网络钓鱼攻击层出不穷,香港电脑保安事故协调中心(HKCERT)在2021年就处理了3,737宗钓鱼攻击,当中超过7成个案涉及网上银行或网上购物。截至今年3月,HKCERT已经处理超过600宗钓鱼攻击,其中有近120宗与银行相关。
想防范不法分子的攻击,大家就要了解骗徒的手法。
网络钓鱼类型
网络钓鱼是一种「骗人把戏」式的网络攻击,叫做「钓鱼」就是因有「愿者上钓」的意思,黑客会利用人的贪心、好奇、怕「蚀底」或害怕等情绪来编作故事或借口,以引诱或威吓手段去要求受害人提供敏感资料或金钱,甚至下载恶意软件来入侵电脑或网络,构成更严重的影响。一般以讯息形式发送至受害者,并可分为以下的类型:
渔翁撒网型:无特定目标,只同时向大量用户发送内容相同的电邮或短讯,讯息内容通常比较贴近时事或日常生活接触到的事情,例子有抽奖,送优惠劵,物流公司或邮局送件失败等讯息,并附带假网站连结来偷取受害人输入的敏感资料。
特定目标型(又称鱼叉式网路钓鱼):黑客会先了解受害人的资料,如工作职位或喜好等,然后精心设计讯息内容及传送手法,以博取信任来增加骗局成功的机会。攻击对象通常是机构职员,例如未熟悉机构运作的新员工或管理财务的员工,甚至是高级行政人员。
商业电邮骗案:利用被入侵的企业内部电子邮箱向员工发送钓鱼讯息。由于由内部发送,员工们容易误信为真,会按照讯息上的指示行动,例如把机密资料上传到黑客伺服器或转帐至黑客户口等。
以往网络钓鱼的第一步都是以电邮或短讯(SMS)方式,并附带假网站连结来发送给受害人,然后要求输入敏感资料。但随着人与人交流方式的变化,黑客亦会利用即时通讯软件、社交平台、视像软件、甚至二维码(QR code)等方式发送此类假网站连结,以求受害人掉以轻心受骗。
隐藏网址混淆视听 伪冒网站以假乱真
近日,HKCERT就收到一宗涉及假冒香港警察网站的钓鱼攻击。进入网站后,网址、标志等与真实的香港警察网站无异,而内容则指用家浏览太多色情网站,要求要以信用卡缴交罚款,否则就会删除装置内的所有资料。事实上,这个假冒网站是近期再次兴起的Browser in the Browser(BitB)攻击,用户看到的网址、工具列、索引标籤均是黑客使用JPG方式制作,当浏览器进入全屏幕模式时,真正的网址列会被隐藏,假冒网站的外观与真实网站非常相似。
上述的钓鱼网站,用家按下ESC键退出全屏幕模式,便会显示出真实网址,而假网址列上的网址是不能够更改,使用任何浏览器也会显示Chrome的外观,也不能够在手机上浏览。HKCERT已经联络相关服务供应商移除网站,但相信这类假冒成浏览器的钓鱼攻击会持续演变,笔者已将保安建议总结至文末帮助用户防范。
误植域名
另一种方式叫误植域名(Typosquatting),也称作URL劫持,假URL等,是一种抢先注册域名的方法,常常会导致品牌的域名被劫持然后建立钓鱼网站。
攻击方式
例子
有趣分享
保安建议
前面提过网络钓鱼通常有两个元素,第一是钓鱼讯息,第二是要诱导受害人进入钓鱼网站,所以要分办可从这两个元素入手:
钓鱼讯息特徵:
分办钓鱼网站:
网站连结:
网站内容:
公司方面主要防范黑客伪冒公司的电邮,可从公司电邮域名的网域名称系统(DNS)着手:
最后,笔者在此唿吁,如果大家遇到资讯保安相关的事故,如恶意程式、网络钓鱼、阻断服务攻击等,可透过以下网上表格向HKCERT报告事故:https://www.hkcert.org/zh/incident-reporting
© 香港生产力促进局 版权所有,不得转载
紧贴我们
订阅生产力局电子报
透过电邮取得本局的最新资讯
请即注册