通常情况下我们收到商业广告邮件或垃圾邮件,会习惯性的点击底部的取消订阅按钮,像是 iOS 自带的邮件应用还可以自动检测并在邮件顶部弹出退订按钮方便用户点击进行退订。
不过 DNSFilter 首席技术官 TK Keanini 建议用户不要随意点击底部的取消订阅按钮,因为用户盲目点击退订按钮打开链接有时候可能会带来额外风险,例如每 644 次点击中就有 1 次将用户引导至潜在的恶意网站。
这种观点其实与我们退订垃圾短信有类似的情况,即本身这些垃圾邮件和垃圾短信都是群发的,如果用户收到后主动发送退订信息,对发送者来说意味着这个邮箱是真实有效且活跃的。
垃圾邮件发送者后续还可以针对有效邮箱维护新数据库疯狂发送新的垃圾邮件和垃圾短信,从这个角度来说盲目点击退订按钮确实不是好事情,当然这也需要针对不同的情况进行区分。
例如邮件发送者是用户注册的某个服务,那收到推广邮件进行退订应该还是可以的,部分网站需要用户进入自己的账户中心取消订阅设置,前提是用户需要确保退订地址并非钓鱼网站。
如果有人冒充某个公司例如Google发送广告邮件并附加所谓的退订按钮,那用户点击退订时可能会进入钓鱼网站,此时如果钓鱼网站要求用户输入Google账号和密码则可能导致账户信息泄露。
TK Keanini 的建议是不要离开自己的电子邮件客户端,例如 iOS Mail 应用检测到的退订选项,点击退订后会发送一封新邮件进行退订 (尽管经常被退信),但这个选项不需要用户点击链接,从而避免暴露到钓鱼网站中。
安全公司 Zenity 则表示未经检查的退订链接将用户重定向到钓鱼网站后,通常会以欺诈方式窃取密码或其他登录凭证,甚至还可能在目标设备上部署恶意软件。
所以安全专家的建议是,最安全的退订方式就是使用电子邮件服务提供的列表退订标头,也就是类似 iOS Mail 那种自动检测并发信退订的,标头不属于邮件正文因此也不需要点击外部链接。
最后无论是哪种方式用户都应该检查发信者和链接地址,对于并非自己熟知的服务即便看到广告邮件也应该直接拉黑而不是点击退订,如果是熟知的服务则应该仔细检查链接地址后再确认退订,当然无论如何都不要输入自己的账号密码或下载软件。
