網絡釣魚攻擊層出不窮,香港電腦保安事故協調中心(HKCERT)在2021年就處理了3,737宗釣魚攻擊,當中超過7成個案涉及網上銀行或網上購物。截至今年3月,HKCERT已經處理超過600宗釣魚攻擊,其中有近120宗與銀行相關。
想防範不法分子的攻擊,大家就要了解騙徒的手法。
網絡釣魚類型
網絡釣魚是一種「騙人把戲」式的網絡攻擊,叫做「釣魚」就是因有「願者上釣」的意思,黑客會利用人的貪心、好奇、怕「蝕底」或害怕等情緒來編作故事或借口,以引誘或威嚇手段去要求受害人提供敏感資料或金錢,甚至下載惡意軟件來入侵電腦或網絡,構成更嚴重的影響。一般以訊息形式發送至受害者,並可分為以下的類型:
漁翁撒網型:無特定目標,只同時向大量用戶發送內容相同的電郵或短訊,訊息內容通常比較貼近時事或日常生活接觸到的事情,例子有抽獎,送優惠劵,物流公司或郵局送件失敗等訊息,並附帶假網站連結來偷取受害人輸入的敏感資料。
特定目標型(又稱魚叉式網路釣魚):黑客會先了解受害人的資料,如工作職位或喜好等,然後精心設計訊息內容及傳送手法,以博取信任來增加騙局成功的機會。攻擊對象通常是機構職員,例如未熟悉機構運作的新員工或管理財務的員工,甚至是高級行政人員。
商業電郵騙案:利用被入侵的企業內部電子郵箱向員工發送釣魚訊息。由於由內部發送,員工們容易誤信為真,會按照訊息上的指示行動,例如把機密資料上傳到黑客伺服器或轉帳至黑客戶口等。
以往網絡釣魚的第一步都是以電郵或短訊(SMS)方式,並附帶假網站連結來發送給受害人,然後要求輸入敏感資料。但隨着人與人交流方式的變化,黑客亦會利用即時通訊軟件、社交平台、視像軟件、甚至二維碼(QR code)等方式發送此類假網站連結,以求受害人掉以輕心受騙。
隱藏網址混淆視聽 偽冒網站以假亂真
近日,HKCERT就收到一宗涉及假冒香港警察網站的釣魚攻擊。進入網站後,網址、標誌等與真實的香港警察網站無異,而內容則指用家瀏覽太多色情網站,要求要以信用卡繳交罰款,否則就會刪除裝置內的所有資料。事實上,這個假冒網站是近期再次興起的Browser in the Browser(BitB)攻擊,用戶看到的網址、工具列、索引標籤均是黑客使用JPG方式製作,當瀏覽器進入全屏幕模式時,真正的網址列會被隱藏,假冒網站的外觀與真實網站非常相似。
上述的釣魚網站,用家按下ESC鍵退出全屏幕模式,便會顯示出真實網址,而假網址列上的網址是不能夠更改,使用任何瀏覽器也會顯示Chrome的外觀,也不能夠在手機上瀏覽。HKCERT已經聯絡相關服務供應商移除網站,但相信這類假冒成瀏覽器的釣魚攻擊會持續演變,筆者已將保安建議總結至文末幫助用戶防範。
誤植域名
另一種方式叫誤植域名(Typosquatting),也稱作URL劫持,假URL等,是一種搶先注冊域名的方法,常常會導致品牌的域名被劫持然後建立釣魚網站。
攻擊方式
例子
有趣分享
保安建議
前面提過網絡釣魚通常有兩個元素,第一是釣魚訊息,第二是要誘導受害人進入釣魚網站,所以要分辦可從這兩個元素入手:
釣魚訊息特徵:
分辦釣魚網站:
網站連結:
網站內容:
公司方面主要防範黑客偽冒公司的電郵,可從公司電郵域名的網域名稱系統(DNS)着手:
最後,筆者在此呼籲,如果大家遇到資訊保安相關的事故,如惡意程式、網絡釣魚、阻斷服務攻擊等,可透過以下網上表格向HKCERT報告事故:https://www.hkcert.org/zh/incident-reporting
Our Services
Community
Support & Resource
HKPC Spotlights
HKPC Academy
COPYRIGHT© Hong Kong Productivity Council
FOLLOW US
SUBSCRIBE TO OUR NEWSLETTERS
Share the latest information of HKPC to your inbox
SIGNUP NOW