網絡欺詐者的手法日漸細密,甚至在發動攻擊前,深入瞭解潛在受害人的詳細背景。
# p- S) ]! W6 s& L8 F1 J. x8 ?0 f9 r: B, }0 R, |7 p. e3 U7 o V
電腦安全專家最近發佈的報告指出,利用電郵地址作為密碼提示和註冊識別碼的網站,已成為欺詐者取得民眾詳細個人信息的渠道。
& v5 \8 g: f7 ~. @+ W7 W/ U6 n* F: l: a z; Z4 w3 k8 ~: L% N
根據報告的描述,欺詐者通過網站的註冊和密碼提示工具,自動輸入數萬個電郵地址。由於許多電子商務網站會回復特定的信息給已註冊的電郵帳號,攻擊者便可借此確定哪些地址是有效的。1 ^* r& C0 y Y, s! g! w
4 B8 @& U5 \- b: h9 O: T利用從數個不同網站收集的信息,惡徒便可針對特定的收件人,量身製作欺詐電郵,讓網絡使用者更難分辨這些信件究竟是一般的垃圾還是騙局。此外,專家表示,量身製作的信息也容易逃過垃圾郵件過濾器的偵測。
7 x% p; @& @1 P# @' D! a/ ?" M8 T0 t8 o* _7 [/ A: d- ^7 _3 v; ~5 A
反釣魚詐騙工作小組(Anti-Phishing Working Group)主席Dave Jevans 說:「釣魚攻擊最近變得更個人化和準確化。」這類欺詐相關的信息,現在會包含收件人的姓名或電郵地址,或甚至含有更多關於收件人的個人信息。! z) [! h$ f7 a- O3 s5 k J. n J% }' T
+ `% Y3 O& R6 V* A. |8 P) T6 r釣魚是一種盛行的在線欺詐,歹徒試圖竊取受害者的帳號、密碼和信用卡號等敏感信息,然後對外出售或盜用身份。這類騙局通常利用垃圾電郵和偽裝成合法網站的欺詐網頁。
( x8 a+ v6 ?' F, v, \+ q9 V- `* R9 h
欺詐者通常以自行編列、購買或在線收集等方法,準備大量的電郵地址。註冊或密碼提示攻擊的竅門在於網站的回應。許多商務網站會回覆特定的信息,如「這個地址已被註冊」,以便申請人更改帳號,但攻擊者卻可借此辨別哪些帳號有效。5 B! ^. r. j( d+ m) e! C
5 z) |8 f4 g% _4 M安全專家Eran Reshef 表示,電郵地址與網站配對之後,網絡罪犯便可取得真正使用者的性別、性取向、政治立場、居住地區、嗜好和消費過的網絡商店等詳細個人信息。( e+ U8 k3 r- y" l& o! d9 W3 E1 Y
5 v: V7 h# @. I( V5 E! h( b
Rashef說:「想像某個人知道你所有註冊過的網站,再想想那代表什麼。集合所有這類信息,你可以一份創造非常詳盡的個人側寫,不只是片段的信息。」- ~, \+ W1 M* Z5 Q% i( l
" k p4 \3 _ `* J4 e因此,這類攻擊的成功率也較高,因為當中所含的準確信息,會讓不知情的收件人以為那是合法的郵件。舉例來說,一封假冒銀行或信用卡公司的信件,可能指出收信人確實使用過的網絡商店名稱。% J" l( k8 D: t! g9 L8 d
; e9 D$ ?8 s# g8 R) r, |& g: t5 x安全專家發現,美國大多數受歡迎的網站都能讓欺詐者進行「惡意的個資收集」。此外,許多小型網站,包括網絡商店、運動團隊網站、政治組織和其他團體的網站也相當容易被利用。5 C( @$ z" u2 n7 w& F9 f; f& b7 Q
g3 `. U3 k& k
