分類: 網路釣魚

網路釣魚靠著冒充身份來引誘毫無防備的受害者下載檔案或點入連結的簡單概念,成為網路犯罪歷久不衰的手法，不過網路釣客使用的策略已經越來越加複雜。趨勢科技近日發現有利用合法工具SingleFile作為混淆手法,避免偵測的網路釣魚活動。

SingleFile是Google Chrome和Mozilla Firefox的擴充套件，讓使用者能夠將網頁另存成單一的HTML檔案。雖然瀏覽器可以讓使用者將網頁儲存為「.htm」文件，但這通常代表會為網頁內的所有檔案建立多個資料夾。SingleFile簡化了儲存網頁及所有檔案的流程，可以應用在各種情境，如儲存整個網站。但它對駭客來說也一樣有用，因為我們發現駭客會利用SingleFile來混淆網路釣魚攻擊。

圖1. Chrome版SingleFile的工具選項

我們看到的樣本顯示網路犯罪份子用SingleFile複製合法網站的登入頁面進行網路釣魚活動。產生登入頁面的方法很簡單：

• 攻擊者連上要仿冒的網站登入頁面（我們所看到樣本是金流服務網站Stripe）。
• 接著用SingleFile儲存並產生包含整個網頁的檔案，包括了所有的圖片（儲存為svg檔）。

儘管這手法很簡單卻非常有效，因為它實際上產生了跟原始登入頁面完全相同的版本。

繼續閱讀

趨勢科技發現一波網路釣魚活動利用注入假登入表單來竊取使用者帳密，至少有四家韓國網站受害，包括了該國訪問量最大的商務網站。雖然我們之前就看過網路犯罪分子對網站注入惡意JavaScript來載入瀏覽器漏洞攻擊碼或金融資料擷取病毒，但利用水坑攻擊進行網路釣魚並不常見。這波我們標示為「Soula」的攻擊活動（偵測為Trojan.HTML.PHISH.TIAOOHDW）會跳出偽造韓國常用搜尋引擎登入畫面來蓋過原始網頁以收集資料。它會不經確認就直接將記錄的帳密送到攻擊者的伺服器，所以我們認為駭客還在研究與收集資訊的階段。

攻擊行為

圖1、 Soula的攻擊鏈。

我們在3月14日追蹤了受害網站的JavaScript注入。注入腳本針對網站訪問者來在主要網頁載入了網路釣魚表單。它會掃描HTTP referer標頭字串來檢查是否包含跟熱門搜尋引擎或社群媒體網站相關的關鍵字，以驗證訪問者是否是真人。因為HTTP referer會將來源位置網頁標識為請求頁面，這樣就能夠輕易地確認訪問者是否為真實使用者(如果請求來自搜尋引擎或社群媒體)，過濾掉bot爬蟲及威脅引擎掃描程式。

設置 cookie 計算訪問次數 ,掩蓋惡意行為

該腳本接著會掃描HTTP User-Agent標頭來找出是否有iPhone、iPad、iPod、iOS和Android等字串，以確認使用者是用桌機或行動裝置，好提供對應的網路釣魚表單。行動用戶要點擊被駭網站上的任一按鈕才會看到假登入表單。為了掩蓋惡意行為，它會設置cookie來計算訪問次數，並在受害者第六次訪問網站後才會出現彈跳式視窗。這cookie也會在最後一次互動後兩小時過期。

繼續閱讀