網路釣魚利用看似正常的網域名稱躲避偵測,包含假冒帳號密碼通知的中文郵件

Phishing uses legit-looking domains

儘管在疫情期間,電子郵件威脅仍持續攀升,而且網路釣魚網址的數量更趁勢成長。趨勢科技觀察到網路釣魚與電子郵件威脅情況依然持續。

最近,我們在追蹤網路釣魚活動時,觀察到一項結合網路釣魚郵件與詐騙網頁的技巧,此技巧利用一個網址來將使用者導向某個網路釣魚頁面,但其所在網域本身就是一個詐騙網站。

行為


整個詐騙流程先從一封網路釣魚郵件開始:

figure_1_phishing_email
圖 1:歹徒使用的網路釣魚郵件。


收件人若點選這封郵件上的「Release All/Block All」連結,就會被帶往「hxxps://wiseinvestors[.pro]/mail/mail.php?log=」這個與電子郵件本身毫不相干的網站,並顯示一個假冒的電子郵件登入畫面:

figure_2_fake_login
圖 2:假冒的電子郵件登入頁面。


上圖看到的其實是大多數網路釣魚常見的手法,但這個案例特別的之處在於,該網域本身就是一個可存取的網站,直接連上該網站「 hxxps://wiseinvestors[.]pro」會出現一個公司頁面:

figure_3_company_page.jpg
圖 3:wiseinvestors[.]pro 的公司網頁。


根據我們判斷,這應該是一個捏造的公司,原因有以下幾點:

  • 網域名稱。其網域名稱「WiseInvestors」與其公司標誌上的名稱「Pearl」不符,其實 Pearl 是一個 WordPress 提供的一個主題範本,而非真實的公司名稱。
    • 罕見的頂層網域 (TLD)。其網址的頂層網域「.pro」相當罕見,這類罕見的 TLD有別於常見的 .com、.net、.ph 等網域,通常非常便宜,所以受到網路犯罪集團青睞。
    • 範本文字。網站內容還殘留了一些範本文字 (類似印刷業經常用來查看字型效果的「Lorem Ipsum」範本文字),參見圖 4。
    • 網域註冊資料。根據 Whois 的查詢結果,該網域註冊還不到一年,這一點跟絕大多數的惡意網域一樣。
figure_4_website_template_text.jpg
圖 4:網站內容似乎還未完成。



figure_6_other_phishing.jpg
圖 5:wiseinvestors[.]pro 網站的 Whois 查詢結果。

像這樣的網路釣魚技巧,可以讓網路犯罪集團避開一些即時偵測技術,因為這種看似正常的網域需要進一步查證才能確認是否有問題,而一般防毒軟體的垃圾郵件防護與惡意網址攔截功能可能無法做到這點。而且,就算網路釣魚(Phishing)郵件被攔截了,其指向的惡意網域本身還是不會被攔截,所以網路犯罪集團仍可使用相同的網域再產生更多的網路釣魚網址。

像這樣結合網路釣魚郵件與詐騙網站的技巧,趨勢科技在最近幾個月已看到多起案例,以下是其中幾個:

figure_7_other_phishing.jpg
圖 6:假冒的帳號密碼通知中文郵件,引誘收件人點選連結。


figure_7_other_phishing.jpg
圖 7:上圖郵件中的網路釣魚網址「hxxp://webmail[.]dfl[.]com[.]cn 」會將使用者導向位於「hxxp://www[.]monbienetre-site[.]com/wp-content/twentytwenty/rebrand/?{email.}」的假冒登入網頁。


figure_8_other_phishing.jpg
圖 8:網域「 hxxp://www[.]monbienetre-site[.]com」假冒成某個部落格網站。詐騙網站上有一些範本文字,內容為推銷一些價格相當昂貴的訂閱服務。



figure_9_other_phishing.jpg
圖 9:又一個假冒成帳號密碼通知的網路釣魚郵件,點選「Keep password」(保留原密碼) 會重導至另一個網頁。


figure_10_other_phishing.jpg
圖 10:承上圖,這個假冒的登入頁面位於「hxxp://bzaronline[.]com」。

 


figure_11_other_phishing.jpg
圖 11:此網域「hxxp://bzaronline[.]com」會顯示一個名為「WoodMart」的 WordPress 附加功能範本。 請注意,WoodMart 是一個真實的機構,但該網域卻不是。

切勿成為網路釣魚郵件與詐騙網站的受害者


要防範這類攻擊,使用者應該養成習慣在點選任何郵件內連結之前都先做好以下幾個動作:

  • 仔細檢查電子郵件的內容,看看電子郵件地址、郵件本文、連結等等是否有不一致的情形。
    • 如果您點選了郵件中的連結,請仔細查站您連上的網站,即使網站首頁看似正常,也不代表就不是惡意網站,網站內如果有一些範例文字,就是一個相當可疑的跡象。
    • 若情況發生在您工作用的電腦,請立即通知資安與 IT 服務人員,他們有能力做更進一步的檢查。

企業機構可採取一些資安最佳實務原則以盡可能不讓類似的網路釣魚攻擊得逞,一開始就避免威脅進入企業,就能預防損失。以下是企業可採取的一些資安措施:

  • 保護電子郵件閘道,確保電子郵件閘道安全可以防範經由垃圾郵件和網路釣魚所帶來的威脅,此外也有助於防止使用者開啟可疑的郵件和附件。

原文出處:Phishing Technique Uses Legitimate-looking Domains to Avoid Detection 作者: Paul Miguel Babon

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,
FB IG Youtube LINE 官網