【網路釣魚警訊】「帳號出現異常活動 請更新您的付款資料」一按下去, Apple ID 就被盜

趨勢科技偵測到一波新的 Apple ID 網路釣魚攻擊,利用社交工程技巧假藉可能必須終止服務的名義強迫使用者提供個人資料。這波網路釣魚電子郵件是假冒 Apple 的名義,通知客戶因為帳號出現異常活動而被鎖住,必點選郵件內的連結來更新付款資料。當受害者點選郵件中的「Update Your Payment Details」(更新您的付款資料) 按鈕時,就會連上一個外觀類似 Apple 網站的假冒網站,網站上所使用的影像背景甚至跟正版的 Apple 網站一樣。

 

這網站的確做得比絕大多數網路釣魚網站都來得精緻而逼真。而且內含基本的輸入資料檢查,會利用基本的總和檢查 (checksum) 來確定信用卡號碼輸入正確,同時也會檢查數字和文字欄位的長度是否正確,或者是否包含特殊字元。日期、電子郵件、姓名、CVC 檢查碼等等都會檢查是否輸入正確。

在所有個人資料和帳號資訊都填妥之後,網站會告訴使用者他們將被登出以確保安全。接著,使用者會被重導到真正的 Apple 網站。

惡意網站使用了AES 加密來反制資安廠商網站信譽評等的爬網動作,此外還搭配了其他反制措施。對一個網路釣魚詐騙攻擊來說,使用 AES 加密相當反常,因為正如我們前面所述,歹徒通常會將心思花在詐騙行動上,而非安全與躲避機制。而且此採用的加密有別於一般保護整個連線階段的 HTTPS 加密。

趨勢科技提醒使用者須小心注意任何經由電子郵件發送的連結,尤其是用來登入 Apple ID、Google 帳號、PayPal、社群網站以及其他敏感網站的連結。除此之外,信中還可能有其他惡意連結或附件檔案,因此請務必使用防毒軟體來掃瞄附件檔案。比如能保護使用者的多台裝置,並能攔截惡意連結的
PC-cillin雲端版 ,同時,使用者也應透過其他管道來求證信件當中所說的緊急情況,例如該公司的社群網頁。

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

 

網路釣魚詐騙使用 AES 加密並騙取 Apple ID

近期發生的資料外洩與隱私權風波再加上歐盟通用資料保護法 (GDPR) 即將上路,使得企業紛紛改變其處理使用者資料的方式。也因此,許多企業開始透過電子郵件通知用戶更新自己的個人檔案或主動強化資安防護。而這些電子郵件儘管來自不同的企業,其內容卻大致相同,不外乎開頭先來一段標準的問候,接著說明為何要更新其政策,最後再提供一個很顯著的按鈕讓使用者點選。由於最近這類郵件非常的多,而且陸陸續續還會有更多企業發送這類郵件,因此,不令人意外的,歹徒也看上這波郵件通知熱潮,開始假冒企業發動網路釣魚攻擊。歹徒非常擅長假冒知名企業,以「使用者政策更新」的名義發送網路釣魚郵件。

網路釣魚郵件目前仍是歹徒屢試不爽而且報酬豐厚的攻擊手法,歹徒能藉此取得個人資料、金融帳號資訊、企業機密資訊,或者單純用來滲透受害企業的網路。

我們在 4 月 30 日的時候偵測到一波新的 Apple ID 網路釣魚攻擊,利用社交工程技巧假藉可能必須終止服務的名義強迫使用者提供個人資料。像 Apple ID 這種可登入許多網站的帳號密碼對歹徒來說非常有價值,因為一次可登入所有與帳號連結的應用程式。

網路釣魚技巧分析

這波網路釣魚電子郵件是假冒 Apple 的名義,通知客戶因為帳號出現異常活動而被鎖住,必點選郵件內的連結來更新付款資料。這封電子郵件一看就非常可疑,原因有幾點。首先,這封郵件是發送給根本沒有使用 Apple 產品的使用者。其次,如果帳戶有可疑活動,為何需要更新付款資料?在經過仔細檢查之後,我們也發現郵件內提供的連結是指向非 Apple 的網域。

