iT邦幫忙

13

這幾天的詐騙信

spam 詐騙郵件
japhenchen 2025-12-03 16:29:185493 瀏覽

  • 分享至 

  • xImage

各位IT大大們,這幾天是不是被這種信件,讓主管轟到吃不下飯?

你先建立一個公司的 LINE 群組,暫時先不要邀請其他人加入。進群之後,請自行備註好職稱加姓名,並把群組的 QR Code傳給我

我也是,想問各位有何妙招?
我只有使用body_checks處理了

  1. 今天有變種了,用純圖片訊息(2025/12/04)
    https://ithelp.ithome.com.tw/upload/images/20251204/20117954MyVj6R6dbN.jpg

  2. 唯一可識別的是這些都是四無信件
    DKIM、DMARC、SPF,ARC都是none
    ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=none; dmarc=none;
    dkim=none; arc=none

(剛發現的,如果有使用spamassassin的大哥,可以加入一條 SPOOFED_FREEMAIL )

** ending : **
把這類信件,全部轉發到特定信箱即可
基本沒有意外狀況,正常人不會發這類信件

  • 郵件標頭顯示寄件人是 @gmail.com 或 @yahoo.com或 @outlook.com ,但實際發信 IP 或寄件伺服器並非該服務的合法伺服器。
  • SPF、DKIM 或 DMARC 驗證失敗。
  • 郵件來源與寄件人域名不匹配。
看更多先前的討論...收起先前的討論...
尼克 iT邦大師 1 級 ‧ 2025-12-03 16:41:38 檢舉
我也有收到。
leaves00219 iT邦新手 5 級 ‧ 2025-12-03 16:47:45 檢舉
今天也有收到公司的宣導公告。
PIZZ iT邦研究生 5 級 ‧ 2025-12-03 16:58:26 檢舉
12月開始有收到

目前是在主機端設定過濾條件過濾內文&降低BCL分數&封鎖已知傳送郵件的地址
Lengley_CV_1 iT邦新手 5 級 ‧ 2025-12-03 17:47:06 檢舉
我們公司的人也有收到(-_-);
問合作的廠商也說只能讓用戶按回報為垃圾信件而已......
(我們公司用Google信箱)
Lengley_CV_1 iT邦新手 5 級 ‧ 2025-12-03 17:48:12 檢舉
關鍵是這種釣魚信件也只有純文字內容,內容也很普通,沒辦法抓到甚麼特徵來擋
spplkksyy iT邦研究生 5 級 ‧ 2025-12-03 19:31:03 檢舉
寄件人名稱是大頭但信箱不是大頭,赤裸裸的有穿衣服沒穿褲子...
japhenchen iT邦超人 1 級 ‧ 2025-12-03 19:39:31 檢舉
我收到的都是不帶附件的信件,目前都是以關鍵字過濾,但有後患,因為會誤刪正常信,也是苦惱中
ayu iT邦好手 2 級 ‧ 2025-12-04 04:08:06 檢舉
兩個特徵: From:addr 及 MAILER , 不過要是自訂的規則
PIZZ iT邦研究生 5 級 ‧ 2025-12-04 09:28:41 檢舉
更新下,今天用備份郵件確認內容,結果那個郵件內文其實是個圖片啊...

所以現在是改用針對"免費信箱的網域"(免費信箱)+"寄件人姓名"(大頭)來設定過濾條件了
ming9900 iT邦新手 2 級 ‧ 2025-12-04 10:04:36 檢舉
我這裡有碰到 2個案例,信的內容都差不多。
一封明顯是用自動翻譯做的 --> 內容是寫 "線路群組" ,而且全文是簡體字。
另一封改良了,就如原PO 是寫 "LINE 群組",全文是正體字。

寄件者是 O365 (xxxx@outlook.com) 寄出,也有由 Gmail (xxx@gmail.com)寄出,但不確定是否是偽裝的寄件者,因為信最下方的回傳Email ,都是留 gmail.com (和寄件者的信箱都不同)

最可怕的是 "寄件者 留的署名" 是 老闆的名字,收件者是 公司主管.
這等於是精確知道是同一間公司,而且是上下級關係

會第一時間發現,是因為第一封 除了沒頭沒尾外,寫了 "線路群組"

Spam 過濾,沒發現有問題,SFP Pass& 寄件IP 也真是 O365 & Gmail 的郵件主機。
現在如果又有圖片版的,那真是不知道過濾條件要如何設定了。
japhenchen iT邦超人 1 級 ‧ 2025-12-04 10:35:36 檢舉
唯一可識別的是這些都是四無信件
DKIM、DMARC、SPF,ARC都是none
ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=none; dmarc=none;
dkim=none; arc=none

