將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/8/29

釣魚郵件新技倆,透過假的驗證動作取信被駭者

王智仁
一般用來釣取使用者 E-mail 帳號密碼的釣魚郵件,並沒有真正的帳號密碼資料庫可驗證,因此,只要資安意識稍高使用者懂得在第一次輸入假的帳號密碼就可拆穿其釣魚技倆。但是,駭客似乎也察覺了使用者的驗證招數。
中華數位(Softnext)與 ASRC垃圾訊息研究中心(Asia Spam-message Research Center)發現一種釣魚郵件樣本,猜到了使用者的心理,設法巧妙的躲避使用者的第一次假動作。 

ASRC 研究人員在這封釣魚郵件攻擊連結更動了尾端的電子郵件位址,頁面及變動為要求輸入該電子郵件位址的密碼;當研究人員隨便輸入一串假的密碼後,頁面居然顯示密碼錯誤,要求重新輸入。難道,這是一個真的網頁?或者對方掌握了真的密碼而可以識別出這是假的密碼? 

接下來,跳出了另一個密碼輸入的頁面,不僅要求輸入密碼,還要求再次輸入以確認密碼的正確性。ASRC 研究人員再嘗試輸入一次和剛才一樣的假密碼,這時不論密碼是對是錯,畫面都會顯示驗證成功,正在準備下載檔案。實際上,並不會有任何檔案被下載,但是剛才輸入的帳號密碼,已被駭客記錄下來! 

駭客透過上述假驗證動作,除了可以這樣的方法混淆試圖以第一次錯誤密碼驗證釣魚網站的受害者外外,同時也提高受害者輸入的密碼準確度。正所謂道高一尺,魔高一丈!,呼籲企業應提高警覺,隨時更新並教育使用者的資安知識,並且建置安全有效的郵件過濾設備,提供電子郵件使用者一個可信賴的安全環境。 

這篇文章讓你覺得滿意不滿意
送出
相關文章
ATM遭駭─可能因不慎開啟釣魚郵件導致8000多萬遭盜領?
中華數位推出滲透攻擊解決方案,提供前中後三階段防禦
企業高階主管洩密事件頻傳,IT如何導入必要資安工具
避免成為駭客傀儡,SPAM SQR Outbound郵件過濾,攔截暗藏威脅的外寄郵件
科技業營業秘密防禦之道研討會 1/29跨界領域專家深入剖析
留言
顯示暱稱:
留言內容:
送出