網絡犯罪份子為了騙取用戶,不斷尋找新方法和技術,不過無論多精密的攻擊,他們都首先讓用戶放下戒心,大部份情況下只要細心留意網址,就不會成為網絡釣魚受害者,除了遇上以下的個案,網址正確看起來安全,事實卻盜取用戶的密碼。
登記相似的網址魚目混珠
每個從網址位置看到的網域地址都是獨一無二,如果有人想架設網站,首先要聯物特定的機構去登記網域名,他們會檢查國際資料庫確保該地址並未被他人使用,如果沒有被他人登記,該域名便會分配給申請者。這意味著有心人不能以真網站的相同地址登記假網站,但透過選擇相似的網域區域,很有可能創建非常相似的域名。也因為以上原因,有人通過模擬瀏覽器視窗來顯示受信任的網址,藉此取代登記網名。
甚麼是瀏覽器中的瀏覽器攻擊?
現時製作網站變得非先進階,可以顯示接近任何東西在網頁,這意味著網絡釣魚的犯罪份子可以藉此模擬目標網站。例如,研究人員查看登入視窗,通常是選擇Sign in Google或Continue with Apple而不是在網站創建帳號,這種方法無疑是十分方便,用戶無需記著密碼。當用戶點擊Sign in按鍵時便會打開用戶輸入登入憑證的相關服務網站,然而真的網站永遠都不會收到用戶輸入的密碼。
在瀏覽器中的瀏覽器攻擊中,網絡犯罪份子可以跟隨「傳統」登記和複製合法網站,又或者他們登記一個具吸引力的網址和內容去吸引受害者,例如購物特價、工作機會或用戶可能想留言的新聞等等,當用戶想購物、留言或存取其他他們感興趣的功能時,攻擊者已預先安排好按鍵,原本是登入合法的服務,其實是收集他們的密碼。
一旦點擊按鍵,用戶可以看見Microsoft、Google或Apple等他們熟悉的畫面,並且網站地址顯示正確,甚至把滑鼠拘向登入按鍵和忘記密碼的連結時,都會顯示正確的地址,而事實上這並非另一個視窗,而是在網頁上展現,目標是騙過用戶,如果用戶在這個視窗輸入憑證,便會直接傳送到網絡犯罪份子的伺服器。
分辨真假視窗
真的登入瀏覽視窗可以隨意最大或最小化,在螢光幕上移動到任何位置,而假彈出網頁則在預設的位置上,並且活動範圍只在瀏覽器視窗內,要檢查登入視面的真偽,可以:
- 把彈出式登入的來源視窗最小化,登入理論上是在分開的視窗,如果兩者同時消失,便可能是假登入畫面,真視窗應該會維持在畫面內。
- 嘗試把登入視窗移動到來源視窗的邊界,不受限制便是真的登入視窗。
更容易保護自己的方法
- 所有帳號使用密碼管理工具,它能核實真實的網址,不會在不明網站輸入憑證,無論外觀有多相似。
- 安裝具備反網絡釣魚模組的可靠保安方案,能核實網址一旦發現危險網站便即時發出警告。
資料來源:Kaspersky blog