(剛發現的,如果有使用spamassassin的大哥,可以加入一條 SPOOFED_FREEMAIL )
japhenchen iT邦超人 1 級 ‧ 2025-12-04 10:51:02 檢舉
歸納了幾封信看了一下原始碼,都是南韓outlook主機發出的
ayu iT邦好手 2 級 ‧ 2025-12-04 14:39:52 檢舉
目前收到3個都是從52.103.來的, 都是用圖檔且具備四無特徵
12/01, 52.103.13.29, jpg, mail-centralus....
12/02, 52.103.23.47, jpg, mail-westus3......
12/03, 52.103.66.54, gif, mail-japanwest....
我這邊正常的MS代管信都從40.107.來的
SPOOFED_FREEMAIL的誤判率有點高喲
japhenchen iT邦超人 1 級 ‧ 2025-12-04 16:16:15 檢舉
SPOOFED_FREEMAIL只是其中一個特徵,用來加spam星星用的
daiell0101 iT邦新手 5 級 ‧ 2025-12-04 16:55:36 檢舉
gmail ,outlook.com都是合法伺服器
殭屍帳號 不斷更換信箱發一樣內容的信~
super288 iT邦研究生 1 級 ‧ 2025-12-04 19:56:04 檢舉
我也有收到類似信,來源一樣是outlook.com
林門神JanusLin iT邦超人 1 級 ‧ 2025-12-04 21:23:43 檢舉
GMail 檢舉詐騙信
abuse@gmail.com
postmaster@gmail.com
https://ithelp.ithome.com.tw/articles/10375204
PIZZ iT邦研究生 5 級 ‧ 2025-12-05 09:17:35 檢舉
更新下,目前在Exchange online上套用以下規則,確認是可以阻擋

Is sent to 'Inside the organization'
and sender's address domain portion belongs to any of these domains: 'outlook.com' or 'gmail.com' or 'hotmail.com'
and Includes these words in the message subject or body: 'Line群組' or '只有你在內的公司Line群組' or '群組QR Code' or '公司名稱' or '大頭名字' or '大頭名字(簡中)' or '公司名稱(簡中)'

執行下列動作

Set audit severity level to 'High'
and Delete the message without notifying the recipient or sender


諮詢微軟技術,說如果是郵件內的圖片內容辨識,要搭配MSPurview OCR...
japhenchen iT邦超人 1 級 ‧ 2025-12-05 10:08:53 檢舉
現在只能等outlook.com/ gmail.com 修正這個可以被偽造主機的漏洞了,他們沒有使用SPF、DMARC?
登入發表討論
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

8 個回答

2
and910805
iT邦新手 4 級 ‧ 2025-12-08 14:07:24
最佳解答

分享一下我這邊(Exchange Online)的解法~

條件設定如下: Is sent to 'Inside the organization'
and 'X-Mailer' header matches the following patterns: '^Supmailer'

這幾天試跑下來,效果還不錯,基本上全擋,目前看Log也都沒有誤殺到正常的信件(畢竟一般人也不會特地去裝群發軟體來寄信)。

看更多先前的回應...收起先前的回應...
japhenchen iT邦超人 1 級 ‧ 2025-12-08 15:48:16 檢舉

倒是一開始都沒留意到的特點,謝啦

supermaxfight iT邦研究生 3 級 ‧ 2025-12-09 17:37:14 檢舉

感謝您

Is sent to 'Inside the organization'
and 'X-Mailer' header matches the following patterns: '^Supmailer'
執行下列動作

Prepend the subject with '[可疑信件]'
and Set the spam confidence level (SCL) to '9'
supermaxfight iT邦研究生 3 級 ‧ 2025-12-10 09:11:00 檢舉

今天看成果,進來了十幾封詐騙信
@gmail.com寄來的,內文使用文字,沒有被攔下來,信件原始碼裡面沒有X-Mailer: Supmailer
@outlook.com寄來的,內文使用圖片,有成功攔下來,信件原始碼裡面有X-Mailer: Supmailer

