Spaceship 博客

垃圾郵件的演變

第一封垃圾電郵由 Gary Thuerk 於 1978 年發送給大約 400 人。該電郵附有 DECSYSTEM-20 電腦的小冊子。結果出奇地成功,帶來了大約 1,300 萬美元的銷售額。它亦開啟了電郵作為接觸客戶及銷售產品的新渠道。

看待電郵垃圾郵件有兩種方式。

  1. 它進入你的收件箱,你按下刪除,有甚麼大不了?

  2. 這是一場國際性的貓捉老鼠遊戲,你的收件箱及當中收到的內容正處於前線,大型科技公司、政府機構和犯罪組織為了你的安全、你的注意力,以及你的銀行戶口而交鋒。

第二種看法聽起來可能有點誇張,但如果它能幫你省下幾個麻煩,甚至省下一些金錢,那就值得了解,對吧?

嗯……一切都始於一個關於罐裝午餐肉的笑話。

甚麼是垃圾電郵,為甚麼它叫做 spam?

垃圾郵件可以是很多東西:廣告、詐騙、垃圾電子報,還有很多很多。但垃圾郵件唯一不是的,就是你邀請來的。就像一提到夏天,蚊群便蜂擁而至一樣,垃圾郵件幾乎總是成批出現。它不請自來、不受歡迎,而且真的非常煩人。

但為甚麼它會與一種由豬肩肉和火腿製成的罐裝午餐肉同名?這就要感謝 Monty Python 一個著名短劇,當中「spam」這個字被一再重複,幾乎令人發狂。這令「spam」成為喋喋不休和不受歡迎事物的象徵。到了 1993 年,一位機智的網民借用了這個概念,把大量重複帖文形容為 spam,於是這個名稱就此流傳下來。

不過,儘管它的起源有點古怪,這個詞本身並不足以反映垃圾郵件有多大破壞力 —— 以及要清除它有多困難。就像蚊子一樣,垃圾電郵往往夾帶危險內容,足以對你的裝置造成嚴重破壞。更不用說對個人資料的風險,以及收件箱被可疑廣告淹沒時帶來的頭痛。但了解歷史確實有幫助。如果你能明白垃圾郵件如何進入你的收件箱,你就能更有效地把它拒諸門外。

垃圾郵件類型

例子

廣告垃圾郵件

宣傳電郵

網絡釣魚

偽造銀行登入電郵

惡意軟件垃圾郵件

惡意附件

詐騙電郵

虛假彩票或遺產詐騙


第一封垃圾電郵是何時發出的?

那麼垃圾郵件究竟從何而來?你可能會驚訝地發現,第一封垃圾電郵在互聯網尚未出現前就已經發出。它不是來自甚麼神秘犯罪集團,而是來自一位想推銷新款電腦的市場推廣人員,而且信不信由你,它賺了數百萬。

回到 1978 年,市場推廣經理 Gary Thuerk 透過 ARPANET 向大約 400 人發送了一封電郵;ARPANET 是互聯網出現前的軍事網絡。他的訊息是為全新 DECSYSTEM-20 電腦示範會作宣傳。這封電郵帶來了約 1,300 萬美元銷售額,但亦惹惱了幾乎所有收到它的人。

這段垃圾郵件歷史中最有趣的地方,不是這封電郵何時發出,而是電郵垃圾郵件背後那把雙刃劍。一方面,向數百、數千,甚至數百萬人發送廣告,可以賺取驚人的金額。但另一方面,垃圾郵件顯然非常惱人。不幸的是,這種拉鋸關係將會伴隨垃圾郵件走過其動盪的歷史。

垃圾郵件在數十年間如何演變?

如果你夠幸運,在 Google 和 Microsoft 保護措施的年代成長,你可能不記得互聯網早期的日子;那時要把垃圾郵件從收件箱清走,更多是一項手動工作。

電郵垃圾郵件演變時間線

年份

事件

1978

Gary Thuerk 發出第一封垃圾電郵

1994

「綠卡抽獎」垃圾郵件活動

1996

MAPS 推出黑洞名單

2003

CAN-SPAM Act 推出

2000 年代

殭屍網絡與網絡釣魚大爆發

2010 年代

AI 過濾功能改善

2020 年代

AI 生成的網絡釣魚與垃圾郵件增加


1980 至 1990 年代:電郵的蠻荒西部

1983 年,在 George Orwell 預言極權超級國家的一年前,一件截然不同的事情正在成形。首次出現了讓多個獨立網絡彼此連接的可能,為今天全球互連網絡,也就是我們所說的互聯網,奠定了基礎。

