技術支援詐騙(TSS)偽裝成來自可信賴公司(如Microsoft或你的電信業者)的技術支援人員。他們試圖騙你相信自己的電腦有問題,這樣就會同意付錢(和信用卡詳細資料)來「修理」,或讓他們遠端連到你的電腦 – 讓他們可以偷偷地安裝資料竊取惡意軟體。
趨勢科技發現一波新的技術支援詐騙(TSS)攻擊,它利用了iframe加上基本的彈跳認證視窗來凍結使用者的瀏覽器。因為這是種尚未被人熟悉的新技術,因為很可能可以躲避掉偵測。與許多技術支援詐騙一樣,它會偽裝成正常或知名服務商來誘騙受害者。此波攻擊所利用的品牌是微軟。
偽裝成微軟技術支援的網頁
它的網址會秀出偽裝成微軟技術支援的網頁。但它隱藏了幾個不同功能。進入這些網址會開啟兩個彈跳視窗:一個要求使用者身份認證,另一個只會催促使用者請求技術支援。在此時,使用者已經在不知不覺中進入了無限循環。
點擊身份認證彈跳視窗的「取消」按鈕只會返回網址。彈跳視窗的「關閉」和「確認」按鈕並不起作用或執行任何動作,似乎只是為了使其看起來正常。
圖1. 此波攻擊所使用的假微軟支援網頁
進入無限循環並凍結瀏覽器是技術支援詐騙常用的手法。但此波攻擊用來凍結使用者瀏覽器的作法及其第二種躲避策略使它與眾不同。一般的技術支援詐騙會使用基本JavaScript程式碼alert()和confirm()來讓使用者進入無限循環,點擊任何彈跳視窗按鈕只會被帶回同一個彈跳視窗。
但此波攻擊會不斷加入iframe(嵌入在另一份HTML文件內的HTML文件)。它將iframe設成網頁的showLogin,讓它在輸入網址時顯示。而iframe的來源或內容是身份認證網頁網址,因此只會讓使用者返回網址。
圖2. 顯示使用Iframe的程式碼
圖3. 無限循環中所用到的useragent.php或身份認證彈跳視窗
這種技術會導致使用者進入類似無限循環的結果,不斷地將使用者帶回身份認證網址並跳出視窗。技術支援詐騙依賴於瀏覽器凍結所引起的恐慌,更容易促使使用者立即就手邊資訊採取行動,這時通常就是打給螢幕上出現的號碼,並遵循所謂的技術支援人員所提出的各種建議。
這些網址的另一個功能是會根據瀏覽器版本或類型(如Firefox、Chrome、Edge等)來顯示不同格式。這可從其程式碼中看出(見圖4),可能是為了讓攻擊可以符合不同的瀏覽器。
圖4. 程式碼顯示這些網址對不同瀏覽器呈現不同格式
我們記錄到這波攻擊的相關網址每天被訪問至多達575次(如圖5所示)。這些被記錄的點擊來自數個不同網址,因為此波攻擊所用的其他躲避技術包括每天變更主機IP地址約12次。我們沒有足夠資料來確認這些網址是如何分發的,但如果是跟過去的技術支援詐騙一樣,那很可能是透過部署的廣告來進行分發。
圖5. 攻擊相關網址的每日點擊次數
遇上類似攻擊只要利用工作管理員關閉瀏覽器即可
幸運的是,技術支援詐騙想要成功在很大程度上取決於使用者如何回應。正如此波新攻擊中能夠知道,使用者可以檢查網頁的可疑特徵 – 如不熟悉的網址、要求身份認證的彈跳視窗或任何試圖引起恐慌緊張的訊息。
使用者要記住還有其他方法可以回復瀏覽器。遇上類似攻擊時只要利用工作管理員關閉瀏覽器即可。如果使用者真的擔心自己設備和系統的安全性,可以找尋其他正常管道來確認自己的系統狀態。
趨勢科技如何提供協助?
