何时可以安全打开电子邮件附件？

何时可以安全打开电子邮件附件？

可附加文件是电子邮件的一个实用功能，但也带来了风险。来自恶意方的电子邮件附件中可能有恶意软件，可能导致黑客攻击或数据泄露。没有万无一失的方法可以知道电子邮件附件是否可以安全打开，但陌生人突然发送的附件最可能存在危险。

电子邮件附件为何有危险？

电子邮件附件是与电子邮件一起发送的文件——就像随贺卡赠送的礼物。几乎任何类型的文件都可以作为电子邮件附件；唯一的限制通常就是电子邮件客户端允许接收的文件大小或数量。但是，和通过网络发送的任何文件一样，电子邮件附件有时可能包含危险或恶意的内容，可能导致设备感染恶意软件。

攻击者经常会将恶意软件附在电子邮件中，试图借此传播恶意软件。有时候，他们会将恶意软件作为可执行 (EXE) 文件附上，试图欺骗电子邮件收件人下载并打开该文件，然后便会运行恶意软件。有时候，他们可能会将恶意脚本埋藏在看似无害的文件中，例如 Microsoft Word 文档（DOC、DOCX）或存档文件（ZIP、RAR 等）。一旦执行脚本，就会下载并安装恶意软件，或执行一些其他的恶意操作。最后，攻击者还可能将恶意软件或脚本伪装起来，隐藏在看似不可能包含恶意文件的文件类型中，例如图像或视频文件。

我们可以把电子邮件附件想象成一份包装好的礼物，那么电子邮件就是礼物所附的贺卡。收到礼物的人在打开礼物之前，无法知道里面装有什么。同样，收件人也不可能确定电子邮件附件中的实际内容。不幸的是，世界上几乎任何人都可以相互发送电子邮件，因此，必须以怀疑态度对待所有电子邮件附件。哪怕电子邮件（类比“贺卡”）似乎来自可信的人，也应谨慎对待其附件。

哪些电子邮件附件通常可以安全打开？

与任何安全问题一样，没有办法保证任何特定文件一定安全。不过，回答以下问题可以帮助确定是否应该信任某份电子邮件附件。如果其中任何一个问题的答案是“否”，那么用户应该联系所谓的发件人，或联系所在组织的安全团队，这才是明智之选。

• 您认识发件人吗？已知来源的电子邮件附件比未知来源的电子邮件附件更可能可信任。收件人根本不认识的人更不可能有合理理由发送电子邮件附件——就像我们不可能收到陌生人的生日礼物。
• 您能确认发件人确实发送了电子邮件吗？有时，恶意方会冒充熟人或可信发件人，甚至收件人通讯录或所在组织中的人。他们的方法包括伪造或模仿发件人的电子邮件地址，或闯入发件人的收件箱，然后代表发件人发送电子邮件。
• 这封电子邮件在您意料之中吗？意外的电子邮件往往是攻击企图的信号。大多数恶意电子邮件都是意料之外的——毕竟没有人想被攻击。
• 您是否预料到这封电子邮件会有附件？即使这封电子邮件在您意料之中，意外或不相关的附件也可能是恶意文件。
• 附件是预期的文件类型吗？例如，如果发件人说他们附加了或将会附加一张图片，但收到的附件却是 PDF 或 EXE，这可能是一个信号，表明不应信任该文件。

如果所有这些问题都的答案都是肯定的，电子邮件附件就更可能是安全的，但也不能确保安全。

何时打开电子邮件附件会不安全？

上一节中的问题是一个很好的起点，有助于识别潜在危险附件。打开电子邮件可能会不安全还有其他信号，包括：

• 急迫：攻击者希望收件人迅速行动，让他们没有时间质疑或进一步调查。电子邮件可能会要求收件人迅速下载或打开附件。
• 将电子邮件发送给大的群组或未知收件人：攻击者有时会尽可能广撒网，提高有人下载恶意附件的可能性。为此，他们会将恶意电子邮件的收件人列为一长串名单或大群组的电子邮件别名。他们可能会使用 BCC（密件抄送）或将“To”（收件人）字段留空，试图隐藏收件人数。
• 电子邮件写作风格非同寻常：拼写和语法错误是常见的信号，表明电子邮件可能是骗子发送的。但有时，合法发件人也会忽视这些常规。收件人应将该邮件与发件人平时的邮件写作风格进行比较。此外，如果电子邮件涉及发件人通常不讨论的话题，则电子邮件可能并非来自其声称的那个发件人。
• 没有个性化的问候语：攻击者并不总是有那么多时间，一次只针对一个受害者。问候语很宽泛，或没有问候语，可能是一个信号，表明该电子邮件不正常。（但情况并非总是如此——特别是在鱼叉式网络钓鱼和商业电子邮件泄露攻击中，电子邮件威胁有时极具针对性，高度个性化。）
• 附件中包含恶意软件：许多电子邮件提供商会通过反恶意软件分析来识别可能的恶意软件，并标记出危险的附件——这是一个明确的信号，表明不应打开该电子邮件。

哪类电子邮件附件可能包含恶意软件？

任何文件类型都可能包含恶意代码。许多恶意软件攻击都利用过存档文件、PDF、Microsoft Word 文档和 Microsoft Excel 电子表格。然而，攻击者并不局限于这些文件类型。从图像到文本文件，任何文件类型都可能有危险。