在接下來十年間,數以百萬計的新用戶上線並開始設立電郵地址。當時沒有中央機構會說「你不能這樣做」,而電郵基本上可以作為免費廣告渠道。只需一則訊息,就能以幾乎零成本群發給數千,甚至數百萬人。

結果如何?到了 1990 年代,垃圾郵件大爆發,控制它的努力亦隨之增加。1994 年,律師 Canter & Siegel 在數千個 Usenet 群組中推出他們臭名昭著的「綠卡抽獎」廣告,這通常被視為首個大型商業垃圾郵件活動。防禦措施很快跟上。Mail Abuse Prevention System (MAPS) 於 1996 年推出首個即時黑洞名單,封鎖來自已知垃圾郵件伺服器的郵件,而像 Spamhaus 這樣的組織則建立封鎖名單並分享情報,以阻止垃圾郵件發送者。

2000 年代:垃圾郵件轉入黑暗的十年

2000 年代或許標誌着千禧年的結束,但對很多人來說,這才是惱人電郵淹沒收件箱的真正開始。Google、Yahoo 和 Microsoft 都加入了阻止垃圾郵件的行列。但那已不再只是俗氣廣告或快速致富計劃,垃圾郵件開始變得更黑暗。垃圾郵件發送者開始利用「殭屍網絡」—— 由受感染電腦組成的網絡 —— 大規模發送垃圾郵件。

各國政府決定是時候介入。2003 年,美國推出 CAN-SPAM Act(Controlling the Assault of Non-Solicited Pornography and Marketing)。它要求垃圾郵件發送者遵守取消訂閱要求,並避免使用誤導性的主旨列,但問題在於,責任仍然落在收件人身上,要由他們自行取消訂閱。另一方面,歐洲採取了更嚴格的做法。歐盟為電郵行銷設立了選擇加入制度,這意味着公司在未先取得許可前,不能發送商業電郵。

2000 年代標誌着真正定義垃圾郵件的貓捉老鼠遊戲大爆發。垃圾郵件發送者會發明新花招,而防守方則會找方法反制。以貝葉斯過濾為例,它會掃描電郵中的字詞,計算概率,然後判斷它是垃圾郵件還是真實郵件。它剛推出時,是電郵服務供應商打擊垃圾郵件方式上的重大突破。2004 年,Bill Gates 甚至預測垃圾郵件問題會在兩年內解決。但一如既往,垃圾郵件發送者很快便適應了。

垃圾郵件攻防戰的實際例子:

現代時代:當垃圾郵件學會思考

Stephen Hawking 曾警告,人類有一天對 AI 的處境,可能就像狗對人類一樣,這是個發人深省的想法。雖然這聽起來有點悲觀,但說 AI 的崛起可能像蒸汽機的發明一樣具有變革性,絕不誇張。因此,AI 正在塑造那些想從垃圾郵件中牟利的人與試圖控制它的人之間的戰局,也就不足為奇。不同之處在於,與傳統垃圾郵件過濾器不同,AI 能夠學習和適應。

諷刺的是,騙徒正使用與大學生用來應付考試相同的工具,來改進他們的垃圾電郵。在 AI 工具出現之前,垃圾電郵充滿錯字、文法錯誤,以及明顯的危險訊號。現在,多得大型語言模型,文法無懈可擊、語氣本地化、並帶有個人化誘因的垃圾電郵可以大規模發送。騙徒不再發送 10’000 封完全相同的電郵,而是可以發送 10’000 封略有不同的電郵,以避開審查。透過把文字交給模擬垃圾郵件評分的模型處理,攻擊者可以不斷調整訊息,直到它們看起來「安全」為止。

大型電郵服務商也在做同樣的事。他們利用 AI 和機器學習,不僅掃描內容,還會分析寄件者行為、網絡訊號,甚至訊息的上下文。以 Gmail 為例,它現在可以識別可疑模式,例如來自新網域的電郵突然激增,或模仿已知網絡釣魚誘餌的內容,並即時調整以阻止新的垃圾郵件活動。

垃圾郵件對電郵和企業造成了甚麼影響?

