這種手法利用精密的「SQL注入攻擊」（Search Parameter Injection Attack），巧妙地在企業官方網站上顯示詐騙集團的電話號碼，讓民眾難以辨識真偽，上當受騙。記者孫敬／編譯

一種鎖定全球多家知名企業的新型詐騙手法正悄然蔓延，包括Netflix、微軟（Microsoft）、美國銀行（Bank of America）等跨國巨頭都成為受害者。這種手法利用精密的「SQL注入攻擊」（Search Parameter Injection Attack），巧妙地在企業官方網站上顯示詐騙集團的電話號碼，讓民眾難以辨識真偽，上當受騙。

延伸閱讀：AI助垃圾郵件更氾濫 高擬真語氣讓收件人難以辨認真假

[caption id="attachment_123874" align="aligncenter" width="1200"] SQL注入攻擊將聯絡方始巧妙替換成詐團聯絡方式。（圖／科技島圖庫）[/caption]

手法解析：從Google廣告到官網植入，假號碼難以察覺

資安公司Malwarebytes指出，這類詐騙攻擊流程複雜且隱蔽。詐團首先會在Google等搜尋引擎購買贊助廣告，讓其廣告頁面看起來像是各大品牌的官方頁面。當用戶點擊這些看似正常的連結時，連結中卻夾帶了惡意的URL參數，這些參數正是利用了目標網站搜尋功能的「反射式跨網站指令碼」。

換句話說，當受害者點擊這些被「下毒」的連結後，雖然網頁瀏覽器上顯示的仍是貨真價實的官方網址，例如Netflix或微軟的官方網站，但頁面上的客服電話卻已被悄悄替換成詐團號碼。這是因為攻擊者在URL中加入了特殊編碼的字元，並將詐騙電話號碼隱藏其中。這些參數會操縱網站的搜尋結果顯示，讓詐騙電話號碼「看似」是網站本身的官方聯絡資訊，甚至直接顯示在搜尋結果頁面中，讓受害者誤以為是公司提供的正確號碼。

官網驗證不足成漏洞，資安專家提醒辨識技巧

這種詐騙手法的危險之處在於，受害者從頭到尾都停留在官方網站上，瀏覽器網址列顯示的也確實是公司官網，這使得詐騙幾乎不可能被一般用戶察覺，除非有專業的資安工具輔助。攻擊之所以成功，主要歸因於許多企業網站未能對搜尋查詢參數進行足夠的「淨化」處理。當用戶輸入搜尋關鍵字時，許多網站只是簡單地呈現URL中出現的數據，沒有進行充分的驗證，產生反射式跨網站指令碼漏洞，讓詐騙者得以趁虛而入。

資安專家提醒民眾，為避免落入此類詐騙陷阱，務必留意以下警訊：

• 電話號碼直接出現在URL中。
• 瀏覽器網址列中出現「立即致電（Call Now）」或「緊急支援（Emergency Support）」等可疑搜尋字詞。
• 電話號碼旁出現過多的編碼字元（如%20、%2B等）。

資料來源：Cyber Security News

這篇文章 鎖定Netflix、微軟等大廠官網 駭客用「SQL注入攻擊」植入假客服電話！ 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。