假官網、真釣魚 辦公室軟件又遭盜

資安專家近日發現自今年5月到7月以來，大量駭客利用知名品牌，如美國運通（American Express）及Snapchat網域，開放漏洞寄送數千封釣魚信件，將用戶導向到竊取用戶帳密及憑證資訊的惡意釣魚網站，資安專家提醒議儘量不要被假網站引導，應核准的安全連線清單（即白名單）以防被駭客上下其手。

根據統計Snapchat網站發出的近7,000封釣魚信件中，有大量連結將用戶導向假的DocuSign、FedEx及微軟網頁，而美國運通網域發送的2,000多封釣魚信件中，皆導向到假的微軟網頁，而2波攻擊都是透過以假亂真的釣魚頁面，騙取用戶的Microsoft 365帳密。

在這2波攻擊中，駭客在變造的URL插入「可辨識個資」（personally identifiable information，PII），使「惡意登陸頁」（landing pages）依不同人隨時變化。此外，攻擊者都使用Base 64編碼器將插入的PII轉為隨機符號，大部分用戶往往無法辨識到該為病毒。

Snapchat的漏洞一出現後，去年8月初就有人通報，但Snapchat一直未修補直到安全廠商的通知，致其發送的釣魚信件數量激增，而FedEx則是在釣魚信件發出後很快就修補，現在點入惡意信件的連結，就會導向正牌American Express的錯誤頁。

為防範此類郵件攻擊，資安專家提醒用戶要小心URL中的「url=」、「redirect=」、「external-link」或「proxy」，另一個特徵是，這些郵件URL會多次使用「http」。（記者／劉閔）

瀏覽 1,230 次