網路釣魚(Phishing)是要釣什麼?

釣魚要用什麼餌?

最近除了大家的 WordPress 網站被暴力攻擊之外,今天更有台灣一家免費主機商整台主機的 WordPress 被駭客入侵,而正好今天的 iThome 又翻譯了前幾天國外的一篇關於網路釣魚行為的調查報告:網釣攻擊瞄準主機代管中心

這些狀況在高登看起來都是預料中的事,因為早在一個月前高登就曾經收到這樣的一封電子郵件:

網路釣魚(Phishing)是要釣什麼?

這是一家捷克的網路行銷公司,說想要在我網站上放廣告,而且最多可能每個月會有美金$750元的收入!!!

我一看就知道這是網路釣魚(Phishing Attack)的郵件,而且這是有針對性的魚叉式 Spear Fhishing,至於什麼是魚叉式網路釣魚我們等一下再來談

我就先按照電子郵件的連結給他點下去(當然是用一台沒有任何帳號登入的虛擬電腦來點)

果不其然出現了要執行 Java 程式的警告

網路釣魚(Phishing)是要釣什麼?

這應該讓你聯想到我從去年中就一直在呼籲的:Java程式驚傳漏洞 請暫時移除或禁用Java 這件事

由於我跟 Java 不是很熟,所以就請專家來鑑定一下,首先請到的是

網路釣魚(Phishing)是要釣什麼?

沒有發現任何問題!

那再用另外一個網站

網路釣魚(Phishing)是要釣什麼?

很神奇地就算是一個月後的今天,兩個檢查網站的工具依然說這個連結是 OK 的(才怪!)

至於為什麼會這樣請你繼續看下去...

魚叉式網路釣魚 Spear Phishing

其實我對這個「魚叉式網路釣魚」的中文翻譯是很有意見的,因為 Phighing 是指「抓魚」而我們常說的「釣魚」只是其中的一個方法

而其他的「抓魚」方法還包括「魚叉叉魚」「結網捕魚」...

所以 Spear Phishing 正確的翻譯應該是「網路叉魚」才對!至於它的定義我們就看看維基百科:魚叉式網路釣魚

魚叉式網路釣魚(Spear phishing)指一種源於亞洲與東歐,只針對特定目標進行攻擊的網路釣魚攻擊。當進行攻擊的駭客鎖定目標後,會以電子郵件的方式,假冒該公司或組織的名義寄發難以辨真偽之檔案,誘使員工進一步登錄其帳號密碼,使攻擊者可以以此藉機安裝特洛伊木馬或其他間諜軟體,竊取機密;或於員工時常瀏覽之網頁中置入病毒自動下載器,並持續更新受感染系統內之變種病毒,使使用者窮於應付。

大家應該看懂了吧?

一般的網路釣魚沒有特定的目標,也就是大家說的亂槍打鳥,但是魚叉式網路釣魚卻事先知道你是誰(請記住我在明敵在暗),所以這樣的網路釣(叉)魚的命中率會高許多

這有點類似大家日常都會接到的電話行銷有分兩類:

  1. 您好!我們這裡有某某未上市股票,不知道您有沒興趣:這是亂槍打鳥
  2. 王先生!我們是某某電話公司,您的手機合約快到期了,我們針對舊客戶續約有特別的優惠:你是他們的口袋名單(個資法伺候)

這樣子搞懂釣魚跟叉魚的區別了嗎?

而我為什麼一接到這封信就判定這是網路釣魚信件呢?請看一下信件的來源:

這從由 Gordon's SEO http://gordon168.com 使用聯絡表單所發送的郵件

歹勢!那個站每天的訪客才個位數而已,不值那個錢啦!但是為什麼會找上我那個站呢?因為我的主機都是用這個站的子網址架的,這也就是文章開頭 iThome 在說的:網釣攻擊瞄準主機代管中心這件事,所以你說我看到這樣的報導會覺得意外嗎?

那連結到底有沒有毒(木馬)?

我想很多人看到這裡頭上還是一大堆 ???

那信件中的那個連結點下去,執行 Java 就會中獎了嗎?不一定!

因為可能會有兩個模式:

  • 那個連結的 Java 程式就是很高桿的毒,目前大部份的防毒都查不到(不然你以為之前 Apple, Facebook, 微軟他們那些中招的工程師都是肉腳嗎?)
  • 連結沒問題,他們只是要你註冊,而如果你又是那種一組密碼闖天下的人,那你就是把密碼免費奉送給他們了,就算是你的密碼不一樣,他們還是會用盡各種方法來套你的密碼

而最後這一項又是另一個叫「社交工程」(Social Engineering)的網路犯罪手法,我們有機會再談

6 則留言

  1. 網路釣魚與駭客防不勝防
    還好小咪平時除了新聞及固定幾個部落格之外
    上網瀏覽的次數也不多
    加上平時用chrome瀏覽器
    偵測到瀏覽網站可能有害時會發出即時警告
    或許也因此減少了受害的機會!~

  2. 一般人防止網路釣魚的方法也很簡單,不要貪小便宜,以及仔細辨別網址,實在辨別不出,那就用系統的語音功能來幫你辨別,Vista以上版本的作業系統都有語音功能,讓它讀一讀就能抓出鑽牛角尖的壞蛋了,比如用數字“1”代替英文“l”。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料