ASRC最新電郵安全觀察　釣魚郵件仍居攻擊大宗

在第三季，我們發現郵件內帶有惡意連結的情況較上一季增加了60%；垃圾郵件的大小與419scam的數量，與上一季相較都減少了30%左右，釣魚郵件是本季最主要的攻擊。以下是本季幾個特殊的樣本：

透過字元變換躲避偵測的釣魚郵件

在第三季，觀察到一個特別的釣魚郵件。這個釣魚郵件冒充了Amazon通知信，並且出現了一般釣魚郵件常見的特徵：顯示的連結與真實前往的連結不一致（圖1）。

特別的是，若是直接檢視這封釣魚郵件的原始檔，會發現有些字元顯示的樣子有種違和感（圖2），這是因為攻擊使用Unicode字元替換域名中的部分字元。

攻擊者也能對郵件內惡意連結中的域名做其他改變，例如將小寫字母切換為大寫字母，或塞入不可見字元等等，藉此繞過資料庫的比對判斷，而這樣的手法對於瀏覽器、收信軟體，都還是能夠解析為可被收件者點擊的惡意域名網址。

一個按鈕兩個釣魚連結

另外，也發現了一個奇怪的案例：一封偽冒Linkedin的釣魚郵件，在同一個按鈕中，潛藏了兩個釣魚連結。透過在按鈕上操作滑鼠移動，可以看見兩個超連結的切換。

這兩個超連結連往的是不同的伺服器，似乎都是被入侵的網站，而在其網站支系的某個目錄，藏有轉址程式碼，會將上鉤的受害人連往另一個被入侵的釣魚網址，例如hxxps://cendas.com.ar/wp-content/china/chinaserver-LINKEDIN/#(受害者以base64編碼的E-mail Address)，同時在一個按鈕設置兩個釣魚連結，可能是為了逃過封鎖，提高釣魚的成功機率，如圖3、圖4所示。

複合釣魚手段

接下來，這封偽冒繁體中文電商的詐騙郵件複合了多重技巧。先以社交工程的手段聲稱該電商無法驗證用戶的信用卡，可能造成用戶消費的困擾，接著明確顯示電商的超連結，但實際連線到遭入侵的釣魚網頁，這是釣魚郵件常見手段（圖5）。

檢視原始檔，發現攻擊者在郵件中藏入一張長寬為1的圖片，圖片來源為[[TRACKINGPIXEL]]，可能是攻擊者忘了將釣魚樣板定義的變數替換成追蹤連結（圖6）。但若此處被置入一個有效的追蹤連結，當用戶開啟這封郵件時，若沒有封鎖圖片，則會通知統計的主機記錄這封信的所有開信者訊息，包括時間、IP、MUA版本，並且讓攻擊者知道攻擊對象的防護狀態等等相關資料。

當受害者不察，連往釣魚網頁時，第一步將被騙取的是使用於電商的帳號密碼（圖7）。在這個階段，不論輸入的帳號密碼為何，都會被攻擊者記錄後，成功跳轉至下一個頁面；遭到盜取的帳號密碼，則可能用於後續其他的攻擊。

第二步是騙取信用卡的相關資料。在這個階段，受害者為了購物便利，可能會受騙新增信用卡。巧妙的是，在此頁面不論輸入任何信用卡資料，在送出後都會被攻擊者記錄，接著顯示「出現錯誤，請輸入卡號」的提示，並且清空信用卡資料的相關欄位，受害者可能在情急之下，換另一張卡輸入，有可能因此被連續竊取多張信用卡資料（圖8）。這個遭到入侵的釣魚網站，直至截稿前仍在運行。

留意遠端遙控、維護軟體的濫用情況

這一季也發現有攻擊者試圖以社交工程的方式，操控受害者安裝遠端遙控、維護軟體用於不明用途。首先，在郵件中完全未提及遠端遙控、維護軟體的資訊，巧妙地將遙控軟體放置於外部連結，躲避郵件掃描的檢測（圖9）。

當受害者下載遙控軟體壓縮檔後，攻擊者將遙控軟體的設定檔設定為隱藏檔（圖10）。因此，在Windows的預設情況下，解壓縮出來的檔案看起來只有一個遙控軟體。

查看設定檔的內容，就能發現這個設定檔並不單純（圖11），除了改變安裝軟體顯示的標題外，也將連接的IP、通訊埠都設定好了，在安裝完成後，也能在受害者無法察覺的情況下，遠端監控、操作受害者的電腦。而這個遙控軟體本來的遠端維修用途，未必會被所有的防毒軟體視為有害。

結語

在這一季，雖然有漏洞被揭露，但似乎尚未遭到大規模的利用，整體仍以釣魚郵件為主要攻擊主軸。釣魚郵件顧名思義，目標就是要釣取後續可以再利用的資訊。釣魚郵件除了不停地進化出各種能規避偵測的技術，近期，也注意到釣魚郵件的攻擊者更加專注於遭到釣魚的目標，諸如開信、是否上鉤、釣取資料的有效性、更多可以一併得到的目標資訊。這些遭到釣取的機敏資訊都可以再組合、拼湊並且重複被使用，或結合詐騙、偽造身分等攻擊。做好資安，切莫輕忽釣魚郵件！

＜本文作者：高銘鍾現為ASRC垃圾訊息研究中心主任＞