安全取消訂閱如何做?專家提供的建議
資安專家指出:如果點擊「取消訂閱」,跳轉後的網站要求需輸入密碼才能取消,絕對不要照著做。建議使用者開啟新的瀏覽器分頁,到寄件方的網站手動更改通訊設定,而不是直接點擊信件內的連結操作。
另一種安全取消訂閱的方式,專家指出:可優先使用電子郵件服務供應商的「清單取消訂閱標頭」功能(ist-unsubscribe headers)。這類型按鈕通常會在信件的開頭中,透過此方式的取消訂閱,由於沒有將使用者導向外部網站、相對較安全。
▲位於信件開頭中的「取消退訂」
▲Gmail透過您的電子郵件帳號向_______________發送電子郵件來為您退訂。
➤小結
取消訂閱雖然看似只是一個簡單的動作,但若操作不慎,可能成為資安漏洞!
為使保護個人資料安全,應避免於可疑網站上直接輸入密碼,可優先透過信任的方式,例如:電子郵件服務供應商提供的「取消訂閱」功能,或直接前往官方網站進行設定,操作前提高警覺、謹慎留意,是維護數位安全的第一步。
參考資料來源
✔點「取消訂閱」恐成駭客目標,資安專家提供自保方法
