釣魚郵件新技倆,透過假的驗證動作取信被駭者 2017-08-22

一般用來釣取使用者 E-mail 帳號密碼的釣魚郵件,並沒有真正的帳號密碼資料庫可驗證,因此,只要資安意識稍高使用者懂得在第一次輸入假的帳號密碼就可拆穿其釣魚技倆。但是,駭客似乎也察覺了使用者的驗證招數。

近日,中華數位與 ASRC 研究中心發現一種釣魚郵件樣本,猜到了使用者的心理,設法巧妙的躲避使用者的第一次假動作。

ASRC 研究人員在這封釣魚郵件攻擊連結更動了尾端的電子郵件位址,頁面及變動為要求輸入該電子郵件位址的密碼;當研究人員隨便輸入一串假的密碼後,頁面居然顯示密碼錯誤,要求重新輸入。難道,這是一個真的網頁?或者對方掌握了真的密碼而可以識別出這是假的密碼?

圖1. 於釣魚網頁隨意輸入不存在的帳號密碼



圖2. 要求使用者重試



圖3.跳出頁面,要求再次輸入帳號密碼


這時跳出了另一個密碼輸入的頁面,不僅要求輸入密碼,還要求再次輸入以確認密碼的正確性。ASRC 研究人員再嘗試輸入一次和剛才一樣的假密碼,這時不論密碼是對是錯,畫面都會顯示驗證成功,正在準備下載檔案。

圖4. 密碼驗證成功,正在下載檔案


實際上,並不會有任何檔案被下載,而是直接跳轉回Google的搜尋頁面,但是剛才輸入的帳號密碼,已被駭客記錄下來!

駭客透過上述假驗證動作,除了可以這樣的方法混淆試圖以第一次錯誤密碼驗證釣魚網站的受害者外外,同時也提高受害者輸入的密碼準確度。正所謂道高一尺,魔高一丈!,呼籲企業應提高警覺,隨時更新並教育使用者的資安知識,並且建置安全有效的郵件過濾設備,提供電子郵件使用者一個可信賴的安全環境。

上一則 回到列表   下一則