最新網路犯罪使用的釣魚詐騙手法大公開
釣魚詐騙郵件是現在企業要審慎面對的問題,雖然現在許多使用者,逐漸已經養成資安意識,懂得主動檢查郵件中的網址連結,並解觀察有拼字和文法錯誤的粗糙釣魚郵件,而且不亂開郵件附檔。但你要知道,駭客要讓你上鉤的手法相當多變,可不僅僅於此。
近年惡意郵件不只是透過信中連結,帶到含有惡意程式或是假冒的網站,還會用以假亂真的寄件者或超連結網址,來混淆使用者,而且許多惡意附件也可能會夾帶在壓縮檔內,或是利用Office文件的巨集功能,讓使用者不小心而開啟或執行惡意巨集。
間接一點的方式還有,將惡意網站的超連結,放到郵件附檔的文件內容裡面,或是將惡意附檔放到雲端空間讓使用者去下載,手法相當五花八門,不過,近年還有讓你更意想不到的新招。
駭客利用既有檢查習慣的盲點,設計出更容易上當的釣魚手法
要知道,駭客現在也會利用一些資安防護好習慣的盲點,透過間接且不易察覺的方式,來讓用戶上當。
舉例來說,有駭客針對使用企業網頁郵件的用戶,設計出更巧秒的招數來誘騙。首先,他們寄送了一封釣魚郵件,可以偽裝成員工有興趣的內容,或是訂閱的新聞網站資訊,當使用者點擊郵件中的連結時,會開啟一個正常網站的新分頁,等使用者看完網站內容,回到原本的郵件信箱分頁瀏覽時,因為知道系統會在一段時間自動登出,所以重新登入,而在這樣的過程中,其實就中了駭客的圈套,導製使用者帳密被盜。
原來,雖然郵件連結開啟的網頁是正常網站,使用者即便有檢查新開分頁的網址,也看不出是問題,但事實上,使用者在點擊連結後,會先執行一段簡單的JavaScript程式碼,可以將原有的網頁郵件分頁,置換成釣魚網站頁面,內容則是假冒的郵件系統的登入畫面。
加上有些系統服務提供的保護機制,會在使用者沒有動作一段時間後,自動斷線,避免使用者忘記登出,當使用者回到原本的網頁郵件頁面時,可能已經習慣要重新輸入自己的帳號密碼來登入,由於這是已經開啟的分頁,通常不會特意去檢查網址的正確性,就出現了容易上鉤的新盲點。
另一種針對個人電子郵件的釣魚,不僅是偽裝系統通知信,還利用開放認證機制Open Authentication (OAuth),來直接取得讀信權限,也很獨特。
雖然使用者已經知道,不要在可疑的釣魚網站上,隨意輸入自己的帳號密碼,避免了因身分驗證動作,而被竊取帳密的可能性,但可能容易會忽略身分授權上的問題。
近期我們看到不少資安專家,都揭露了此一攻擊手法,趨勢科技臺灣區技術支援部資深經理簡勝財,幫我們做出進一步說明。在這種攻擊手法中,駭客寄來的釣魚郵件,可以偽裝成來自Gmail的安全通知,並要收件者安裝一個名為Google Defender的保護程式,使用者上鉤後,這時會連至一個應用程式存取授權的Google服務頁面,要求使用者授權,雖然這是一個真實的Google網站(accounts.google.com),但是,該應用程式,其實是攻擊者開發的第三方應用程式,而存取授權中則包含可以讀取與管理信件的能力。
因此,一旦用戶沒有戒心而同意存取授權,攻擊者就能檢視你的電子信箱,而無須取得你的帳號與密碼。
另外,在2017年5月,也有發生冒充友人邀請共同編輯Google Docs的釣魚郵件,若是使用者誤信,並且同意了授權存取,即讓攻擊者得以存取Gmail及Google Docs中的資料。
這也顯示釣魚郵件所用手法不斷精進,可以像過去一樣簡單,也能像上述如此多變,利用用戶已經養成好習慣的盲點,以及過往的操作經驗,來降低用戶的戒心。
使用者要瞭解的是,面對多變的詐騙釣魚郵件攻擊,可能無法全用同一種方式來看穿,已經養成的良好檢查習慣,也可能還是會出現新的盲點,被駭客拿來利用,需要保持警覺性與檢查更多細節,這就像資安防護設備的功能發展一樣,會隨著攻擊手法不斷變化,新增加不同的防護技術。
《全文請見iThome(https://www.ithome.com.tw/news/120509)》