跳转到主要内容

资讯保安随笔 - 网络危机处处 切勿「钓」以轻心 常见攻击全面睇

网络钓鱼攻击层出不穷,香港电脑保安事故协调中心(HKCERT)在2021年就处理了3,737宗钓鱼攻击,当中超过7成个案涉及网上银行或网上购物。截至今年3月,HKCERT已经处理超过600宗钓鱼攻击,其中有近120宗与银行相关。

想防范不法分子的攻击,大家就要了解骗徒的手法。

网络钓鱼类型

网络钓鱼是一种「骗人把戏」式的网络攻击,叫做「钓鱼」就是因有「愿者上钓」的意思,黑客会利用人的贪心、好奇、怕「蚀底」或害怕等情绪来编作故事或借口,以引诱或威吓手段去要求受害人提供敏感资料或金钱,甚至下载恶意软件来入侵电脑或网络,构成更严重的影响。一般以讯息形式发送至受害者,并可分为以下的类型:

渔翁撒网型:无特定目标,只同时向大量用户发送内容相同的电邮或短讯,讯息内容通常比较贴近时事或日常生活接触到的事情,例子有抽奖,送优惠劵,物流公司或邮局送件失败等讯息,并附带假网站连结来偷取受害人输入的敏感资料。

特定目标型(又称鱼叉式网路钓鱼):黑客会先了解受害人的资料,如工作职位或喜好等,然后精心设计讯息内容及传送手法,以博取信任来增加骗局成功的机会。攻击对象通常是机构职员,例如未熟悉机构运作的新员工或管理财务的员工,甚至是高级行政人员。

商业电邮骗案:利用被入侵的企业内部电子邮箱向员工发送钓鱼讯息。由于由内部发送,员工们容易误信为真,会按照讯息上的指示行动,例如把机密资料上传到黑客伺服器或转帐至黑客户口等。

以往网络钓鱼的第一步都是以电邮或短讯(SMS)方式,并附带假网站连结来发送给受害人,然后要求输入敏感资料。但随着人与人交流方式的变化,黑客亦会利用即时通讯软件、社交平台、视像软件、甚至二维码(QR code)等方式发送此类假网站连结,以求受害人掉以轻心受骗。

隐藏网址混淆视听 伪冒网站以假乱真

近日,HKCERT就收到一宗涉及假冒香港警察网站的钓鱼攻击。进入网站后,网址、标志等与真实的香港警察网站无异,而内容则指用家浏览太多色情网站,要求要以信用卡缴交罚款,否则就会删除装置内的所有资料。事实上,这个假冒网站是近期再次兴起的Browser in the Browser(BitB)攻击,用户看到的网址、工具列、索引标籤均是黑客使用JPG方式制作,当浏览器进入全屏幕模式时,真正的网址列会被隐藏,假冒网站的外观与真实网站非常相似。

近日,HKCERT处理了一宗涉及假冒香港警察网站的BitB攻击。近日,HKCERT处理了一宗涉及假冒香港警察网站的BitB攻击。

上述的钓鱼网站,用家按下ESC键退出全屏幕模式,便会显示出真实网址,而假网址列上的网址是不能够更改,使用任何浏览器也会显示Chrome的外观,也不能够在手机上浏览。HKCERT已经联络相关服务供应商移除网站,但相信这类假冒成浏览器的钓鱼攻击会持续演变,笔者已将保安建议总结至文末帮助用户防范。

误植域名

另一种方式叫误植域名(Typosquatting),也称作URL劫持,假URL等,是一种抢先注册域名的方法,常常会导致品牌的域名被劫持然后建立钓鱼网站。

攻击方式

  • 黑客或骗徒会推算用户打字习惯来抢先註册与知名域名非常相似的域名,例如键盘「C」同「V」距离相近,容易把「C」按错成「V」,如hkcert.org会误输入成hkvert.org
  • 用户在浏览器输入网站时,误按浏览器提示的网站,继而进入钓鱼网站。更坏的情况是用户每次误按都会为网站带来流量,有机会误令浏览器认为这些是热门网站,从而推广令更多受害者进入网站

例子

  • 相似文字符号:hkcert.org被误植为hkcerts.org、certhk.org
  • 文法差距:color.com vs colour.com
  • 在域名加插符号:hkcert.org被误植为hk-cert.org、hk_cert.org
  • 错误顶级域名把:hkcert.org顶级域名换成其他顶级域名 hkcert.com、hkcert.hk、hkcert.net

有趣分享

  • Meta(Facebook母公司)为了防止用户把facebook.com输入成favebook.com,早已註册了 favebook.com域名,并会将错误进入favebook.com的用户重新导向到facebook.com

保安建议

前面提过网络钓鱼通常有两个元素,第一是钓鱼讯息,第二是要诱导受害人进入钓鱼网站,所以要分办可从这两个元素入手:

钓鱼讯息特徵:

  • 不是由官方渠道发送,例如非公司电邮地址
  • 内容包含有紧急字句或限期日之类的字眼,要求即时採取行动,例如要求紧急付款但理由含煳不清 • 内容语法奇怪或错误
  • 没有指明收件者名称或称唿
  • 附有可疑的附件并引诱收件者尽快打开
    • 请切勿随便打开文件,因这可能是电脑病毒

分办钓鱼网站:

网站连结:

  • 点击任何连结前必须考虑传送者是否可信
  • 检查网站连结的拼写是否正确及反映机构性质,因为假冒网站不能够使用该机构的官方网址,例如hkcert.com不会是HKCERT的官方网址,因为
    • 官方网址hkcert.org由HKCERT持有及管理,黑客不能挪用
    • HKCERT 并不是商业公司,所以网址不会是 .com

网站内容:

  • 当网站要求你输入如登入密码、一次性密码、身份证号码或信用卡号码等个人或敏感资料时要多加留意
  • 如发现网站的内容过时,外观异常,或部份页面未能正常显示,这有可能是黑客架设的假网站
  • 大部份浏览器都有基本保安功能,如浏览器显示保安警告讯息,切勿进入网站
  • 如有任何怀疑,即致电相关机构查询

公司方面主要防范黑客伪冒公司的电邮,可从公司电邮域名的网域名称系统(DNS)着手:

  • 加进发件人策略框架(Sender Policy Framework)记录,列出合法的寄件伺服器,令收件人可核实电邮来源
  • 加进域名金钥辨识邮件(DomainKeys Identified Mail)记录,用以在每封发出的电邮内产生一个数码签署,令收件人可核实电邮真伪

最后,笔者在此唿吁,如果大家遇到资讯保安相关的事故,如恶意程式、网络钓鱼、阻断服务攻击等,可透过以下网上表格向HKCERT报告事故:https://www.hkcert.org/zh/incident-reporting