最新網路犯罪使用的釣魚詐騙手法大公開

釣魚詐騙郵件是現在企業要審慎面對的問題，雖然現在許多使用者，逐漸已經養成資安意識，懂得主動檢查郵件中的網址連結，並解觀察有拼字和文法錯誤的粗糙釣魚郵件，而且不亂開郵件附檔。但你要知道，駭客要讓你上鉤的手法相當多變，可不僅僅於此。

近年惡意郵件不只是透過信中連結，帶到含有惡意程式或是假冒的網站，還會用以假亂真的寄件者或超連結網址，來混淆使用者，而且許多惡意附件也可能會夾帶在壓縮檔內，或是利用Office文件的巨集功能，讓使用者不小心而開啟或執行惡意巨集。

間接一點的方式還有，將惡意網站的超連結，放到郵件附檔的文件內容裡面，或是將惡意附檔放到雲端空間讓使用者去下載，手法相當五花八門，不過，近年還有讓你更意想不到的新招。

駭客利用既有檢查習慣的盲點，設計出更容易上當的釣魚手法

要知道，駭客現在也會利用一些資安防護好習慣的盲點，透過間接且不易察覺的方式，來讓用戶上當。

舉例來說，有駭客針對使用企業網頁郵件的用戶，設計出更巧秒的招數來誘騙。首先，他們寄送了一封釣魚郵件，可以偽裝成員工有興趣的內容，或是訂閱的新聞網站資訊，當使用者點擊郵件中的連結時，會開啟一個正常網站的新分頁，等使用者看完網站內容，回到原本的郵件信箱分頁瀏覽時，因為知道系統會在一段時間自動登出，所以重新登入，而在這樣的過程中，其實就中了駭客的圈套，導製使用者帳密被盜。

原來，雖然郵件連結開啟的網頁是正常網站，使用者即便有檢查新開分頁的網址，也看不出是問題，但事實上，使用者在點擊連結後，會先執行一段簡單的JavaScript程式碼，可以將原有的網頁郵件分頁，置換成釣魚網站頁面，內容則是假冒的郵件系統的登入畫面。

加上有些系統服務提供的保護機制，會在使用者沒有動作一段時間後，自動斷線，避免使用者忘記登出，當使用者回到原本的網頁郵件頁面時，可能已經習慣要重新輸入自己的帳號密碼來登入，由於這是已經開啟的分頁，通常不會特意去檢查網址的正確性，就出現了容易上鉤的新盲點。

另一種針對個人電子郵件的釣魚，不僅是偽裝系統通知信，還利用開放認證機制Open Authentication (OAuth），來直接取得讀信權限，也很獨特。

雖然使用者已經知道，不要在可疑的釣魚網站上，隨意輸入自己的帳號密碼，避免了因身分驗證動作，而被竊取帳密的可能性，但可能容易會忽略身分授權上的問題。

近期我們看到不少資安專家，都揭露了此一攻擊手法，趨勢科技臺灣區技術支援部資深經理簡勝財，幫我們做出進一步說明。在這種攻擊手法中，駭客寄來的釣魚郵件，可以偽裝成來自Gmail的安全通知，並要收件者安裝一個名為Google Defender的保護程式，使用者上鉤後，這時會連至一個應用程式存取授權的Google服務頁面，要求使用者授權，雖然這是一個真實的Google網站（accounts.google.com），但是，該應用程式，其實是攻擊者開發的第三方應用程式，而存取授權中則包含可以讀取與管理信件的能力。

因此，一旦用戶沒有戒心而同意存取授權，攻擊者就能檢視你的電子信箱，而無須取得你的帳號與密碼。

另外，在2017年5月，也有發生冒充友人邀請共同編輯Google Docs的釣魚郵件，若是使用者誤信，並且同意了授權存取，即讓攻擊者得以存取Gmail及Google Docs中的資料。

這也顯示釣魚郵件所用手法不斷精進，可以像過去一樣簡單，也能像上述如此多變，利用用戶已經養成好習慣的盲點，以及過往的操作經驗，來降低用戶的戒心。

使用者要瞭解的是，面對多變的詐騙釣魚郵件攻擊，可能無法全用同一種方式來看穿，已經養成的良好檢查習慣，也可能還是會出現新的盲點，被駭客拿來利用，需要保持警覺性與檢查更多細節，這就像資安防護設備的功能發展一樣，會隨著攻擊手法不斷變化，新增加不同的防護技術。

《全文請見iThome（https://www.ithome.com.tw/news/120509）》