新釣魚攻擊利用「子母畫面」洩漏個資
編譯/陳佩君
近日發現一種新型釣魚攻擊方式對使用者的個人資訊安全構成了威脅,其攻擊手法利用「畫中畫」技術,又稱「子母畫面」(picture-in-picture,PiP)。駭客利用使用者對熟悉的商標和促銷活動的信任,使攻擊更具說服力且更難被檢測出來。在最近釣魚攻擊中,駭客利用複雜的隱藏策略欺騙使用者訪問惡意網站並透露敏感資訊,這次被發現之特別處是將惡意連結隱藏在無害的圖像中,這次針對達美航空(Delta Air)、柯爾(Kohl’s)等知名品牌客戶。
提供網路安全解決方案的供應商Check Point Software 的子公司 Avanan 正在調查這些攻擊並揭露駭客利用用戶對合法性認知,並透過促銷圖像文案加入惡意的連結,進而駭客利用連結過濾器限制,使電子郵件安全系統難以辨識相關威脅。當用戶收到該電子郵件後被引誘點擊,誤以為正在訪問合法的優惠或促銷計畫等,將會被重新導向主要在收集用戶憑證的假網站。Avanan 資安研究員 Jeremy Fuchs指出,「駭客通常很喜歡將檔案、圖像或 QR code連結到某些惡意內容。電子郵件供應商可透過使用光學字元辨識(Optical Character Recognition,OCR)將圖像轉換為文字或解析 QR code解碼,並查看真正的意圖,但許多安全服務不會這樣做。」
這些攻擊影響不限個人,如航空公司的「顧客忠誠計畫」包含現金回饋、點數回饋、會員等級等資訊會送達公司信箱,並隨著遠端工作興起,許多員工因業務需求,使用個人設備或企業提供筆電造訪個人服務相關網站等,使企業更易受到網路釣魚攻擊。在釣魚攻擊中另有一項擔憂的生成式人工智慧來建立逼真且合法電子郵件、促銷素材等,因人工智慧技術進步,造成駭客更易製作逼真的圖像,模仿真實品牌的溝通模式,而這些人工智慧製造的攻擊很難被檢測到,故對用戶構成極大威脅跟挑戰。
為了保護自己免受這種釣魚攻擊的威脅,應要保持警惕,不隨意點擊彈出視窗或來路不明的連結,並確保使用最新版本瀏覽器和安全軟體減少受攻擊風險,且定期檢查並更新密碼,避免在不安全的網站使用相同的密碼,來避免個人的資料外洩或被竊取的風險。
資料來源:HackRead
瀏覽 680 次
