小心提防快閃釣魚攻擊
香港電腦保安事故協調中心(HKCERT)今年首季平均每月處理超過三百宗釣魚攻擊,較去年同期上升約三成。除攻擊數字增加外,HKCERT亦留意到黑客有新的攻擊手法,部份會使用偽冒域名魚目混珠,以騙取受害人資料作財務欺詐。本文將分析HKCERT近期發現的釣魚攻擊手法及其傳播方式,以提升公眾對這類攻擊的保安意識。
快閃釣魚攻擊
快閃釣魚攻擊是利用偽冒域名進行的詐騙行動。黑客會持續用目標機構的名稱注冊不同的域名並建立釣魚網站,然後透過不同的渠道 (例如:電郵、短訊及即時訊息) 向受害人發送釣魚訊息及連結,攻擊會於數天後完結,之後黑客便會註銷行動中所使用過的域名,並重新注冊新一批,對目標機構及其他受害人進行另一輪攻擊。這種手法的特點是在每一輪的攻擊中,涉事的釣魚網站維持在線的時間非常短,所以當被通報時,該網站已不存在,相信黑客的策略是為了躲避追查,以及防止被列入黑名單。
常見的偽冒域名有三類,以下用HKCERT域名 www.hkcert.org 作例子作示範
- 於真實域名後附加隨機字符 ;
- 例子: www.hkcertaa.org, www.hkcertab.org 或 www.hkcert00.org, www.hkcert01.org
- 以類似字符取代真實域名中的原有字符,或重複原有字符 ;
- 例子: www.hkcevt.org 或 www.hkcertt.org
- 使用其他頂級域名 。
- 例子: www.hkcert.cc, www.hkcert.site, www.hkcert.info
這些偽冒域名非常近似真實網站的域名,其目的為誤導公眾,用戶上網時必須提高警覺。
使用 HTTPS 的釣魚網站
今時今日使用 HTTPS 協定的網站只是代表該網站的資料通訊有加密,但並不代表該網站一定是真實可信的。現時網上已有提供免費數碼證書服務的供應商(例如Let’s Encrypt),黑客會濫用這類服務去為釣魚網站安裝證書及執行 HTTPS。使用 HTTPS 的釣魚網站數量持續上升,根據今年第一季度的香港保安觀察報告,有關網站的比例已超過8成,這個上升趨勢亦與最新一期的反網路釣魚工作小組(APWG)報告脗合。
傳播方式
黑客可透過不同渠道進行釣魚攻擊,例如:電郵、短訊及即時通訊軟件等。 由於流動裝置非常普及,預計透過短訊及即時通訊軟件進行的釣魚攻擊將會更頻密,用戶要小心核實訊息,切勿隨意打開任何連結或附件,提供資料前亦要三思,並應先確定網站真偽,避免成為釣魚攻擊的受害者。
總結
釣魚攻擊日新月異,為避免成為受害者,不慎洩露個人資料,甚至招致財務損失,HKCERT提醒用戶務必提高警覺,並採取以下保安建議應對釣魚攻擊:
- 留意網址的英文串法,小心檢查有否錯誤或可疑之處;
- 切勿假設使用HTTPS 協定的網站一定是真實可信網站,釣魚網站亦可使用 HTTPS 協定;
- 小心核實接收到的任何訊息,尤其是使用流動裝置的用戶;
- 不要隨意打開任何連結或附件,並於提供個人資料前三思,先核實該網站真偽。
相關標籤
分享至