japhenchen iT邦超人 1 級 ‧ 2025-12-11 07:12:02 檢舉

多重管道處理吧,不然防都防不完,關鍵字做X-SPAM加分讓系統去處理,信件只有圖片沒文字的也是加大分數去處理了

登入發表回應
0
rb1102
iT邦研究生 1 級 ‧ 2025-12-03 18:11:52

我的M365有擋下來,說內容含有不透明附件 (winmail.dat) 的郵件
好像有點可怕

japhenchen iT邦超人 1 級 ‧ 2025-12-03 19:39:16 檢舉

我收到的都是不帶附件的信件,目前都是以關鍵字過濾,但有後患,因為會誤刪正常信,也是苦惱中

登入發表回應
0
襄兒
iT邦新手 5 級 ‧ 2025-12-04 08:46:14

同樣收到了~直接一個反手把該郵箱設為垃圾信~以後都直接丟垃圾筒不礙我眼了~

japhenchen iT邦超人 1 級 ‧ 2025-12-04 08:47:15 檢舉

沒用,發送人帳號會變且都是outlook / /gmail 這類大信箱主機,你全擋就等於被孤立

daiell0101 iT邦新手 5 級 ‧ 2025-12-04 17:03:49 檢舉

你擋單一信箱沒用,他一直再換信箱~
除非你有勇氣封掉整個 gmail outlook.com信箱

登入發表回應
0
Pod042A
iT邦新手 5 級 ‧ 2025-12-04 12:43:35
  1. 使用「外部信件提示」,例如郵件標題加[EXTERNAL],讓收件人快速判斷郵件不是來自內部。
  2. 參考此文章,加入網域驗證來判斷郵件來源是否可信。
japhenchen iT邦超人 1 級 ‧ 2025-12-04 12:53:47 檢舉

只是無法識別大老板的身份是域內外,又不能絕對禁止域外發信,目前也只能做你建議加標幟的方法

非常感謝你的建議!

登入發表回應
0
林門神JanusLin
iT邦超人 1 級 ‧ 2025-12-04 13:47:36

https://ithelp.ithome.com.tw/upload/images/20251204/20001416AqeM5u1D7t.jpg

掃描內文

看更多先前的回應...收起先前的回應...
japhenchen iT邦超人 1 級 ‧ 2025-12-04 13:56:30 檢舉

已經有變種,純圖片版,此法失效

林門神JanusLin iT邦超人 1 級 ‧ 2025-12-04 14:47:33 檢舉

https://ithelp.ithome.com.tw/upload/images/20251204/2000141698zl11q9FG.jpg

信件方向:收信
主旨
寄件者非 公司或是台灣組織
阻擋待審

japhenchen iT邦超人 1 級 ‧ 2025-12-04 14:55:21 檢舉

公司常態員工人數超過1000人會收發信件,如果用審核機制,恐怕人力會很吃緊,還有更好的方法嗎?

林門神JanusLin iT邦超人 1 級 ‧ 2025-12-04 15:34:39 檢舉

設為垃圾郵件並隔離
他就會發通知了
要再取回

japhenchen iT邦超人 1 級 ‧ 2025-12-04 16:13:43 檢舉

現在是用postfix自幹主機,還蠻不輕鬆的就是,目前已能壓制,但如果再出現變異,可能就頭大了

林門神JanusLin iT邦超人 1 級 ‧ 2025-12-04 16:16:49 檢舉

有攻有防,才需要工程師

daiell0101 iT邦新手 5 級 ‧ 2025-12-04 17:04:44 檢舉

內文變成圖片 就有點無解...

林門神JanusLin iT邦超人 1 級 ‧ 2025-12-04 21:23:14 檢舉

GMail 檢舉詐騙信
abuse@gmail.com
postmaster@gmail.com
https://ithelp.ithome.com.tw/articles/10375204

japhenchen iT邦超人 1 級 ‧ 2025-12-05 07:58:37 檢舉

檢舉不完,因為帳號很隨機,一天幾封都不同人寄的

林門神JanusLin iT邦超人 1 級 ‧ 2025-12-05 08:03:06 檢舉

因為他是詐騙,目前也只能跟 165 作法一樣

登入發表回應
1
s526218
iT邦新手 3 級 ‧ 2025-12-04 17:13:58

Exchange Policy

若為以下情況,套用這個規則
寄件者的指定摘要資訊包含任何這些字詞 'DisplayName:XX'

執行下列動作
將電子郵件傳遞到垃圾郵件隔離信

除非
寄件者的網域為 (公司domain)
寄件冒用人名變更再到displayName上新增

s526218 iT邦新手 3 級 ‧ 2025-12-11 17:53:58 檢舉

GPT建議 標題改為 'from' 郵件標頭符合 '王\s大\s明'
檔的比較乾淨
另外defender 防釣魚也要針對特定人員進行防護

japhenchen iT邦超人 1 級 ‧ 2025-12-12 07:14:35 檢舉

目前的已經有冒用其他公司老板的名義向採購主管詐取QRCODE的變種,此法難通哦

登入發表回應
1
Helengrace
iT邦新手 5 級 ‧ 2025-12-11 16:35:39

This helped a lot. I didn’t realize how much the Cowboy Safari environment variables could affect the build process — thanks for pointing that out!

登入發表回應
0
smith
iT邦新手 5 級 ‧ 2025-12-23 10:36:09

我還在跟他們奮戰

這種就很難防了吧
幸好有看到這篇,目前有防到
感謝這篇的幫助
https://ithelp.ithome.com.tw/upload/images/20251223/201083606i06E17RV3.png

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
19854
完賽人數
528
iT+看影片追技術 看影片追技術 看更多
熱門tag
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 17th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react
熱門問題
熱門回答
熱門文章
IT邦幫忙