手機釣魚-The Line of Death

近期三甲小編們留意到了這篇文章-The inception bar: a new phishing method [1],面對新型態的手機釣魚手法,網址列顯示內容的真實性也不能讓人放心了。

接著小編就透過這篇文章帶大家看看日前最新的釣魚手法-「The line of death」。

這項新型的釣魚網站攻擊,原來是利用手機在使用Chrome瀏覽網頁時,自動隱藏網址列的特性去進行攻擊的。透過欺騙,讓使用者誤以為自己正在瀏覽安全的網站,但事實上使用者卻在瀏覽駭客的惡意網站!如影片所表示,使用者若不仔細注意網址列的話,會誤以為自己正在瀏覽「https://aaasec.com 」,但事實上在影片一開始使用者卻是在瀏覽「 www.youhavebeenhacked.xxxx.xx 」的惡意網址。透過這種方式,就會讓不知情的人上鉤,而將自己的機敏資訊洩漏給惡意網站了。

而The Line of Death所指的就是透過劃分的界線去區分「可相信」以及「不可相信」的區域。跨越了這條線的區塊就可能踏進了死亡禁區。[2]

通常會以上圖這條線作為分界線,紅線以上為可信區塊,而紅線底下為不可信區塊。原因是因為網站內容可能是偽造的,但實際上以這個例子而言,這樣的區分方式已不足以劃分不可信與可信區域了。真正的情況會是如下圖,這些區域皆都是能透過假造進而欺騙使用者上鉤的區塊。

現在幾乎人手一支智慧型手機,手機已不僅是人與人通訊的工具而已了,舉凡上網瀏覽網頁、網路購物、玩遊戲等,越來越多的事情都能透過手機執行,但越是便利的應用越可能被有心人進一步利用。

為了提倡社交工程、釣魚網站的危險性,我們常建議大家在利用手機執行較機敏的行為時,應該多留意一下目標網站的一些細節,像是網址列的部分,透過確認這些小地方進而去避免更大的損失。而社交工程攻擊就是其中一項,五花八門的釣魚手法雖然屢見不鮮,但是一般民眾仍缺乏資安意識,因此讓駭客更有機可乘。

層出不窮的釣魚手法防不勝防,面對The Line of Death這樣的釣魚攻擊使用者端其實很難去防範,但還是老話一句,建議大家盡量不要點擊或下載來不明的網址,也盡量在執行較機敏的操作時,多留意一下是否已經被導向惡意網站了!多一分注意,少一分意外。

[1] The inception bar: a new phishing method https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/

[2] 駭客新釣魚手法!網址列也不可信了嗎?談模糊的 Line of Death https://medium.com/@jaydenlin/駭客新釣魚手法-模糊的-line-of-death-網址列也不可信了嗎-c3b45d3bbc32?fbclid=IwAR14XqNzMqP7hT2O_DgMP3Mf_rU1wYxzs6iNnRhoEoCjodVYVbZMAzJemjM

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。