趨勢科技在今年八月初討論了關於網路犯罪分子使用一個廣為人知的Android的漏洞來攻擊行動網路銀行應用程式的使用者。這一次,我們發現一起行動網路釣魚(Phishing)攻擊,不僅會試圖竊取使用者的登入資料,還會要求受害者上傳他們的身分文件。
這起網路釣魚攻擊活動跟之前的攻擊類似:偽造了行動網路銀行登入頁面,使用和原本銀行網站非常相似的網址。
儘管非常相似,不過也有些看得到的差異,比方說對SSL協定的支援。這釣魚網站並不會出現安全符號,也沒有使用HTTPS://協定,通常這是用來識別安全網站的方法。外觀上也有些看起來不同的地方:
圖一、合法網站對比偽造網頁
釣魚網頁會要求使用者的登入資料,還不僅如此,輸入登入資料之後,使用者會被導到另一個偽造網頁,詢問他們的電子郵件地址和密碼。這大概是為了當使用者試圖透過變更登入資料來取回帳號時,幕後的網路犯罪份子就會得到通知,因此仍然可以存取該帳號。
圖二、要求電子郵件登入資料的釣魚網頁
此時騙子還沒有滿足於所取得的資料,還會將使用者導到另一個偽造網頁,要求使用者上傳他們的身分文件掃描圖檔。
圖三、要求身分文件圖檔的釣魚網頁
如果使用者不提供這檔案,他們會被要求透過一個網址來繼續他們的帳號,不過這網址當然是連到一個已經掛掉的網站。
這是網路釣魚攻擊之前所未做到的程度,不僅讓網路犯罪分子取得受害者的銀行帳號和電子郵件帳號,還要拿到受害者的身分文件,可以用在各種涉及身分竊盜的詐騙上。
雖然利用網路釣魚攻擊去要求現實世界內的身分文件掃描圖檔是新手法,但是對這樣文件的交易並不是新聞。在我們關於俄羅斯的報告 – 「地下俄羅斯101」裡提到了受害者的身分文件副本如何的被進行交易,不只為了錢,還會用在身份竊盜上,價格從2美元到25美元不等,取決於文件的種類。這些文件可能是身份證、護照或工作簽證。
行動網路釣魚正在增加中。趨勢科技在今年很早的時候就已經提過,還有網路犯罪份子會如何利用這平台天生的局限性來展開他們的活動(例如利用螢幕尺寸較小來隱藏網址差異和安全符號)。隨著智慧型手機的普及,它們也強大到足以執行一般桌上型電腦的多數工作,所以也就並不奇怪的,網路犯罪分子會利用該平台去找到更多的受害者和榨乾他們的個人資料。
值得慶幸的是,使用者可以在這種網路犯罪活動底下保護自己。底下是一些使用者可以記住的作法:
- 將經常訪問的網站加入書籤。這會避免因為打錯網址而進到釣魚網站的機會。
- 總是先查證。每當在交易時遇到奇怪和非預期的程序時,使用者應該先跟有關機溝確認(像是銀行)。
- 使用安全解決方案。趨勢科技行動安全防護for Android中文版會立即封鎖釣魚網站,防止使用者不小心連上它們。
趨勢科技的使用者可以在這起網路威脅使用的各種手法下得到保護,將所有假網站的網址加以封鎖。
@原文出處:Mobile Phishing Attack Asks for Users’ Government IDs
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU