網路釣魚手法再進化！駭客QR Code、定位、CAPTCHA三大陷阱手法曝光

昔日大家熟悉的網路釣魚，現今已不再透過相似的字詞或偽造電子郵件地址來詐騙，駭客使用更精巧的「閃躲式」手法，巧妙規避偵測工具，甚至有警覺性的使用者也難以辨識。記者孫敬／編譯

昔日大家熟悉的網路釣魚，現今已不再透過相似的字詞或偽造電子郵件地址來詐騙，駭客使用更精巧的「閃躲式」手法，巧妙規避偵測工具，甚至有警覺性的使用者也難以辨識。根據外媒報導，最新資安研究發現，有三大新興的網路釣魚手法出現。

延伸閱讀：微軟Office爆CVSS平均8.4分資安漏洞 跨平台版本皆有重大風險

[caption id="attachment_177016" align="aligncenter" width="2816"]

網路釣魚不限於早期的相似詞或電子郵件。（圖／AI生成）[/caption]

駭客三大「閃躲式」新招：精準鎖定、隱蔽誘騙難以察覺

隱藏惡意連結於QR Code： 駭客不再直接寄送釣魚連結，而是將其埋入QR Code圖像，偽裝成登入提示、付款通知或包裹遞送等無害內容。

• 為何危險：許多電子郵件過濾機制無法「辨識」QR Code的圖像連結，使其得以規避偵測。手機使用者在掃描QR Code時，通常不會顯示完整網址，常常就直接點擊。一旦進入釣魚網站，其高度擬真的介面可能讓受害者輸入憑證、信用卡號甚至雙重認證碼，導致企業帳戶、支付系統或個人資料被竊。


• 應對方式：幸運的是，像雲端沙盒測試環境的網站Any.run，能夠自動解碼QR Code並取得連結，在短時間找出完整的攻擊鏈。
  

地理定位與重新導向： 部分網路釣魚並非立即暴露惡意內容。駭客會先依據受害者的地理位置、瀏覽器設定、系統細節等資訊進行「指紋辨識」（Fingerprinting）。如果訪客符合攻擊者的目標條件，才會被導向至釣魚網站；若不符合，則會被導向至如Tesla官網等合法網站。

• 為何危險： 這種技術讓攻擊更具隱蔽性和高針對性，標準掃描工具因不符合條件，可能無法觸發惡意程式，從而錯失偵測機會。


• 應對方式： 互動式沙盒允許分析師快速更改虛擬機器的IP及網路設定，模擬目標地理位置，以觸發並分析威脅，揭露標準工具難以察覺的釣魚企圖。
  

CAPTCHA表單延遲偵測： 現在的網路釣魚比以往更有互動性，部分甚至利用CAPTCHA驗證碼作為刻意的規避步驟。這些驗證碼意在阻擋自動化機器人、漏洞掃描器和資安工具觸及真正的惡意內容。

• 為何危險？ 透過在攻擊鏈前端設置CAPTCHA，威脅行為者可以延遲甚至完全阻止偵測，因為大多數自動化工具無法自動解決驗證碼，導致它們無法看到後續的惡意頁面。


• 應對方式： 具備自動互動功能的沙盒工具，能像真實用戶一樣解決CAPTCHA，從而揭露攻擊的下一階段，完整記錄並分析被掩蓋的惡意行為。

資料來源：Cyber Security News

這篇文章 網路釣魚手法再進化！駭客QR Code、定位、CAPTCHA三大陷阱手法曝光 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。