網路犯罪分子跟攻擊者正在利用 Google Drive 網站和其品牌名氣來躲避雷達,避免被偵測。前不久有一起針對性攻擊利用 Google Drive 來從其受害者身上獲取資訊。而這一次,網路網路釣魚(Phishing)攻擊利用變造過的 Google Drive 登錄頁面來竊取電子郵件帳號認證資訊。這起攻擊可以視為是今年早些時候要求多重電子郵件地址之攻擊的改良版本。
假 Google Drive 網站
使用者會收到一封電子郵件,內容包含會導到假 Google Drive 網站的連結。
圖一、包含會連到假網站連結的垃圾郵件
釣魚網站讓使用者可以用不同的電子郵件服務帳號登入,這很不尋常,因為 Google Drive只能用 Google 帳號登入。該網站還提供語言選項,不過無法正常運作。
圖2、假 Google Drive網站
為了要讓使用者認為沒有發生任何奇怪的事情,釣魚網站將使用者重新導向一投資相關網站的PDF檔案。不過重新導到一個關於投資的網站可能還是會讓人們起疑,因為電子郵件本身沒有提到會有關於金融財務的「文件」。
圖3、登入之後,使用者會被重新導到一合法網站
檢視程式碼
快速地檢視原始碼後,可以看到Chrome的儲存標籤。這代表網路釣魚詐騙分子可能是儲存來自真正 Google Drive 登錄頁面的原始碼,再加上惡意程式碼。因為這個網站重複使用Google Drive 的程式碼,所以檢查是否輸入正確的功能還在。整個釣魚網站只接受正確格式的電子郵件地址(如<accountname>@<serviceprovider>.com)。這跟之前釣魚網頁會接受任意輸入(甚至是亂打的字串)有顯著的不同。
圖4、釣魚網頁程式碼顯示來自Google Drive的程式碼
如果使用者按下登入按鈕,認證資訊和郵件服務帳號會被送到特定網址。
圖5、這截圖可以看出此騙局的所有相關活動,從釣魚網頁到竊取資訊到重新導向
釣魚網站似乎是個中文體育論壇,代表它可能已經被駭。
圖6、被駭的中文網站
透過網路釣魚散播
從下面的截圖來看,網路犯罪分子會使用釣來的帳號來找到更多受害者。看起來這波攻擊活動到目前為止已經至少運作了三個月。
圖7、網路釣魚受害者討論他們的帳號如何被用來散佈連結
行動用戶也受到影響
根據趨勢科技的調查,這次攻擊也可以運作在行動裝置上。當使用者按下「登入」按鈕時,會出現PDF檔案下載提示,並且將使用者的認證資訊送給網路犯罪分子。
圖8、行動裝置上的PDF檔案下載提示截圖
保護使用者資料
使用者在打開電子郵件時要特別小心,即使是來自認識的連絡人。避免點入內嵌在電子郵件的連結。可以滑動滑鼠游標到連結上方,以在狀態列中看到真正的連結網址。
使用者也可以在分享任何個人資料、認證資訊或連絡資料前先檢查是否是真正的原始網站。他們可以檢查網站位址跟原本的網站是否有任何差異(拼寫錯誤,不同的網域),例如:<sitename.com>和<sitename.org>。他們還應該在提供任何資料前先檢查網站安全性。一個通用的原則是,使用HTTPS的網站會比沒有使用的更安全。
趨勢科技PC-cillin 雲端版 可封鎖釣魚網頁,保護使用者免受此威脅所害,也預防使用者資料有被盜的風險,按這裡面免費下載。行動使用者也同樣的受到保護, 可透過趨勢科技「安全達人」免費行動防護App( Android / iOS )來保護使用者免於行動威脅,能夠提供給iPhone、iPod Touch和iPad使用者以及Android智慧型手機和平板電腦的使用者。Android使用者可以到這裡下載此安全應用程式,而Apple使用者可以到這裡下載。
我們已經將此釣魚網頁通知Google。
@原文出處:Phishers Improve Scheme With Spoofed Google Drive Site作者:Joie Salvio(威脅回應工程師)