最新消息
恭喜網站上線!各方祝賀本行越來越有哏,生意興隆!
恭喜網站上線!各方祝賀本行越來越有哏,生意興隆!
網路上有許多假造的網站,這些假網站可能會做得像是特定目標網站,連網域名稱(即網址)都取得極為相似。這些假網站可能冒充銀行、政府單位、社群媒體或任何網站,盜取使用者個資、帳號密碼或各種隱私資訊。
日前在批踢踢實業坊有網友討論,凱基銀行電子對帳單的寄件者網域名稱為「kgibank.e-letter.com.tw」,並非凱基銀行所擁有之網域名稱。於下方推文(留言)之回覆中有些網友認為,其寄件者網域名稱有「kgibank」關鍵字,足可見其為凱基銀行所發出之電子郵件。也有些網友認為,無論實體或電子對帳單,委由外部專業機構發信是常見做法,沒有疑慮。
事實上,發送郵件時的寄件者非自家網域名稱,確實存在被誤認的風險。對一間企業而言,讓所有人都認得——且不會誤認——自己的網域名稱,是最好的狀況。委由其他廠商發信的確沒有立即性的風險,但卻有可能因此讓客戶不易辨識與記憶,進而使得詐騙郵件有可乘之機。
凱基銀行的資安宣導亦有提到:「詐騙集團會使用與本行相似的網址發送電子郵件或簡訊,極有可能是要進行詐騙的前置行為,請收信與點擊凱基銀行相關業務的連結前多加確認網址名稱」。但凱基銀行的電子對帳單是以寄件者 server@kgibank.e-letter.com.tw
的名義發送。如果依照資安宣導的指示,看到來自這個寄件者的信,收件人想必會多了幾分疑惑。
同行之間就可以講點技術語言了。其實這個問題沒有那麼嚴重,即使有人註冊了類似 domain 也不需要防得滴水不漏,畢竟「相似的 domain」可以成千上萬,不可能全部都靠自己搶下來。對於 IT 人員來說,更重要的其實是讓 domain name 在使用上更清楚明確,如此可以降低使用者「辨識正牌官網」所需的門檻。而委外發信的部分,利用 SPF 與 DKIM 即可授權外部廠商替自己發信,也不會那麼容易被其他郵件廠商(例如 Gmail)視為垃圾信。