搜尋此網誌

2008年5月18日 星期日

你會是下一條大魚嗎? - 偽裝成Google AdSense的釣魚信件實例說明

釣魚攻擊 (Phishing) 簡單來說,就是假冒成你所信任的網站,對你進行詐欺的動作。釣魚攻擊的管道有很多,最常見的方式就是透過電子郵件 (E-mail)。此外透過即時通訊 (Instant Messaging)與電話也是可能的方式。釣魚攻擊已經成為近幾年主要的攻擊行為之一,對於攻擊者來說,效果也通常不錯。
因為釣魚攻擊主要透過網站(網路)透過進行詐欺的行為,因此有不少的產品針對這些特性希望提供避免使用者遭受釣魚攻擊的保護。但是儘管這類工具可以提供基本的保護,但是要完全防堵這類攻擊卻是不足的。
其中最主要的原因在於釣魚攻擊屬於社交工程 (Social Engineering) 的攻擊手法之一。社交工程的攻擊手法就是針對人性的弱點加以利用,以達到遂行者的目的。這部分的問題除了透過使用者自我警覺外,任何外界的機制都是很難有效預防的。除此之外就是網路上缺乏一般人夠容易使用並確認的認證機制,所以大家只能相信眼睛所看到資訊來判斷對方的身分。再加上網路的交易行為越來愈多樣化,除了透過瀏覽器外,可能也包含了其他的交易方式,更是加深了判斷與防堵的難度。

前幾天我收到一封自稱Google寄來的信件,因為我剛好正在申請Google的服務,剛看到標題時還以為應該是回覆的信件。正想要進一步觀看內容時就發現這是一封釣魚攻擊的信件,躲過了我成為釣魚者名單內下一條大魚。以下提供一些方式給大家參考 (請參見附圖):
1. 如果你的收信軟體有提供釣魚攻擊相關的提示,這是很重要的一個判斷依據。
2. 這封信的收件者是我們部門的別名,而不是我個人的信箱。除非有人故意惡作劇,不然應該不會用這個電子郵件去申請服務。
3. 打開信件完整標頭可以看到真正的回信電子郵件信箱與畫面顯示不同,而且該回信電子郵件信箱還是Google的競爭對手之一。
4. 信件傳送路徑同樣經由Google的競爭對手還有另外一家名稱怪異的公司。如果你對這個網域不熟悉,可以透過whois服務查出註冊該網域的公司名稱。其實還有其他信件標頭欄位可以看出部分端倪,不過因為這對於一般人來說並不容易判斷,而且效果也不是最直接,所以其他欄位有需要再參考即可。
5. 最重要的指標就是實際導向的網址。雖然畫面上顯示是adwords.google.com,但是實際上連結的是www.adwords.google.com.foii0ls.cn。如果你的收信軟體沒辦法像我使用的軟體在滑鼠移到連結上就顯示真正的路徑,你可以透過觀看原始碼的方式或是在點選後再次確認該網址是否正常。老實說,這個網址算是很差的偽裝。有些比較好的偽裝就是把英文的l改成數字1,或是把英文O改成數字0,企圖混淆使用者的眼睛。針對此問題一般的建議是不要使用電子郵件內的連結,而是透過自己平常使用的路徑當作入口再進入該項服務。

這個例子只是提供大家一個參考的方向。因為詐騙沒有一定的手法,而且技巧只會越來越先進與多樣化,所以最佳的保護方法還是提高自己的警覺性,以免成為別人網中的大魚。

沒有留言:

張貼留言

About