網路釣魚者接手「Heartbleed」殺戮戰場

賽門鐵克近期檢測到有網路釣魚者利用「Heartbleed」弱點的網路釣魚方式。釣魚攻擊者會利用線上服務當陷阱， 並假裝提醒使用者小心「Heartbleed」的弱點, 來竊取用戶資料。

「Heartbleed」弱點影響的版本遍及 OpenSSL 1.01. 到 1.0.1f。目前 OpenSSL 已釋出 OpenSSL 1.0.1g 修補該弱點。Symantec’s security advisory 解釋了更多相關的細節並提供了相關的補救措施。

垃圾郵件發送者與網路釣魚者知道利用新聞趨勢與熱門話題來掩飾他們的攻擊行為。以網路釣魚郵件來說，網路釣魚者通常會引用有關現在熱門的網路安全的問題來掩蓋並合法化他們的攻擊陷阱。這些電子郵件會吸引收件人點選陷阱並洩漏重要資訊。

舉例來說，網路釣魚者會寄出下述這類的電子郵件


▲Heartbleed 的網絡釣魚郵件。
 
本案例中可以看到一些有趣的破綻：

• 此釣魚信件利用網路熱門話題「Heartbleed」詐騙用戶，利用恐懼話題來引誘用戶點擊受攻擊的連結網頁。
• 注意字句間不尋常用法 (例如 “has initiate”)。通常網絡釣魚者會試圖利用一些新的話題來吸引用戶。但由於攻擊者是在短時間內快速的的發出一個新的網絡釣魚活動，因此往往就會寫出一些奇怪的用詞。
• 此郵件雖然聲稱是從一個線上安全提醒，但卻包含了一個連結到外的「登錄」的頁面引導用戶進入一個被攻擊入侵的國外網頁中。通常建議不要隨便點選網路或郵件上的不明連結。

水杉而 於 2015-05-25 09:06:57 修改文章內容