新一代釣魚攻擊：不斷進化的網絡威脅

發佈日期: 2024年08月21日 1733 觀看次數

釣魚攻擊已經成為網絡犯罪活動的常見手段，但隨著技術的進步，不法分子所使用的方法也在不斷演變。截止2024年上半年，HKCERT一共處理5,462宗網絡保安事故，其中釣魚攻擊就佔3,369宗，佔整體個案超過一半。對比2023年下半年，更有67%的升幅，情況不容忽視。

由於釣魚攻擊技術門檻低，已經成為一種常見的網絡攻擊手段或起點，亦從過去一封簡單的電子郵件夾雜一條釣魚連結演變成多渠道多方向的複雜攻擊，使其變得更加複雜和難以防範。

HKCERT亦觀察到釣魚攻擊有所變化，例如不法分子會先使用隨機數字及字母組合來註冊釣魚連結來繞過域名偵測，再結合網址簡化令連結難以一眼被識別、又或者使用雲端平台來架構釣魚網站來延長網站移除時間。一些不法法子為逃避分析，釣魚網站會跟據瀏覽設備類型/作業系統來決定是否展示釣魚內容，例如如果使用桌上電腦連接釣魚網站，會被指向到官方網站。相反，若果使用移動設備進行連接，就會被連接接到釣魚網站。這大大增加了分析及檢測的複雜程度。

本篇文章將探討新一代釣魚攻擊的技術和防範措施。

新一代釣魚攻擊的技術

進階釣魚電郵

有網絡保安專家指出，有近90%的網絡攻擊是從一封電郵開始，當中就不乏釣魚電郵。傳統的釣魚電郵常常偽裝成來自合法來源，例如使用相似的域名、商標和設計風格，使電郵看起來真實可信。

另外，這些電郵通常使用緊急或誘導性的語氣，要求受害者立即打開電郵中的釣魚連結或惡意附件。為了防止這些電郵流入到用戶郵箱，企業及電郵服務供應商對電郵亦會採取過濾，例如攔截含有釣魚連結或惡意附件的電郵。

若果把釣魚連結直接放在電郵內容，電郵很容易就被攔截，因為連結很輕易被過濾出來進行檢查。相反，若果把連結以其他方式隱藏或加載，大大增加釣魚電郵的存活率。

釣魚電郵開始進化，例如把釣魚連結加載到二維碼（Quishing），然後經由電郵發送。另外，他亦提及把加載後的二維碼封裝到PDF或JPG文件，或加密含有惡意二維碼的文件，可以增加釣魚電郵的生存機會。

縱使現時已有方案把電郵中的二維碼進行檢查，但有研究指出黑客可透過更改二維碼圖片的背景顔色和錯誤比例取代以往使用完整二維碼的釣魚電郵，令相關電郵保安措施更難偵測當中的二維碼。

圖片：以上圖片由Green Radar Limited提供

另一種同電郵相關的新型網絡釣魚 – 複製網路釣魚（Clone Phishing），例如黑客透過複製帶有附件真實電郵，再假冒原始寄件者重新發送，但當中的連結或附件更換成釣魚連結或惡意程式。

多重轉跳

不法分子開始不再直接發送釣魚連結，而是發送一些他們即時通訊軟件頻道的連接，引導用戶到他們的頻道展開對話。由於這些連接都是合法，所以基本上是可以通過所有網絡安全措施。當在頻道展開對話時，他們就會發送惡意連結，誘導用戶按下連結。

深偽詐騙(Deepfake Scams)

隨著人工智能的迅速發展，深偽技術開始進入「平民化」，互聯網亦出現網上平台讓用戶體驗深偽技術，解決了高運算力的要求，而且所需的訓練素材亦因應技術成熟而減少。

外國一項調查報告，Egress-Email Security Risk 2024，有63%受訪的資訊安全從業員非常擔憂深偽技術帶來的網絡攻擊。為應對攻擊，互聯網出現深偽檢測工具，當中不乏由大型網絡安全供應商開發。一項外國研究指出由人工智能生成的合成照都會殘留人眼看不見的獨特痕跡。透過偵測這些痕跡，可以判別圖片是否由人工智能生成。同時，研究亦指出痕跡會因應人工智能模型有所差異，導致偵測工具難以對所有模型都有效用。

深偽技術亦為社交平台帶來困擾，因為深偽可以生成逼真的音頻及視訊內容，阻礙我們對網絡資訊的判斷。現時社交平台Meta、抖音及小紅書紛紛利用AI來標記由AI生成的內容來提醒用戶。