Figure 1

圖 1:假冒 Apple 名義發送的網路釣魚郵件,然而寄件人並非 Apple,而且其提供的連結也指向非 Apple 的網站。

我們檢查了郵件的 MX 標頭來查看寄件人的詳細資料之後發現:

寄件人是一個已經被列入黑名單的惡意來源。

郵件中的「Update Your Payment Details」(更新您的付款資料) 按鈕其實是指向以下網址:

https://avtive1s.beget.tech/limited/apple-couzin/apple%20couzin/Uu4gX/login.php?sslmode=true&access_token=1SGMm8LG43m4qPGE7D8Q00qCRZ2hwIVyBBkYK6FP91UzQBe
YemPenfQeeTwLCrjd3EcNKRDUTxuJ8IIm

網址當中含有一個針對每位受害者產生的不同金鑰,該金鑰至少有 48 小時的有效期限。該金鑰似乎是用來追蹤個別使用者,不受使用者所使用的瀏覽器或裝置影響。

當點選這個按鈕時,就會連上一個外觀類似 Apple 網站的假冒網站,網站上所使用的影像背景甚至跟正版的 Apple 網站一樣。不過其網址很明顯的不是指向 Apple。

假冒網站採用了 Apple 的標誌和極簡風格設計
圖 2:假冒網站採用了 Apple 的標誌和極簡風格設計。

我們使用一個假的 Apple ID (以確保不會影響任何 Apple 帳號) 來試圖登入該網站。在提供了假的 Apple ID 和密碼之後,網站還是顯示了一個標準的訊息「您的帳號已經被鎖住…」,但其實我們給的是假資料。

網站顯示使用者的帳號因為可疑登入活動而被鎖住,要求使用者提供更多資訊

圖 3:網站顯示使用者的帳號因為可疑登入活動而被鎖住,要求使用者提供更多資訊。

下方的「Unlock Account Now」(立即解鎖帳號) 按鈕會連上一個專門蒐集使用者資料的惡意網站:

https://avtive1s[.]beget[.]tech/limited/apple-couzin/apple%20couzin/Uu4gX/process.php?access_token=1SGMm8LG43m4qPGE7D8Q00qCRZ2hwIVyBBkYK6FP91UzQBeYemPenfQeeTw
LCrjd3EcNKRDUTxuJ8IIm

假蘋果網站會要求使用者提供個人資訊和金融帳號資訊

圖 4:該網站會要求使用者提供個人資訊和金融帳號資訊。

這網站的確做得比絕大多數網路釣魚網站都來得精緻而逼真。而且內含基本的輸入資料檢查,會利用基本的總和檢查 (checksum) 來確定信用卡號碼輸入正確,同時也會檢查數字和文字欄位的長度是否正確,或者是否包含特殊字元。日期、電子郵件、姓名、CVC 檢查碼等等都會檢查是否輸入正確。

此外,歹徒通常會利用免費的網站代管服務來架設網路釣魚網站,因為這些網站通常壽命不長,而且歹徒也不會太花心思來保護其網站伺服器的檔案。正因如此,我們要取得網路釣魚攻擊與相關網站的資訊並不困難,有時我們甚至可以取得歹徒所偷到的資料。但這個案例不同,其網站目錄的權限設定非常嚴謹,所以我們無法取得相關資訊。

在所有個人資料和帳號資訊都填妥之後,網站會告訴使用者他們將被登出以確保安全。接著,使用者會被重導到真正的 Apple 網站。

網路釣魚網站最後將使用者重導到真正的 Apple 登入頁面。

圖 5:網路釣魚網站最後將使用者重導到真正的 Apple 登入頁面。

加密和躲避技巧

惡意網站使用了AES 加密來反制資安廠商網站信譽評等的爬網動作,此外還搭配了其他反制措施。對一個網路釣魚詐騙攻擊來說,使用 AES 加密相當反常,因為正如我們前面所述,歹徒通常會將心思花在詐騙行動上,而非安全與躲避機制。而且此採用的加密有別於一般保護整個連線階段的 HTTPS 加密。

