[資安小常識] 最新的釣魚攻擊 - Bouncer List Phishing

  • Article

作者:Vavrin Chen

 

圖一、圖片來源:https://www.eweek.com/security/phishers-use-bouncer-list-to-fix-scope-on-targets/

 

傳統的釣魚攻擊分為兩類,一類是假冒知名網站的假網頁,例如最近聲稱留下個人 LINE ID 就免費贈送付費貼圖的網站或網路銀行的登入網頁,這些都是為了竊取用戶資訊 (使用者名稱、密碼),並從這些資訊中獲利;另一類釣魚攻擊則是誘騙使用者點進植入惡意程式碼的網站,點進後會啟動 ActiveX、Java 指令,自動將木馬程式安裝到您的電腦中,如 Tabnabbing 手法,透過瀏覽器的頁籤功能,當您切換至其它頁籤時,指令會將原先頁籤的內容導到另外一個假冒的網頁,且要求你輸入帳號密碼。

 

圖二、Line 免費貼圖詐騙

 

 

圖三、IE 偵測到含有惡意程式碼的網站

 

傳統的網路釣魚攻擊沒有鎖定目標,越多人受到攻擊,駭客就能獲得越多的資料。不過,最近出現“Bouncer List Phishing 新型釣魚攻擊顛覆了這種模式。“Bouncer list phishing”手法的差別在於,只有被列為攻擊目標的人才能看到該釣魚網站。由於只有特定的人可以看到釣魚網站,這意味著它能避免或延後被防釣工具偵測到的時間,它的攻擊方式為:用戶透過 Email 收到不同的連結,若點擊進入該連結,會先經過身分驗證,如果該用戶在攻擊名單內,就會載入釣魚網頁,若用戶不在釣魚名單內,則只會出現『找不到該網頁』的訊息。就像宴會的 VIP,只有在邀請名單上的貴賓才被允許參加。

 

全球每天新增的網頁連結有數百萬個,加上 Bouncer List Phishing 限制只有某些人能流覽該釣魚網站,因此安全公司要發現這樣的攻擊就像是大海撈針一樣。此外這種攻擊方式若結合 魚叉式網路釣魚(Spear phishing)高級持續性滲透攻擊(Advanced Persistent Threat,APT)之類的攻擊行為,對用戶來說會是相當大的威脅,不可不慎!因此,當一位精明的使用者,識別出可疑電子郵件的跡象,並作出適當的反應,相信無論是傳統的網絡釣魚或是最新的 Bouncer List Phishing 都無法竊取到您的個人資訊。

 

 

 

參考資料