儘管在疫情期間，電子郵件威脅仍持續攀升，而且網路釣魚網址的數量更趁勢成長。趨勢科技觀察到網路釣魚與電子郵件威脅情況依然持續。

最近，我們在追蹤網路釣魚活動時，觀察到一項結合網路釣魚郵件與詐騙網頁的技巧，此技巧利用一個網址來將使用者導向某個網路釣魚頁面，但其所在網域本身就是一個詐騙網站。

行為

整個詐騙流程先從一封網路釣魚郵件開始：

收件人若點選這封郵件上的「Release All/Block All」連結，就會被帶往「hxxps://wiseinvestors[.pro]/mail/mail.php?log=」這個與電子郵件本身毫不相干的網站，並顯示一個假冒的電子郵件登入畫面：

上圖看到的其實是大多數網路釣魚常見的手法，但這個案例特別的之處在於，該網域本身就是一個可存取的網站，直接連上該網站「 hxxps://wiseinvestors[.]pro」會出現一個公司頁面：

根據我們判斷，這應該是一個捏造的公司，原因有以下幾點：

• 網域名稱。其網域名稱「WiseInvestors」與其公司標誌上的名稱「Pearl」不符，其實 Pearl 是一個 WordPress 提供的一個主題範本，而非真實的公司名稱。
  • 罕見的頂層網域 (TLD)。其網址的頂層網域「.pro」相當罕見，這類罕見的 TLD有別於常見的 .com、.net、.ph 等網域，通常非常便宜，所以受到網路犯罪集團青睞。
  • 範本文字。網站內容還殘留了一些範本文字 (類似印刷業經常用來查看字型效果的「Lorem Ipsum」範本文字)，參見圖 4。
  • 網域註冊資料。根據 Whois 的查詢結果，該網域註冊還不到一年，這一點跟絕大多數的惡意網域一樣。

像這樣的網路釣魚技巧，可以讓網路犯罪集團避開一些即時偵測技術，因為這種看似正常的網域需要進一步查證才能確認是否有問題，而一般防毒軟體的垃圾郵件防護與惡意網址攔截功能可能無法做到這點。而且，就算網路釣魚(Phishing)郵件被攔截了，其指向的惡意網域本身還是不會被攔截，所以網路犯罪集團仍可使用相同的網域再產生更多的網路釣魚網址。

像這樣結合網路釣魚郵件與詐騙網站的技巧，趨勢科技在最近幾個月已看到多起案例，以下是其中幾個：

 

切勿成為網路釣魚郵件與詐騙網站的受害者

要防範這類攻擊，使用者應該養成習慣在點選任何郵件內連結之前都先做好以下幾個動作：

• 仔細檢查電子郵件的內容，看看電子郵件地址、郵件本文、連結等等是否有不一致的情形。
  • 如果您點選了郵件中的連結，請仔細查站您連上的網站，即使網站首頁看似正常，也不代表就不是惡意網站，網站內如果有一些範例文字，就是一個相當可疑的跡象。
  • 若情況發生在您工作用的電腦，請立即通知資安與 IT 服務人員，他們有能力做更進一步的檢查。

企業機構可採取一些資安最佳實務原則以盡可能不讓類似的網路釣魚攻擊得逞，一開始就避免威脅進入企業，就能預防損失。以下是企業可採取的一些資安措施：

• 保護電子郵件閘道，確保電子郵件閘道安全可以防範經由垃圾郵件和網路釣魚所帶來的威脅，此外也有助於防止使用者開啟可疑的郵件和附件。
  • 定期備份檔案，趨勢科技建議採用一套多層式防護來防範威脅所有可能的入侵點。此外，像趨勢科技 Email Security 這樣的解決方案可運用進階機器學習與動態沙盒模擬分析來攔截電子郵件威脅。

原文出處：Phishing Technique Uses Legitimate-looking Domains to Avoid Detection 作者： Paul Miguel Babon