難分真與假 官網上造假騙取帳戶登入資料

難分真與假 官網上造假騙取帳戶登入資料

2020-09-14 Off By Genki

要分辨瀏覽中的是否虛假網站,一般都會憑網站上的圖像、版面設計、字句等因素去分析,不過最新的虛假網站技術,卻會在原來的官方網站上造假,稍一不慎,便不填上個人帳戶登入資料,非常危險!

網絡安全服務供應商Cofense最新發表的網誌,便講解了這種新的攻擊技術。內容指專家發現黑客會以公司內的IT部門員工,向同事發出釣魚電郵,內容是因公司懷疑同事的電郵被入侵,所以正隔離了他們的郵箱,並指令在時限內重新登入帳戶,否則將刪除內裏所有郵件,增加點擊郵件內連結的迫切性。當受害者信以為真,就會被引導至相關帳戶的官網版面,例如所採用的為Microsoft Outlook或Google Gmail電郵,出現的網站便會有分別。而這次攻擊的重點在於,黑客會引導受害者去到相關電郵服務的官方網站,但就會在版面上添加一層(overlay)登入資料輸入欄,同時預先填上受害者的電郵資料,僅餘下密碼輸入部分。由於網站沒有造假,而且又好像預先填上個人電郵資料,便會令受害者產以錯覺,相信自己正在訪問官方網站,繼而填入密碼。安全專家指出,這種攻擊手法並不算新鮮,因為以為也經常用於Android系統上,專門用來偷取銀行帳戶登入資料,但現時便轉變了攻擊渠道。

專家又指出,由於這種釣魚電郵暫時均使用同一IP位址,要阻擋並不困難,一般的電郵防護系統在收到相關的攻擊資料後,都可成功攔截,但如沒有採用基本的防護服務,便能直達郵箱,增加被點擊的風險。

詳情:https://bit.ly/2GPv04O