最明显的危险文件类型包括可执行文件。可执行文件是一打开文件，计算机便会执行的编程指令。合法发件人很少会在电子邮件中附加可执行代码，通常会以其他方式发送软件程序。可执行文件的文件扩展名为 EXE（Windows 系统）或 APP（Mac 系统）。

什么是文件扩展名？

文件扩展名是指文件名末尾、句号后面的文字。例如，在文件名“quiche-recipe.doc”中，文件扩展名是 .doc。或 DOC。文件扩展名表示文件类型，DOC 文件扩展名表示这是一个 Microsoft Word 文件。

文件扩展名可以假冒伪造。识别文件扩展名并不是确定文件是否安全的可靠方法。

需要知道的其他常见文件扩展名包括但不限于：

• Microsoft Word: .doc, .docx (DOC, DOCX)
• Microsoft Excel: .xls, .xlsx (XLS, XLSX)
• Adobe Acrobat PDF: .pdf (PDF)
• Executable files: .exe, .app (EXE, APP)
• 存档文件：.zip, .rar, .iso (ZIP, RAR, ISO)
• 图像文件：.jpeg, .png, .gif (JPEG, PNG, GIF)
• 音频文件：.mp3, .wav (MP3, WAV)
• 网络文件：.html, .css, .js (HTML, CSS, JavaScript)
• 纯文本文件：.txt (TXT)

攻击者如何在普通文件中嵌入宏、脚本和其他危险内容？

办公文件

宏是一种可执行的脚本，用于 Word 和 Excel 等 Microsoft Office 文件中。宏有许多正当用途，但也曾用于攻击。如果电子邮件附件要求收件人启用宏，则可能是恶意邮件。

PDF

攻击者可以在 PDF 文件中嵌入恶意的 JavaScript，以及危险网站或由攻击者控制的云托管文件的链接。

存档文件

存档文件是一种文件格式，用于将一个或多个文件以及文件的相关元数据存储在一个包装中。存档文件通常会被压缩，以提高便携性。存档文件只是文件的包装，里面可以打包任何内容。这为攻击者提供了便利，他们可以将恶意文件隐藏在存档文件中，然后欺骗用户下载并打开该文件。

其他文件

不安全的脚本和链接几乎可以包含在任何文件类型中——要么直接包含在文件中，要么隐藏在其元数据中。此外，攻击者可以伪造文件扩展名，使恶意文件看起来像图像、音频文件、视频文件、TXT 文件，或用户可能更容易信任的其他文件类型。

有哪些勒索软件攻击使用了电子邮件附件？

多年来，有许多勒索软件攻击通过电子邮件附件进入组织或到达受害者的计算机上。例如：

• Petya 勒索软件通常通过电子邮件（附上 PDF 格式的虚假工作申请）传播到人力资源部门。
• 早些年，Maze ransomware 通过恶意电子邮件附件传播给受害者。（这种方法可能仍在使用，但 Maze 也通过 RDP 漏洞和其他攻击手段进行传播。）
• 有人发现，REvil 勒索软件集团使用恶意电子邮件附件传播勒索软件。

有些勒索软件攻击并不直接使用电子邮件附件，而是利用以前使用电子邮件附件攻击的成果。Ryuk 勒索软件通常通过 TrickBot 感染进入组织，而 TrickBot 又通常通过 Emotet 僵尸网络进行传播。（这种多层攻击很常见，表明攻击者一旦在组织的网络中获得立足点，就可以采取各种行动。）Emotet 最常在电子邮件中附加恶意 Word 文档进行传播。

还有哪些攻击使用电子邮件附件？

任何脚本或恶意软件都可以隐藏在电子邮件附件中，让攻击者有机会访问网络，窃取机密数据，并进行其他恶意操作。收件人一旦打开电子邮件附件，就会传播间谍软件、广告软件、蠕虫甚至僵尸网络。

安全电子邮件网关能否阻止恶意电子邮件附件？

安全电子邮件网关过滤掉不安全的电子邮件流量，包括垃圾邮件、钓鱼邮件和危险的电子邮件附件。许多安全电子邮件网关包括反恶意软件扫描功能，能够识别附件中的恶意软件。他们还有已知威胁名单，会阻止来自名单中的所有电子邮件。

但安全电子邮件网关并不能保证完全抵御基于电子邮件附件的攻击。新的恶意软件类型可能检测不到；由可信或未知来源发送的电子邮件可能不会被阻止；甚至已知的恶意内容有时也可能攻破防御。

许多组织试图完全避免使用电子邮件附件，而是使用安全文件上传门户或在云中分享文件链接（也有风险）。还可使用其他策略减少电子邮件附件带来的威胁，例如：

• 电子邮件安全服务，主动识别攻击基础设施（包括域和服务器）的电子邮件，可以在攻击开始之前予以阻止。Cloudflare Area 1 Email Security 采用的就是这种方法。
• 安全 web 网关、DNS 过滤和 URL过滤可以阻止从电子邮件附件到攻击者服务器的请求，这往往是下载攻击者想要安装的实际恶意有效负载的必要步骤。
• 如果确实是通过电子邮件附件发生感染，Zero Trust 网络架构 (ZTNA) 可以迅速隔离损害，防止横向移动。

虽然现在已有众多的通信应用程序，电子邮件仍然是许多组织使用最多的通信方式，因此，电子邮件安全对保护组织免受攻击至关重要。进一步了解电子邮件安全。