其「login.php」、「process.php」和「verified.php」等檔案當中的程式碼都會使用 JavaScript 呼叫 AES 加密,只是使用的「hea2t」變數有所不同:

使用 AES 加密來隱藏惡意內容

圖 6:使用 AES 加密來隱藏惡意內容。

PHP 程式碼當中呼叫的「dashed.js」腳本是純粹的 AES 加密程式碼並搭配自訂變數,其函式會用於 AES 加密,並且將輸出轉成 base64 編碼 (如同一般的做法)。網路封包檢查技巧通常不會將它判定成惡意內容,因為內容本身已經過加密。因此這項威脅只能靠網站信譽評等來將寄件人列為惡意來源才有辦法偵測。這波網路釣魚攻擊使用 AES 加密的獨特手法使其惡意活動更難偵測。該網路釣魚網站可躲過多種家用及商用防毒軟體的網路釣魚防範工具。

趨勢科技 Smart Protection Network™ 全球威脅情報網的資料追蹤到寄件人的活動,而且在 2018 年 4 月 23 日至 5 月 1 日期間偵測到這波電子郵件詐騙。

018 年 4 月 23 日至 5 月 1 日之間偵測到的網路釣魚詐騙活動。

圖 7:2018 年 4 月 23 日至 5 月 1 日之間偵測到的網路釣魚詐騙活動。

此外,趨勢科技也進一步蒐集了這波網路釣魚郵件的相關資訊。我們發現,這波電子郵件會使用一些不同的主旨,絕大部分都是與業務提案有關,但有些則是通知使用者其帳號被鎖住。

目前受害對象主要分布在美國和委內瑞拉。此外我們也在歐洲和北美地區偵測到零星的案例。

Figure 8

圖 8:該網路釣魚詐騙受害國家分布。

解決之道與防範技巧

網路釣魚和社交工程攻擊的相關意識和訓練,仍是防範這類威脅最有效的方法。只要人們對於這類技巧和方法有更多的認識,就會少一些人上當受騙。

趨勢科技提供免費的社交工程演練服務 Phish Insight,歡迎立刻試用

大體上來說,網路釣魚郵件都有一些會令人起疑的特徵:

  • 其提供的網址並不屬於其郵件所假冒的對象。
  • 通常會要求提供機密資訊,例如信用卡號碼和密碼。
  • 會有拼字和文法上的錯誤。
  • 會捏造一個需要立即採取行動的理由,例如:如果不回應的話會刪除帳號或終止服務。
  • 電子郵件中的措辭口氣與其假冒的對象或公司形象不符。
  • 副本 (CC) 收件人上有許多不知名的人。

使用者須小心注意任何經由電子郵件發送的連結,尤其是用來登入 Apple ID、Google 帳號、PayPal、社群網站以及其他敏感網站的連結。除此之外,信中還可能有其他惡意連結或附件檔案,因此請務必使用資安軟體來掃瞄附件檔案。同時,使用者也應透過其他管道來求證信件當中所說的緊急情況,例如該公司的社群網頁。

趨勢科技 InterScan™ Messaging Security 能運用全球威脅情報在雲端攔截電子郵件威脅,並且利用資料外洩防護與加密來保護您的資料,同時又能發掘針對性攻擊電子郵件、勒索病毒與「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊) ,是趨勢科技 Network Defense 網路防禦解決方案的一環。其強化式網站信譽評可攔截內文或附件內含有惡意網址的電子郵件,並有趨勢科技 Smart Protection Network™ 為其後盾。而社交工程攻擊防護則可交叉分析電子郵件的各個環節,例如:標頭、內文、郵件遞送資訊,進而偵測針對性攻擊電子郵件。

趨勢科技PC-cillin雲端版能保護使用者的多台裝置,讓使用者自由自在地享受數位生活。該產品內含勒索病毒防護,能攔截電子郵件和即時通訊當中的惡意連結,並提供垃圾郵件過濾以及有效的網路釣魚防護。

入侵指標資料

惡意電子郵件:

  • base@aso-ler.rs
  • webmaster@magicdream.in.ua
  • from@noname.com