< 資安報告>假的「404 Not Found」頁面等四個網路釣魚新手法

雖然 2019 年網路釣魚活動的整體數量減少，但2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。
2019 年網路釣魚犯罪集團所使用的一些進階手法,使其越來越真假難辨 ,比如:
1. 登入憑證釣魚技巧
2.破解雙重認證機制的網路釣魚技巧
3.將網路釣魚連結插入搜尋結果當中
4.自訂「404 Not Found」錯誤訊息頁面,發動網路釣魚攻擊

Office 365 網路釣魚威脅倍增

根據趨勢科技最新的「網路資安風險指標」(Cyber Risk Index) 研究指出，網路釣魚是企業 2019 年最大的威脅，這項研究調查了美國境內上千家企業機構。儘管去年仍有不少網路釣魚詐騙，但我們偵測到的活動數量已較前一年減少。

2019 年已攔截的網路釣魚網址存取次數較 2018 年減少 28%，原本可能受到網路釣魚網站危害的使用者數量也因而減少。此外，已攔截的非重複用戶端 IP 存取網路釣魚網址的次數也較前一年減少 38%。這類威脅偵測的數量之所以減少，或許還有一個因素是一些新型態訊息平台 (如 Slack) 的企業用戶日漸成長，而這些平台已取代了電子郵件。

原本可能遭網路釣魚網站感染的使用者數量減少：已攔截的非重複用戶端 IP 存取網路釣魚網址次數逐年比較 (同一台電腦若試圖存取同一個網址三次則只算一次)。
資料來源：趨勢科技 Smart Protection Network 全球威脅情報網。 — 原本可能遭網路釣魚網站感染的使用者數量減少：已攔截的非重複用戶端 IP 存取網路釣魚網址次數逐年比較 (同一台電腦若試圖存取同一個網址三次則只算一次)。

資料來源：趨勢科技 Smart Protection Network 全球威脅情報網。

雖然網路釣魚活動的整體數量減少，但假冒 Microsoft Office 365 (尤其是 Outlook) 的網址數量卻持續增加。2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。

假冒 Office 365 (含 Outlook) 的網址數量翻了一倍：已攔截的 Office 365 相關非重複網路釣魚網址逐年比較。

資料來源：趨勢科技網站信譽評等服務。

駭入一個 Office 365 帳號，就能對企業機構內部進行網路釣魚攻擊

Office 365 的普及率已使得其每月活躍使用者數量在 10 月份突破 2 億大關，這也是為何它一直成為網路犯罪集團覬覦的主要目標。Office 365 帳號對歹徒之所以有價值還有另一個原因，那就是用來散發垃圾郵件。網路犯罪集團看上的是 Microsoft 的電子郵件平台，包含 Hotmail、Live Mail 及 MSN Mail，因為
Microsoft 電子郵件服務的郵件地址較容易被列在白名單內，對資安軟體來說也比較難以阻擋。此外，網路犯罪集團只要駭入一個 Office 365 帳號，就能對企業機構內部進行網路釣魚攻擊，完全不必再偽造電子郵件地址，這樣的攻擊讓企業更難防範。

四個網路釣魚詐騙新技巧

網路犯罪集團的技巧一直在不斷精進，其偽造的電子郵件越來越真假難辨，使得電子郵件與手機簡訊的收件人更容易上當。這一點，從 2019 年網路釣魚犯罪集團所使用的一些進階手法就能看出端倪。

1. 登入憑證釣魚技巧

趨勢科技在 4 月份披露了一起採用一種最新登入憑證釣魚技巧的攻擊行動，歹徒使用的是 SingleFile 這個 Google Chrome 和 Mozilla Firefox 皆支援的網頁延伸功能元件。歹徒利用這個延伸功能元件來產生與原始登入網頁一模一樣的頁面讓使用者輸入登入憑證，進而加以竊取。

2.破解雙重認證機制的網路釣魚技巧

此外，我們也觀察到一種可破解雙重認證機制的網路釣魚技巧，它基本上是破解了一次性密碼 (OTP) 的機制。2019 年，這個手法在日本相當流行，主要攻擊目標是網路銀行用戶。歹徒所發送的網路釣魚郵件或簡訊會將使用者帶往冒牌的網路銀行登入頁面。使用者一旦在該頁面上輸入自己的登入憑證，歹徒就將使用者的登入憑證拿到網路銀行真正的登入頁面同步登入使用者的網路帳戶。此時，網路銀行會產生一次性的密碼來確認使用者的身分。當使用者收到一次性密碼之後，會將該密碼輸入假冒的登入畫面，此時歹徒就會得到密碼，並拿去輸入到真正的登入畫面當中，如此就成功駭入使用者的銀行帳戶。

3.將網路釣魚連結插入搜尋結果當中

網路犯罪集團也成功利用類似方法來攔截使用者的網頁搜尋，將網路釣魚連結插入搜尋結果當中。2019 年，歹徒利用遭到操作的 Google 的搜尋結果，讓受害者不小心誤入網路釣魚網頁。此方法要能得逞，歹徒首先要重導網頁流量，將正牌網站的流量導向他們製作的網站，讓這些網站登上某些關鍵字在 Google 的熱搜排行。接著，歹徒發送含有這類 Google 熱搜網站連結的電子郵件。當受害者點選這類 Google 熱搜排行連結時，就會先連上歹徒架設的網站，然後再前往最後的網路釣魚網站。

4.自訂「404 Not Found」錯誤訊息頁面,發動網路釣魚攻擊

另一個在去年值得關注的網路釣魚技巧是利用自訂的「404 Not Found」(網頁找不到) 錯誤訊息頁面來發動攻擊。歹徒並非單純地製作一個網路釣魚網站，然後將受害者導向這個網站，而是先註冊一個網域，然後設定一個自訂的 404 Not Found 錯誤訊息頁面，讓這個頁面假冒成登入畫面。有了這麼一個自訂的 404 Not Found 錯誤訊息頁面，歹徒就能將網路釣魚攻擊全都導向這個網域而沒有數量限制。