如果我們回到垃圾郵件的起源故事,以及它來自 Monty Python 的名字,主題其實很簡單:惱人。當年,大多數人正是這樣看待垃圾郵件的。但在之後幾十年間,它已變得危險得多。按錯連結,現在可能意味着中毒,或遭受嚴重財務損失。

而且有風險的並不只是個人。自 2000 年代以來,騙徒設計出各種複雜方法去攻擊更大的目標。這些手法很多甚至有些聽起來輕鬆的綽號,淡化了後果其實有多嚴重。

針對企業的垃圾郵件例子:

大量垃圾郵件與詐騙 – 批量電郵每天仍然充斥收件箱,從惱人的廣告到虛假彩票或「尼日利亞王子」騙局都有。它們屬於低層次威脅,但會令收件箱雜亂,亦仍可能欺騙員工。

網絡釣魚電郵 – 冒充受信任品牌,誘使用戶前往假網站。這類網絡釣魚電郵過去顯得笨拙,如今卻變得精緻、自動化,而且難以與真貨分辨。

魚叉式網絡釣魚與捕鯨 – 利用真實姓名或項目進行針對性攻擊,以欺騙特定員工。當目標是高層主管時,這就稱為「捕鯨」,而回報可能非常巨大。Business Email Compromise (BEC) – 犯罪分子冒充 CEO、供應商或 HR,誘騙員工匯款或發送資料。

惡意軟件與勒索軟件 – 垃圾郵件經常夾帶惡意附件或連結。只需一次點擊,就可能釋放病毒或勒索軟件,鎖死整個系統,令企業損失數百萬。

但真正的危險在於後果的規模。垃圾郵件在極大程度上浪費時間。員工反覆懷疑電郵真偽,或管理層調查誤報。所有這些都會逐步侵蝕生產力。

垃圾郵件的真正代價

FBI 估計,單是 Business Email Compromise 就在 2013 至 2022 年間造成超過 500 億美元損失。這就是為甚麼對抗垃圾郵件的方式持續演變。過濾器現在不只看關鍵字,還會掃描模式、附件,甚至寄件者行為。像 CAN-SPAM 和 GDPR 這類法律則為同意與透明度訂下規則。而電郵服務供應商亦加入了 SPF、DKIM 和 DMARC 等保護措施,令攻擊者更難冒充他人身份。

我們今天如何對抗垃圾郵件?

現代垃圾郵件過濾器由 AI 驅動,並結合機器學習。它們可以分析寄件者行為和訊息上下文,然後即時作出調整。

不過,意識仍然很重要。即使有 最好的垃圾郵件過濾器,員工培訓仍需要成為 阻止垃圾郵件 的關鍵一環。

如何保護自己免受垃圾電郵侵擾

如今,公司會定期舉辦意識培訓計劃,教導人們放慢一步、識別危險訊號,或在採取行動前先核實要求。其中一些包括:

點擊前先想一想

這裏仍然適用那些久經考驗的建議。如果你收到一封意料之外的電郵,而且你不認識寄件者,那就不要點擊隨機連結。你可以在桌面版把滑鼠移到連結上,或在手機上長按,以先預覽真正目的地。如果連結顯示的地址與真實地址不同,那就是危險訊號。

如果你真的決定點擊電郵中的連結,不要被 URL 旁邊的小鎖圖示欺騙,這並不代表網站安全。小鎖只表示有人已加密連線。不幸的是,網絡釣魚網站取得 SSL 憑證,和合法網站一樣容易。

核實寄件者 

電郵上的顯示名稱不一定是寄件者的真實身份。這是因為任何人都可以把它改成完全不同的內容。要核實真實身份,你需要查看該電郵實際發出的確切電郵地址。

有時這很明顯,例如電郵來自廉價、一次性的免費電郵服務。但事情不一定總是那麼簡單。攻擊者經常透過更改幾個字元來偽裝電郵,例如 @p4ypal.com。如果你不確定電郵是否真實,最好透過官方通訊渠道聯絡對方。

選擇支援 SPF、DKIM、DMARC 的供應商

說到垃圾郵件,SPF、DKIM 和 DMARC 是電郵驗證的黃金標準。它們是判斷從你的網域發出的電郵究竟是否真的由你發送,還是由冒充者發送的最佳方法。SPF 會檢查該電郵是否來自獲授權代表你發送郵件的伺服器。DKIM 會加入防篡改簽章,令訊息在傳送途中不能被悄悄修改。DMARC 則把兩者結合,並告訴接收伺服器當訊息未能通過檢查時應如何處理。

