安全研究人員在黑色星期五這週披露了阿里巴巴所擁有網路購物服務AliExpress.com(全球速賣通)的一個漏洞,這家公司在全球擁有超過1億的客戶。該網路購物網站被發現一個開放式重新導向(open redirect)漏洞,讓攻擊者能夠展示假優惠券給購物者,以騙取敏感資料。AliExpress在被通知的兩天內採取了行動並加以修復。
受駭者一旦執行包含惡意Javascript程式碼的AliExpress網頁連結,主畫面上會跳出假優惠券視窗來要求客戶提供信用卡資料。攻擊者控制了這個假視窗,使得信用卡資料直接送給攻擊者而非購物網站。
替此漏洞找出攻擊方法的安全研究人員指出,AliExpress只用了簡單的方法來阻止這類攻擊。這方法會檢查請求的referer標頭。如果referer沒有設定或不正確,請求會被伺服器拒絕。referer是用來標識請求來源網頁地址的HTTP標頭。
為了繞過AliExrpress的檢查網址來源的保護機制,研究人員送出會由許可且受信賴AliExpress網址導向的惡意連結。為了測試成功,研究人員找出AliExpress內會重新導向第二個AliExpress內連結的連結,讓惡意連結可以加以取代。研究人員將所選擇連結作成了短網址,好讓其看起來不會可疑。點擊這連結的客戶會被送到一個AliExpress登入畫面,接著會將JavaScript注入頁面並發出假優惠券。
防範網路釣魚攻擊
隨著購物季節的到來,攻擊者可能會趁這機會來利用網路釣魚攻擊賺一筆。如果你懷疑自己成為了網路釣魚騙局的受害者,請立刻變更所有帳號的密碼和個人識別碼。
以下是其他如何發現和防止網路釣魚詐騙的九個建議:
- 將購物網站加入書籤。避免用搜尋引擎來找優惠。將你的搜尋結果限制在受信任且安全的購物網站,這能夠減少你連到詐騙網站的機會。
- 記得要檢查連結。在點入內嵌的連結前先將游標移到上面來確認網址是否正常。
- 詐騙郵件通常包含制式的問候語。同時收件者也可能只用使用者的郵件地址而沒有加上他/她的名稱,這是一個警訊。
- 注意不良的文法或拼寫錯誤。正常郵件不會出現明顯的錯誤。
- 識別設計完善的電子郵件。錯誤或不當的標誌和版面設計也可以看出郵件並非來自可信來源。
- 當網站要求輸入密碼時要小心謹慎。切勿將密碼或敏感資訊交給不受信任或第三方網站。
- 小心那些要求採取緊急行動的郵件或網站。有些郵件會包括緊急的行動要求,如點入某些連結或給出個人資料。
- 提防各種誇張得不真實的好康優惠。有一種說法是:“如果事情看起來好得太不真實,那可能就不是真的”,這同樣也適用於網路購物。小心那些用非常低價格提供的商品。
- 定期檢查信用卡帳單。注意未經授權的交易。
最近