HKCERT過去亦刊登過多篇文章分析深偽的保安風險，提及過深偽技術、過往發生的真實例子，以及預防的建議。詳情請參閱文章「人工智能武器化：網絡安全新領域」、「深度偽造：有圖未必有真相」及「人工智能與網絡保安」。

釣魚攻擊結及搜尋引擎行銷（Search Engine Marketing，簡稱SEM）

搜尋引擎行銷的原意是透過向搜尋引擎支付廣告費用，讓網站可以在相關的搜尋查詢獲得更佳的搜尋結果，而搜尋結果往往高於自然搜尋結果 (Organic Search)。例如，在Google進行搜尋時，會先出現廣告 (網站被標示為贊助)，接著才出現自然搜尋結果。不幸的是，不法分子亦利用搜尋引擎行銷為釣魚網站爭取更佳搜尋結果排名。

2023年，即時通訊軟件平台WhatsApp網頁版被人假冒，並利用搜尋引擎行銷成功置頂。當有人使用” WhatsApp網頁版” 等關鍵字，就會搜尋到相關假冒網站。當時有不少香港市民因此WhatsApp帳號被騎劫。

2024年1月，一間知名Pizza餐廳網站被同樣手法假冒，有市民被盜用信用卡。

圖片：星島

社交平台上的釣魚攻擊

HKCERT亦發現釣魚攻擊開始延伸到去社交平台，假冒公司專頁，例如2023年一間旅行社公司Facebook專頁被多次假冒。HKCERT在「在節慶期間採取網絡保安最佳實踐」文章中提出過幾點假冒專頁的特徵:

公司商標（Logo）或圖片不清晰：大多數黑客所選用的圖片都是截圖取得或從其他網頁盜取，並非使用原圖，所以像素較低。另外，可以使用谷歌圖片搜尋來搜尋是否在其他網站上找到了類似的照片。
聯絡資訊不詳細：專頁所顯示的聯絡資訊並不詳細，或會以個人電郵或電話作聯絡方式。
管理人員所在地在國外：市民可透過專頁上的「關於」 > 「專頁透明度」查詢相關管理人員的所在地，若一些管理人員的所在地與專頁所在地有出入，就要警剔該專頁的真偽。
專頁名稱是否經常更改以及建立時間：由於每次的詐騙手法不同，所以專頁會經常更改名稱，建立的時間亦很短暫。

圖片：市民可透過專頁的「關於」 > 「粉絲專頁透明度」查詢管理人員所在地及專頁建立時間

專頁內只有小量貼文：偽冒專頁內的貼文大多只有近期一至兩個月抄襲而來的貼文。
異常大量的讚好/留言：留意讚好／留言是否來自專頁目標群以外的國家及留言內容是否大致相同。

假冒客服

近期，WeChat微信「假冒客服」騙案升幅驚人。騙徒假冒WeChat通過短訊 (SMS) 聲稱你之前購買的保險期限已過，如果不取消將自動扣費。短訊附有一個「假冒客服」的網站連接或電話號碼，誘導你聯繫他們。

典型詐騙過程例子

收到短訊：短訊內容提到自動扣費，造成恐慌。
點擊鏈接：進入假冒網站，指示你聯繫在線客服。
撥打電話：點擊後自動撥打電話聯繫假冒客服。
增加可信性：假冒客服會指導你開啟微信App內的所謂「官方授權書」。
套取信息：假冒客服以取消續保為藉口，誘導你提供銀行或信用卡資料及密碼。
盜取資金：騙徒利用獲取的信息轉走賬戶存款或盜用信用卡。

WeChat「假冒客服」騙案不斷演變，衍生出不同的詐騙手法。有部分騙案更以WhatsApp、WeChat即時通訊或Cold Call進行類似詐騙，市民需要密切留意最新手法。

除了WeChat假冒客服，國外也發現有不法分子假冒Microsoft和Apple技術支援的詐騙案件。不法分子架設釣魚網站後，濫用 Google工具來制作假頁面，冒充一系列Google產品，再利用搜尋引擎廣告功能，將這些網站置頂。只要在搜尋引擎中搜索“google {產品名稱}”（例如：google Translate），這些網站就會出現在搜尋結果的前幾位。

當用戶點擊這些連結時，會被帶到一個看似google.com的頁面，但實際上這只是一張載有惡意連結的google.com頁面圖片。只要用戶點擊圖片，螢幕就會彈出一個提示電腦出現問題並要求用戶聯絡Microsoft或Apple技術支援的視窗，並進入全螢幕模式。一旦用戶聯絡假冒的技術支援，詐騙行動就開始了。