阿碼外傳-阿碼科技非官方中文 Blog: 2008年8月8日

2008年8月8日

近來CNN一系列的釣魚郵件及釣魚網站窺探

***首部曲***
主旨:CNN.com Daily Top 10
哇!CNN服務真好,主動寄日報給我耶!要有國際觀先從這開始吧...


有沒有想過為啥CNN會主動寄郵件給你呢?你是不是應該收到呢?你應不應該開啟呢?沒錯!這是釣魚郵件。它結合三大攻擊手法呢?
1.維俏維妙的釣魚郵件內容,可不像一般簡單的幾個字加上一個超連結(URL),以後釣魚郵件的餌會越來越精美。
2.釣魚郵件內的連結(URL)連往詐騙網站(Phishing Website),詐騙網站會給你看似正常的下載,如執行檔(.exe)...等。未來詐騙網站會越來越符合常理判斷,一不小心就...
3.詐騙網站(Phishing Website)還夾帶惡意攻擊碼,會攻擊瀏覽器漏洞,而且還會設法規避偵測。若是0-Day漏洞出現,只能願上帝保佑...

瀏覽惡意連結的網站(hxxp://www.bardaue?.com.br/index2.html,注意瀏覽郵件連結是危險動作),瀏覽畫面如下:


它的攻擊碼在這裡(hxxp://www.bardaue?.com.br/1.html),隱藏的挺好的。還有好幾個規避偵測的技巧在其中。


有沒有好的工具可以分析一下相關連結呢?目前我知道的有四個,如果有人知道其他的網站有,小弟不吝賜教囉!

1.HackAlert:http://hackalert.armorize.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


2.LinkScanner:http://linkscanner.explabs.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


3.Dr.Web:http://online.us.drweb.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


4.Finjan:http://www.finjan.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果:

檢測"hxxp://www.bardaue?.com.br/1.html"結果:


這還不是「魚叉式網路詐騙(Spear phishing)」的郵件喔!想知道啥是「魚叉式網路詐騙」可以參考這裡的微軟網站說明、還有中文維基,這類郵件更難識別一旦被鎖定,得要練就一身好功夫才行。

***二部曲***
原本的釣魚郵件內容已經相當精美了,你會分辨嗎?但之前的釣魚網站卻太遜了,只有CNN的一個小Logo。
這次"CNN.com Daily Top 10"的釣魚網站內容進化了,已經到近乎完美!
URL:hxxp://www.bellomeparrucchieri?.it/cnnnews.html


看出網站的陷阱嗎?
1.當然是URL(Domain)不正確,不是真正的CNN網站,但你又知道正確CNN網站的URL(Domain)嗎?
2."Adobe Flash Player"陷阱,你真的沒安裝嗎?還是安裝了它在誘騙你去安裝?
3.它讓你一定得看到"下載程式"的訊息,不然其他訊息一直跳出來,視窗又關不掉。這是絕招....

前一個畫面點選取消,會出現接下來的畫面,只有確定的選項可以選擇,點選"確定"後又回到前一畫面,逼你一定得選第一畫面的"確定"選項,這時瀏覽器視窗也無法直接關閉。頑強抵抗是沒有用的。


所以一定得到下面訊息,才能關閉。夠狠吧!


你不會已經下載並且執行了吧...XD
這次網站並未夾帶惡意攻擊碼,相信還會在放上來的...

***三部曲***
寄件者:CNN Alerts [tid-sucila@rakcorrosioncontrol.com]
主旨:CNN Alerts: My Custom Alert
內容:
Alert Name: My Custom Alert

Ledger's joker withdrawn from Oscar race
Fri, 8 Aug 2008 11:19:24 +0300

FULL STORY
==================================


看到釣魚郵件的網站連結在哪了吧!看出它的手法了吧!
還有一點呼應首部曲中釣魚郵件的內容哩...顯然有一連串的計畫手法。這惡意連結連到哪呢?相信大家已經猜到了,沒錯,就是二部曲中的釣魚網站。

郵件內容也是相當火熱的連結,搭上今晚奧運開幕的熱門新聞,這也是釣魚郵件需要符合新聞潮流的必要條件,才會使多人容易受騙上當的,魚餌在"FULL STORY"的連結,其他連結都是正常的。這樣的釣魚郵件非常仿真,反垃圾郵件廠商要注意了,因為躲過反垃圾郵件過濾的機率相當高,大家小心...

***還有續集嗎?***
一定會有的,都是換湯不換藥的,更替一下郵件內容、換個釣魚網站、找下一個熱門國際新聞...,新的釣魚郵件及釣魚網站又會出現的,而且會一直躲過反垃圾郵件的過濾的,你能分辨嗎?

作者 Crane 為阿碼科技 資安顧問


繼續閱讀全文...