阿碼外傳-阿碼科技非官方中文 Blog: 實戰模擬之釣魚網站(Challenge to Phishing Website)

2008年8月16日

實戰模擬之釣魚網站(Challenge to Phishing Website)

最近釣魚郵件多到不行,可以參考這篇新聞,看來 Mass SQL Injection 之後,再結合釣魚郵件搭配釣魚網站的手法交互運用,可以參考之前 POST 的一篇文,只能說「有心人士」用盡心思,推出的嘔心瀝血之作啊。
所以,我們當然要用欣賞的角度來看囉!面對創意的人,我們當然要投以藝術眼光的啦...

下面有兩個實作釣魚網站經常利用的「概念」與「創意」:(此兩網站並無惡意程式)
1.實戰釣魚網站(A):主要運用騙術。
2.實戰釣魚網站(B):除了騙術,還有些玩弄小程式,你能脫身嗎?
解答在後面...

實戰釣魚網站(A):
劇本就是"你需要看影片的程式,要你下載安裝",就這簡單。
下載檔案後的樣子...
有發現異狀嗎?這可是絕妙的陷阱耶,偽裝成資料夾的圖示。點兩下開啟資料夾就變成執行程式喔。

注意它實際上還是執行檔的喔。所以檔案圖示是可以唬人的,有些會偽裝成壓縮檔或播放程式的圖示,像是 rar, zip, flash 的檔案,賊吧。

實戰釣魚網站(B):
這個劇本就比較狠的,會有訊息告訴你說你需要安裝元件,且訊息就跟真的一樣;另外,會不會發現畫面關不掉,讓你一直在循環中,就是要你下載程式。
下載檔案後的樣子...
也是一個美輪美奐的檔案,會不會忍不住執行、安裝它咧...

如果測試過程中,看到下面畫面就表示你失敗了,因為你執行了惡意程式囉!當然啦,這兩個網站是讓你測試的,它不是真的惡意程式。


這兩個測驗你通過了嗎?因為已經告訴你這是個測驗了,所以你已經有準備了,如果在夾在釣魚郵件中的網站連結,你能不被騙嗎?
基本上,對付釣魚郵件還是需要靠個人使用電子郵件的警覺性的,有時還是有可能不小心連線到釣魚網站,如果釣魚網站夾帶惡意攻擊碼,需要靠你的瀏覽環境去應付,可以到這來挑戰你的上網環境;如果使用的是單純騙術,哪就考驗你的智慧啦;但也可能結合兩者喔...

作者 Crane 為阿碼科技 資安顧問

本文同步張貼於「資安之我見(What I see)」:模擬實戰釣魚網站

3 篇回應 :

ycwen 提到...

卡巴斯基立刻就幫我檔下來了,連想點都不行

SimbA Chang 提到...

我的小紅傘也是 =^=

Crane_Ku 提到...

目前這類手法目前在國外當紅(Ad-Malware),歸類於 Click by Download 手法的一種。大部份還搭配「偽防毒軟體」的劇本案情,內容精彩可期。可以參考:
http://armorize-cht.blogspot.com/2008/09/blog-post.html

張貼留言