騙徒在尋找新方法把收件者人數最大化的主要挑戰是穿過電郵過濾,為此他們不斷增加使用合法平台,透過精密的方法把它變成武器,這次是通過Yandex Surveys把導向詐騙網站的連結隱藏在問卷調查內。
表面看來一切正常
網上問卷工具在現代十分盛行,行銷專業人士使用它們來收集回饋,人力資源部門用它提升員工參與度,研究員用來研究目標受眾,至於騙徒,則是把導向詐騙網站的連結放到問卷之內,然後把含有問卷連結的電郵大量發放,標準的反垃圾電郵過濾視網址yandex.com/poll/…為合法,收件者也通常有相同想法,原因是發送來自知名的服務。這類電郵由1月攔截超過2200封訊息,到2月超過32000封,僅是一個月時間增加15倍。
騙徒經自己的渠道散播這些問卷連結,經常騎劫網站回饋表格欠缺寄件者驗證的網站,因為電郵來自合法網絡,為反垃圾郵件過濾提供綠燈訊號,令郵件可以抵達收件者郵箱。這種詐騙通常都涉及加密貨幣詐騙,訛稱會送出數碼貨幣,然後把受害者帶到約會網站。
騙徒如何使用Yandex Surveys
要建立一個看來不像問卷的問卷,攻擊者使用了平台上的擴展問卷模式,Yandex Surveys容許用戶把問題替換成文字區域,當中可包含描述、圖像和影像,也正是騙徒收藏釣魚網站連結的地方,他們使用內建的上載媒體功能,加入看似官方標誌和其他增加可信性的裝飾,為了讓受害者看不到「Next」按鍵或標準的免責聲明(表明問卷由第三方創立,Yandex對內容不負任何責任),騙徒在詐騙資訊下方放入插入隱形字元,在經過大部份人都不會再向下卷的位置,只在每行加入一個標點符號了事。
結果用戶只看到騙徒的連結,因為其他蛛絲馬跡都被推離螢幕範圍,同樣的方法也在Google Forms的個案中使用,除了受惠於合法網址,另一個優點是成本低,騙徒不用支付服務費用和內建的目標工具,只向他們自己的資料庫目標發送電郵,而且騙徒更可以利用問卷的統計部份,即時追蹤點擊率,並把數據匯出到電子表格內,成為了現成的分析工具。受害者一旦點擊連結就會被帶到攻擊者的網站,迎面而來的是看似真實的送禮畫面。
避免墮入陷阱
- 不要盲目相信有信譽的網域名,yandex.com或forms.gle並不代表內容安全,任何人都能在該網址上建立問卷。
- 收到來歷不明的電郵時提高警覺,尤其聲稱送禮或要求緊急確定。
- 經常下卷到網頁底部,如果內容突然中斷而且留下大量空白位置,這正是詐騙的警號,檢查頁腳通常可找到服務的免責聲明或其他蛛絲馬跡顯示這是詐騙的問卷調查。
- 不要點擊可疑問卷內的連結,如果點擊了,永不要輸入任何個人或財務資料。
- 使用可靠的工具偵測詐騙網站在攔截存取,以免用戶不謹外洩自己的資料或感染裝置。
幸好Yandex Surveys已在4月6日逐步停止服務,不過騙徒使用上述的技術可以移施至其他類似的合法平台,所以威脅並未因Yandex Surveys壽終正寢而消失。
資料來源:Kaspersky Blog
