粉絲團
賽門鐵克 3 月最新垃圾郵件及網路釣魚報告
SSL 憑證、 3D 密碼不夠看 駭客比銀行更了解你
賽門鐵克發表最新垃圾郵件及網路釣魚統計報告,垃圾郵件如上個月預測確實開始成長,每日平均垃圾郵件量比起上個月成長 8.7 %,是自 2010 年 8 月後,首次成長;垃圾郵件量佔整體郵件量達 80.65 %,比起上個月的 79.55 %有微幅上揚的趨勢;而在釣魚網站方面,本月又成長了 38.56 %,特別是在攻擊工具包及特殊網址所產生的釣魚網站為最大宗。在手法上,駭客們開始對信用卡等金融業者開打,透過假的 SSL 憑證與 3D 安全密碼之精密手段,竊取更多個人重要資訊。
詳情請見以下本月垃圾郵件及釣魚網站報告重點:
釣魚網站滲透信用卡公司,提供假的 SSL 憑證
在本月的網路釣魚觀察裡,賽門鐵克發現一個罕見的釣魚手法,駭客自行製作假的 SSL 憑證或攻擊合法憑證,建立一個消費者無法辨別真偽的 SSL 憑證釣魚網站,藉以降低消費者的警戒心,欺騙網路交易用戶。調查報告指出已有上百個釣魚網址皆透過此類手法進行詐騙,而這些釣魚網址都來自於同一個 IP 位置,並包含相同內容的詐騙網頁。
這類網站透過一個兩步驟的資料輸入過程,取得完整的個人金融資料;在第一步驟,消費者會被要求輸入完整姓名、生日、地址、 email 及線上交易密碼等基本資訊,以進行身份驗證。第二階段會要求消費者輸入欲交易之銀行資訊,如銀行名稱、銀行代碼、信用卡持卡人姓名、卡片類型、信用卡號、個人密碼、有效日期及信用卡背面安全碼等資料,一旦消費者輸入完成這些資訊後,將會被指引到一個空白的網頁,這時個人資料就已親自送到駭客的手裡。目前這類的釣魚網站僅發現在瑞士,但仍需引以為戒,勿成為下一個受害者。
破解信用卡的 3D 密碼?駭客再下猛藥
3D 密碼是為了防止信用卡持卡人因為卡號或驗證碼(卡片背後 3 碼)外流,而設計且單獨發送的密碼,通常這組密碼只有發卡銀行及持卡人知道,即便在進行線上交易時,網路商家也不會取得該組密碼。駭客了解擁有 3D 密碼的好處,因此想盡辦法欺騙消費者在釣魚網站上留下 3D 密碼,一旦此密碼被駭客取得後,信用卡將受到不當使用。
賽門鐵克發現在土耳其,一些釣魚網站就是專門騙取消費者的信用卡資訊及 3D 密碼,此類型的釣魚網站利用購買行動電話通話時間騙取消費者;釣魚網站要求消費者輸入行動電話號碼、購買多少通話時間、發卡銀行名稱、持卡人姓名、信用卡號碼、卡片有效期限、卡片背面安全碼以及 3D 密碼,更說明僅接受當地銀行所核發的信用卡,以增加可信度,當消費者完成資料輸入後進入下一個頁面時,將被轉址至釣魚網站頁面,要求輸入如母親的姓氏、持卡人生日及個人帳戶密碼等,輸入完畢後點選送出按鈕,釣魚網站告知消費者將會在一到五分鐘內收到一則含有密碼的簡訊以進入下一步驟,一切都讓消費者更加肯定此為真的交易網站。當然,消費者永遠都不會收到這則簡訊。當駭客手法越來越精緻,消費者在進行線上交易時務必要三思。
來自金磚四國的垃圾郵件
金磚四國( BRIC )是指巴西、俄羅斯、印度及中國四個經濟掘起的國家,也因為這些國家在經濟上的突飛猛進,亦帶來更多網路頻寬使用的需求,為此,也成為駭客操作殭屍網路的溫床。