趨勢科技為客戶群提供了不同的技術支援管道。家用產品客戶可以到技術支援服務中心查找常見問題和其他相關主題。如需更多協助,客戶可以透過電話、Facebook粉絲團、電子郵件或加入趨勢科技家用產品社群來尋求技術支援。企業客戶可以透過Business Support頁面或地區電話號碼來取得技術支援、病毒和威脅情報以及續約和註冊上的協助。
對於線上的技術支援詐騙威脅,趨勢科技的 PC-cillin 雲端版提供全面性的多層次防護,能夠封鎖惡意網站、彈跳視窗、瀏覽器劫持及其他技術支援詐騙相關的惡意軟體。以下是我們用來保護你安全的部分技術:
- 網頁信譽評比服務:封鎖可能連到騙局的惡意網址。
- Script Analyzer Lineup:掃描網站上的可能惡意程式碼來偵測是否存在技術支援詐騙威脅。
- 即時病毒掃描:封鎖來自技術支援詐騙網站的可疑惡意軟體下載。
- 靜態智慧引擎:利用機器學習技術來大幅度增強對技術支援詐騙的偵測。
- 掃描/惡意軟體移除:如果你落入技術支援詐騙,能夠幫你清除中毒電腦上被安裝的惡意軟體。
企業應該要採用具備跨世代混合威脅防禦技術來保護系統抵禦各種威脅的安全解決方案。趨勢科技的端點解決方案(如趨勢科技 Smart Protection Suites和 Worry-Free Business Security )能夠偵測惡意檔案和郵件並封鎖所有相關惡意網址來保護使用者和企業免於此威脅。低低
具備電子郵件檢查層,能夠偵測惡意附件檔及網址來保護企業。
這些解決方案由趨勢科技的XGen安全防護技術所驅動,它提供高保真機器學習功能來防護端點和閘道閘道,保護實體、虛擬和雲端的工作環境。XGen安全防護採用了網頁/網址過濾、行為分析和客製化沙盒等技術,可以抵禦會繞過傳統安全防護,攻擊已知、未知或未披露漏洞等不斷演進的威脅。
入侵指標
| 網址 |
| hxxp://18[.]206[.]159[.]176/assests/eng_edge_new[.]html |
| hxxp://45[.]32[.]156[.]135/assests/eng_edge_new[.]html |
| hxxp://45[.]32[.]205[.]54/assests/eng_edge_new[.]html |
| hxxp://45[.]76[.]166[.]173/assests/eng_edge_new[.]html |
| hxxp://45[.]76[.]166[.]231/assests/eng_edge_new[.]html |
| hxxp://45[.]76[.]2[.]215/assests/eng_edge_new[.]html |
| hxxp://45[.]76[.]4[.]128/assests/eng_edge_new[.]html |
| hxxp://45[.]76[.]6[.]92/assests/eng_edge_new[.]html |
| hxxp://45[.]77[.]109[.]221/assests/eng_edge_new[.]html |
| hxxp://45[.]77[.]149[.]225/assests/eng_edge_new[.]html |
| hxxp://45[.]77[.]154[.]214/assests/eng_edge_new[.]html |
| hxxp://45[.]77[.]218[.]239/assests/eng_edge_new[.]html |
| hxxp://45[.]77[.]64[.]207/assests/eng_edge_new[.]html |
| hxxp://45[.]77[.]67[.]129/assests/eng_edge_new[.]html |
| hxxp://80[.]240[.]16[.]81/assests/eng_edge_new[.]html |
| hxxp://80[.]240[.]19[.]216/assests/eng_edge_new[.]html |
| hxxp://95[.]179[.]167[.]173/assests/eng_edge_new[.]html |
| hxxp://95[.]179[.]168[.]138/assests/eng_edge_new[.]html |
| hxxp://140[.]82[.]36[.]155/assests/eng_edge_new[.]html |
| hxxp://140[.]82[.]38[.]211/assests/eng_edge_new[.]html |
| hxxp://140[.]82[.]42[.]6/assests/eng_edge_new[.]html |
| hxxp://140[.]82[.]46[.]46/assests/eng_edge_new[.]html |
| hxxp://140[.]82[.]9[.]45/assests/eng_edge_new[.]html |
| hxxp://149[.]28[.]36[.]182/assests/eng_edge_new[.]html |
| hxxp://149[.]28[.]45[.]200/assests/eng_edge_new[.]html |
| hxxp://149[.]28[.]56[.]4/assests/eng_edge_new[.]html |
| hxxp://199[.]247[.]3[.]159/assests/eng_edge_new[.]html |
| hxxp://207[.]246[.]127[.]175/assests/eng_edge_new[.]html |
| hxxp://216[.]155[.]135[.]180/assests/eng_edge_new[.]html |
@原文出處:Tech Support Scam Employs New Trick by Using Iframe to Freeze Browsers 作者:Samuel P Wang(趨勢科技網路詐騙研究員)
延伸閱讀: 假防毒軟體充斥社群媒體,誘騙點入釣魚網站