網路釣魚手法再進化!駭客QR Code、定位、CAPTCHA三大陷阱手法曝光
記者孫敬/編譯
昔日大家熟悉的網路釣魚,現今已不再透過相似的字詞或偽造電子郵件地址來詐騙,駭客使用更精巧的「閃躲式」手法,巧妙規避偵測工具,甚至有警覺性的使用者也難以辨識。根據外媒報導,最新資安研究發現,有三大新興的網路釣魚手法出現。
延伸閱讀:微軟Office爆CVSS平均8.4分資安漏洞 跨平台版本皆有重大風險
駭客三大「閃躲式」新招:精準鎖定、隱蔽誘騙難以察覺
- 隱藏惡意連結於QR Code: 駭客不再直接寄送釣魚連結,而是將其埋入QR Code圖像,偽裝成登入提示、付款通知或包裹遞送等無害內容。
- 為何危險:許多電子郵件過濾機制無法「辨識」QR Code的圖像連結,使其得以規避偵測。手機使用者在掃描QR Code時,通常不會顯示完整網址,常常就直接點擊。一旦進入釣魚網站,其高度擬真的介面可能讓受害者輸入憑證、信用卡號甚至雙重認證碼,導致企業帳戶、支付系統或個人資料被竊。
- 應對方式:幸運的是,像雲端沙盒測試環境的網站Any.run,能夠自動解碼QR Code並取得連結,在短時間找出完整的攻擊鏈。
- 地理定位與重新導向: 部分網路釣魚並非立即暴露惡意內容。駭客會先依據受害者的地理位置、瀏覽器設定、系統細節等資訊進行「指紋辨識」(Fingerprinting)。如果訪客符合攻擊者的目標條件,才會被導向至釣魚網站;若不符合,則會被導向至如Tesla官網等合法網站。
- 為何危險: 這種技術讓攻擊更具隱蔽性和高針對性,標準掃描工具因不符合條件,可能無法觸發惡意程式,從而錯失偵測機會。
- 應對方式: 互動式沙盒允許分析師快速更改虛擬機器的IP及網路設定,模擬目標地理位置,以觸發並分析威脅,揭露標準工具難以察覺的釣魚企圖。
- CAPTCHA表單延遲偵測: 現在的網路釣魚比以往更有互動性,部分甚至利用CAPTCHA驗證碼作為刻意的規避步驟。這些驗證碼意在阻擋自動化機器人、漏洞掃描器和資安工具觸及真正的惡意內容。
- 為何危險? 透過在攻擊鏈前端設置CAPTCHA,威脅行為者可以延遲甚至完全阻止偵測,因為大多數自動化工具無法自動解決驗證碼,導致它們無法看到後續的惡意頁面。
- 應對方式: 具備自動互動功能的沙盒工具,能像真實用戶一樣解決CAPTCHA,從而揭露攻擊的下一階段,完整記錄並分析被掩蓋的惡意行為。
資料來源:Cyber Security News
瀏覽 892 次
