資訊保安隨筆 - 網絡危機處處　切勿「釣」以輕心　常見攻擊全面睇

網絡釣魚攻擊層出不窮，香港電腦保安事故協調中心（HKCERT）在2021年就處理了3,737宗釣魚攻擊，當中超過7成個案涉及網上銀行或網上購物。截至今年3月，HKCERT已經處理超過600宗釣魚攻擊，其中有近120宗與銀行相關。

想防範不法分子的攻擊，大家就要了解騙徒的手法。

網絡釣魚類型

網絡釣魚是一種「騙人把戲」式的網絡攻擊，叫做「釣魚」就是因有「願者上釣」的意思，黑客會利用人的貪心、好奇、怕「蝕底」或害怕等情緒來編作故事或借口，以引誘或威嚇手段去要求受害人提供敏感資料或金錢，甚至下載惡意軟件來入侵電腦或網絡，構成更嚴重的影響。一般以訊息形式發送至受害者，並可分為以下的類型：

漁翁撒網型：無特定目標，只同時向大量用戶發送內容相同的電郵或短訊，訊息內容通常比較貼近時事或日常生活接觸到的事情，例子有抽獎，送優惠劵，物流公司或郵局送件失敗等訊息，並附帶假網站連結來偷取受害人輸入的敏感資料。

特定目標型（又稱魚叉式網路釣魚）：黑客會先了解受害人的資料，如工作職位或喜好等，然後精心設計訊息內容及傳送手法，以博取信任來增加騙局成功的機會。攻擊對象通常是機構職員，例如未熟悉機構運作的新員工或管理財務的員工，甚至是高級行政人員。

商業電郵騙案：利用被入侵的企業內部電子郵箱向員工發送釣魚訊息。由於由內部發送，員工們容易誤信為真，會按照訊息上的指示行動，例如把機密資料上傳到黑客伺服器或轉帳至黑客戶口等。

以往網絡釣魚的第一步都是以電郵或短訊（SMS）方式，並附帶假網站連結來發送給受害人，然後要求輸入敏感資料。但隨着人與人交流方式的變化，黑客亦會利用即時通訊軟件、社交平台、視像軟件、甚至二維碼（QR code）等方式發送此類假網站連結，以求受害人掉以輕心受騙。

隱藏網址混淆視聽　偽冒網站以假亂真

近日，HKCERT就收到一宗涉及假冒香港警察網站的釣魚攻擊。進入網站後，網址、標誌等與真實的香港警察網站無異，而內容則指用家瀏覽太多色情網站，要求要以信用卡繳交罰款，否則就會刪除裝置內的所有資料。事實上，這個假冒網站是近期再次興起的Browser in the Browser（BitB）攻擊，用戶看到的網址、工具列、索引標籤均是黑客使用JPG方式製作，當瀏覽器進入全屏幕模式時，真正的網址列會被隱藏，假冒網站的外觀與真實網站非常相似。

近日，HKCERT處理了一宗涉及假冒香港警察網站的BitB攻擊。

上述的釣魚網站，用家按下ESC鍵退出全屏幕模式，便會顯示出真實網址，而假網址列上的網址是不能夠更改，使用任何瀏覽器也會顯示Chrome的外觀，也不能夠在手機上瀏覽。HKCERT已經聯絡相關服務供應商移除網站，但相信這類假冒成瀏覽器的釣魚攻擊會持續演變，筆者已將保安建議總結至文末幫助用戶防範。

誤植域名

另一種方式叫誤植域名（Typosquatting），也稱作URL劫持，假URL等，是一種搶先注冊域名的方法，常常會導致品牌的域名被劫持然後建立釣魚網站。

攻擊方式

• 黑客或騙徒會推算用戶打字習慣來搶先註冊與知名域名非常相似的域名，例如鍵盤「C」同「V」距離相近，容易把「C」按錯成「V」，如hkcert.org會誤輸入成hkvert.org
• 用戶在瀏覽器輸入網站時，誤按瀏覽器提示的網站，繼而進入釣魚網站。更壞的情況是用戶每次誤按都會為網站帶來流量，有機會誤令瀏覽器認為這些是熱門網站，從而推廣令更多受害者進入網站

例子

• 相似文字符號：hkcert.org被誤植為hkcerts.org、certhk.org
• 文法差距：color.com vs colour.com
• 在域名加插符號：hkcert.org被誤植為hk-cert.org、hk_cert.org
• 錯誤頂級域名把：hkcert.org頂級域名換成其他頂級域名 hkcert.com、hkcert.hk、hkcert.net

有趣分享

• Meta（Facebook母公司）為了防止用戶把facebook.com輸入成favebook.com，早已註冊了 favebook.com域名，並會將錯誤進入favebook.com的用戶重新導向到facebook.com

保安建議

前面提過網絡釣魚通常有兩個元素，第一是釣魚訊息，第二是要誘導受害人進入釣魚網站，所以要分辦可從這兩個元素入手：

釣魚訊息特徵：

• 不是由官方渠道發送，例如非公司電郵地址
• 內容包含有緊急字句或限期日之類的字眼，要求即時採取行動，例如要求緊急付款但理由含糊不清 • 內容語法奇怪或錯誤
• 沒有指明收件者名稱或稱呼
• 附有可疑的附件並引誘收件者儘快打開
  • 請切勿隨便打開文件，因這可能是電腦病毒

分辦釣魚網站：

網站連結：

• 點擊任何連結前必須考慮傳送者是否可信
• 檢查網站連結的拼寫是否正確及反映機構性質，因為假冒網站不能夠使用該機構的官方網址，例如hkcert.com不會是HKCERT的官方網址，因為
  • 官方網址hkcert.org由HKCERT持有及管理，黑客不能挪用
  • HKCERT 並不是商業公司，所以網址不會是 .com

網站內容：

• 當網站要求你輸入如登入密碼、一次性密碼、身份證號碼或信用卡號碼等個人或敏感資料時要多加留意
• 如發現網站的內容過時，外觀異常，或部份頁面未能正常顯示，這有可能是黑客架設的假網站
• 大部份瀏覽器都有基本保安功能，如瀏覽器顯示保安警告訊息，切勿進入網站
• 如有任何懷疑，即致電相關機構查詢

公司方面主要防範黑客偽冒公司的電郵，可從公司電郵域名的網域名稱系統（DNS）着手：

• 加進發件人策略框架（Sender Policy Framework）記錄，列出合法的寄件伺服器，令收件人可核實電郵來源
• 加進域名金鑰辨識郵件（DomainKeys Identified Mail）記錄，用以在每封發出的電郵內產生一個數碼簽署，令收件人可核實電郵真偽

最後，筆者在此呼籲，如果大家遇到資訊保安相關的事故，如惡意程式、網絡釣魚、阻斷服務攻擊等，可透過以下網上表格向HKCERT報告事故：https://www.hkcert.org/zh/incident-reporting