好消息是,你不必手動設定這一切。一個好的電郵服務供應商應該會替你處理。所以當你選擇在哪裏託管電郵時,請留意是否標準支援 SPF、DKIM 和 DMARC。

使用 2FA

2FA 為你的帳戶增加第二層安全保障。它代表雙重驗證,基本上就是用兩種方式而不是一種來證明你是誰。第一種是你的密碼,第二種可以是你的手機、驗證器應用程式、指紋,或安全金鑰。

這意味着即使你的密碼被盜,攻擊者在沒有第二種驗證方式的情況下也無法存取你的帳戶。有 2FA 總比沒有 2FA 好。請選擇提供此功能的電郵服務供應商,並在所有可以啟用的地方開啟它,先從你的電郵開始。

小心附件

人類天生好奇,而攻擊者正是利用這一點。保護自己的最佳方法,就是避免打開你未有預期會收到的電郵附件。即使它們來自你認識的人,這條原則仍然適用。因為帳戶經常會被騎劫,而寄件者身份亦可能被偽冒。

對 PDF、Word 和 Excel 文件、ZIP 和 RAR 壓縮檔、HTML 檔案、ISO 磁碟映像,尤其是 .exe 檔案,務必要格外小心。如有疑問,請先透過其他渠道向寄件者確認,再打開任何內容。

讓你的團隊持續受訓

歸根究底,面對攻擊時,人類才是最後一道防線。過濾器、驗證機制和附件掃描能阻擋很多威脅,但任何成功穿透的訊息,都是專門設計來欺騙人的。

這正是培訓可以帶來巨大改變的地方。關鍵是,公司應該針對今天的攻擊進行培訓,而不是昨天的。這意味着要防範沒有錯字的 AI 撰寫誘餌、深偽語音與影片,以及透過 SMS、QR code 和 MFA 提示進行的詐騙,而不只是電郵。 

常見問題

史上第一封垃圾郵件於 1978 年在 ARPANET(互聯網的前身)上發出。一位名叫 Gary Thuerk 的市場推廣人員向 400 人發送了一封推銷新電腦的電郵。這封電郵帶來了數百萬美元收入,但也惹惱了很多人。

垃圾郵件最初是一種透過電郵一次過向大量人士宣傳的低成本方式。早期互聯網規則不多,而且幾乎不用花甚麼錢,就能輕易把訊息發送到數千個收件箱。

這個名稱來自 Monty Python 的一個短劇,當中「spam」被無止境地重複。早期互聯網用戶借用了這個詞,來形容不受歡迎訊息中同樣的重複現象。

垃圾郵件最初是廣告和連鎖信,之後演變成網絡釣魚、惡意軟件及大規模詐騙。如今,AI 幫助垃圾郵件發送者撰寫精緻且個人化的訊息,因此過濾器也必須變得更先進才能跟上。

到了 2000 年代初,垃圾郵件已佔全球幾乎一半的電郵流量。各國政府開始透過 CAN-SPAM Act 等法律介入,而 Yahoo、Microsoft 和 Google 等主要服務供應商也建立了更強的防禦措施。

現代的 垃圾郵件過濾器 使用 AI 和機器學習,不僅掃描關鍵字,還會分析寄件者行為、網絡訊號及訊息模式,例如來自新網域的電郵突然激增,或內容模仿已知的網絡釣魚誘餌,然後即時調整以封鎖新的垃圾郵件活動。 

網絡釣魚垃圾郵件會冒充可信品牌或聯絡人,誘使你點擊惡意連結或分享敏感資料。以往的網絡釣魚電郵常充滿錯字和明顯警號,現在則寫得精緻,難以辨認。

垃圾郵件是指任何不受歡迎的大量電郵,例如廣告、垃圾電子報或虛假彩票優惠。網絡釣魚則是一種垃圾郵件,透過冒充你信任的人來竊取你的資料或金錢。所有網絡釣魚都是垃圾郵件,但並非所有垃圾郵件都是網絡釣魚。


推薦文章

分享您的想法

需要超過 10 個字符。
您的公開顯示身份。
提供您的電子郵件地址是可選的。它不會與第三方共享。

幫助我們改進博客

在快速的兩分鐘調查中分享您的想法。

必須提供有效的電郵地址