示意圖,圖片翻攝自:https://vimeo.com/222209148,LADAOffice

隨著企業及資安廠商的宣導,使用者已知道要留心陌生電子郵件信箱寄來的郵件。但研究人員發現利用回信來發送信件的新式釣魚手法,效果相當驚人。

資安研究人員Craig Hays描述該公司一名員工中了釣魚郵件後,開始在公司網路散發大量垃圾信件,顯示用戶郵件帳號被劫持,不久後其他人也傳出帳號被劫持。公司的安全團隊發現所有遭劫持的郵件,都被別人在地球上其他角落幾乎同一時間存取。然而初步調查並未發現有任何人接到陌生人寄來的信件。

比對登入時戳和電子郵件時戳顯示,所有釣魚郵件都非來自陌生帳號,而是針對真實信件的回覆。駭客在回覆信件中加入釣魚連結,而使用者看到熟人回覆信件,於是不疑有他而點入連結中招。

研究人員分析這新式釣魚信件的運作方式。只要有任何一個人郵件帳號被入侵,駭客就可以在遠端伺服器上跑機器人程式來接收其登入帳密,然後登入其帳號,檢視受害者最近幾天內收到的信件。他再針對每組郵件對話串進行回覆(即以Re:開頭為主旨的信件),再加上釣魚網頁的連結,邀請他們連結網站下載文件或點選資訊,以竊取其他受害人的帳密。為了擴大受害範圍,攻擊者還使用了「Reply All」確保沒有漏網之魚。

由於所有人都是近期內有過聯絡,且利用Re:為主旨的郵件,因此收信者不太可能發現異常。研究人員指出,結合回覆最近信件、社交工程手法以及機器人,可以大幅提高帳密資訊的蒐集效率,最重要是一般使用者幾乎難以防範。而在研究人員公司的案例中,要不是駭客太過心急,一蒐集到帳密就發大量釣魚信,也不會引起注意。

研究人員指出,這波釣魚攻擊手法固然新,但是只要所有用戶帳號都設定多因素驗證(multi-factor authentication,MFA),就能避免連上釣魚網站後被騙走帳號資訊。


Advertisement

更多 iThome相關內容