資安業者Trusteer在近日發表一份研究(PDF檔)指出,過去駭客利用散布偽造的電子郵件來誘導使用者連上網路釣魚網站的手法將逐漸改變,新一代網釣手法可能利用瀏覽器漏洞,在網友造訪正牌網站的同時跳出一個偽造的視窗讓使用者步入網釣陷阱。
網路釣魚是近年來駭客蒐集使用者機密資訊的普遍手法,過去詐騙集團會先假裝金融或其他網站寄出網釣電子郵件,並引導使用者連上偽造的網站輸入個人資訊。但這種方法已經失效。
Trusteer表示,由於這些偽造郵件會被ISP業者或使用者攔阻,因此成效大不如前,該公司的研究團隊近來發現,一項新的網釣手法,並將其稱之為「時段內」(in-session)攻擊。
Trusteer說明可能的網釣情境指出,當使用者登入網路銀行網站並完成所要執行的作業後,有時並不會馬上關閉該視窗,而且會利用其他的視窗瀏覽網路。這時可能跳出一個假冒該銀行的視窗,要求使用者重新輸入他們的帳號及密碼,所持理由包括要求使用者填寫滿意度調查、參與推廣活動,或是使用者在該網站登入過期要重新登入。
要進行in-session攻擊有兩大要件,首先駭客必須入侵合法的網站並嵌入惡意程式,其次是該惡意程式要能辨識出使用者登入的是哪個網站。Trusteer認為,第一個條件很容易,因為迄今已有逾200萬個合法網站曾被非法入侵,而所嵌入的惡意程式是用來搜尋使用者目前正登入哪些線上銀行網站而非下載惡意程式到使用者電腦上,因此不容易被偵測到。相較於第一個要件,第二個要件困難得多,但並非不可能。
此外,瀏覽器的漏洞也將協助駭客進行此類的攻擊。Trusteer技術長Amit Klein及其研究團隊最近發現,市場上所有受歡迎的瀏覽器都擁有同樣的JavaScript引擎漏洞,允許一個網站去檢視使用者是否正登入另一個網站,涵蓋IE、Firefox、Safari及Chrome等。
該漏洞的產生是來自一個特定的JavaScript功能,當該功能被呼叫時便會在使用者電腦上留下紀錄,而且其他網站亦能追蹤這些紀錄,許多金融網站、零售網站、社交網站及賭博網站都使用該功能並可被追蹤。
在in-session攻擊情境中,駭客選擇入侵的並不是安全性較高的金融網站,而是一般的合法網站,然後嵌入可偵測使用者是否正在登入金融網站的惡意程式,如果使用者登入金融網站的同時造訪這些已被駭客入侵的網站,駭客便能送出一個偽裝是該金融網站的提醒視窗,要求使用者重新輸入帳號及密碼,使用者分不清楚該跳出式視窗究竟是哪個網站送出的,就可能掉進陷阱。
對於新一代的網釣手法,Trusteer建議使用者要部署瀏覽器安全工具,在瀏覽其他網站前務必要關閉金融網站或其他重要的線上應用程式視窗,對未點擊而主動跳出的視窗要特別小心。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12