一般用來釣取使用者 E-mail 帳號密碼的釣魚郵件,並沒有真正的帳號密碼資料庫可驗證,因此,只要資安意識稍高使用者懂得在第一次輸入假的帳號密碼就可拆穿其釣魚技倆。但是,駭客似乎也察覺了使用者的驗證招數。

近日,中華數位與 ASRC 研究中心發現一種釣魚郵件樣本,猜到了使用者的心理,設法巧妙的躲避使用者的第一次假動作。

ASRC 研究人員在這封釣魚郵件攻擊連結更動了尾端的電子郵件位址,頁面及變動為要求輸入該電子郵件位址的密碼;當研究人員隨便輸入一串假的密碼後,頁面居然顯示密碼錯誤,要求重新輸入。難道,這是一個真的網頁?或者對方掌握了真的密碼而可以識別出這是假的密碼?

接下來,跳出了另一個密碼輸入的頁面,不僅要求輸入密碼,還要求再次輸入以確認密碼的正確性。ASRC 研究人員再嘗試輸入一次和剛才一樣的假密碼,這時不論密碼是對是錯,畫面都會顯示驗證成功,正在準備下載檔案。

實際上,並不會有任何檔案被下載,而是直接跳轉回Google的搜尋頁面,但是剛才輸入的帳號密碼,已被駭客記錄下來!

駭客透過上述假驗證動作,除了可以這樣的方法混淆試圖以第一次錯誤密碼驗證釣魚網站的受害者外外,同時也提高受害者輸入的密碼準確度。正所謂道高一尺,魔高一丈!,呼籲企業應提高警覺,隨時更新並教育使用者的資安知識,並且建置安全有效的郵件過濾設備,提供電子郵件使用者一個可信賴的安全環境。

查看測試流程圖請參考下列完整報導:

http://www.softnext.com.tw/news_main.html?tag=t&nid=939

※關於Softnext中華數位科技:

秉持著【We Secure Your Content】的理念,致力於電子郵件安全、網路內容安全、企業資料保護的技術研究與開發,以提供完善的資訊內容安全解決方案及應用服務,協助企業以符合法規規範的方式進行資訊內容安全管理。

研發產品榮獲多項創新研發大獎,廣受企業愛用與肯定:

經濟部技術處「產業創新成果表揚」、資訊月「傑出資訊應用暨產品獎」

資策會MIC調查「大型企業十大資安產品信賴品牌」及「電郵安全領導品牌」

DigiTimes「2010年資安產品滿意度調查」郵件管理企業理想品牌第1名

網路資訊「2008台灣資安普查」郵件安全產品使用率第1名、推薦第1名

了解更多企業及產品資訊,請洽02-25422526或上中華數位科技官方網站查詢http://www.softnext-inc.com/

※關於ASRC垃圾訊息研究中心:

ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com

熱門新聞

Advertisement