不過,該安全專家的研究顯示,惡意的個資收集尚未大幅擴散。Reshef說,某些網站經營者–例如大型銀行企業–似乎已注意到這個問題。這些網站都不讓使用者以電郵地址註冊帳號,並要求額外信息才會發出註冊或密碼提示,或採取其他安全措施。% Y( {& {& t- T o8 I+ D9 z
3 b4 C2 c5 s! o0 Y: F4 x- Q
eBay也是以實際行動阻擋註冊與密碼提示攻擊的商業網站之一。eBay的全球隱私權標準資深顧問Scott Shipman 表示,早在釣魚詐騙肆虐之前,該站便停止接受電郵地址作為使用者帳號,並在註冊與密碼提示過程中,採取其他保護措施。
, U; s6 W0 ]+ w# ~+ h- T; y+ b) N# ?, ^+ M
Shipman說:「這一切都是專門防範未授權的信息揭露,不管是多麼細微的信息,例如某個電郵地址或使用者帳號是否為本站的有效帳號。」 以eBay為例,不論特定電郵帳號是否曾在該站註冊,使用者帳號的提示功能均發出一樣的回應。Shipman說:「錯誤信息的用字遣詞讓人無法分辨這個帳號是否有效。」+ t2 B! o+ D5 \8 U2 h
" J( }" T4 h7 K8 A8 x- M: \Shipman 認為,設計一個不會洩漏使用者信息的網站,是所有網站經營者的責任。他表示:「這是何謂最佳經營行為的典範。」
! d6 J7 l/ z+ y- e8 x' G0 |6 o# H& I+ U0 ]
惡意的個資收集只是釣魚詐騙信息日益準確化的方式之一。本月稍早,安全研究人員曾提報,遭竊的消費者信息被用來盜領特定銀行個人帳戶內的存款。" ?9 X& v0 }3 J J0 E
- t: |- q+ w2 ^; p2 g w: k6 d反釣魚詐騙工作小組的Jevans表示,安全專家的研究顯示一股新興的釣魚欺詐威脅。他贊成在線組織應採取行動,消除註冊與密碼提示功能的安全弱點。他說:「我認為這項研究是真的,你絕對可以改寫網站的這項功能,或許也應該這麼做。」
; a" @3 J. x+ c8 d& T) J3 p
' a, k8 `/ ~2 z/ c: x個資收集如何進行?
0 I% E! e2 G* Y# R* d V
5 D% U; W' G! \) U以下條列出網絡惡徒如何建立潛在受害者的個人側寫,以提高欺詐犯罪的成功率。
7 }6 S- [; \' Z7 Y3 S" A
. I! C" L2 G: N: S1 k# x攻擊者用購買、網絡收集工具、自行編造或其他方式,準備大量電郵地址。# K6 T2 g- d; y0 F, D; b3 q
- F$ J* Q& V* d/ A% T* v- t" ]3 g3 e編寫一段script程序,自動執行將所有電郵在不同網站登入的程序,以便收取回覆。% p1 i! K& N5 q2 S) p' k
/ x3 }' J4 b, c! C8 ?# n1 |1 N
網站的回覆讓攻擊者確認個別電郵地址是否有效,再將這些信息彙編成詳盡的文件。
, K. o7 f2 n% X+ n
2 a6 A& B) j, q製作完成的個人文件用來量身定作欺詐電郵。 o! P4 u/ h* R0 s' s4 Q
5 Q, i3 N1 E7 \1 T) S如何阻擋攻擊?9 l, A% x1 m$ C D. t7 H4 |
1 Z3 p1 B, q! X% r, }, k唯有網站企業對註冊與未註冊電郵發出不同的回覆,「惡意個資收集」手段才有可能奏效。
2 s* L! P7 q0 {% e4 ]) O; O
% g3 m- M" Q) Z3 w" h當網站允許電郵地址作為註冊帳號,且沒有要求難以捏造的個人細節信息,如信用卡號以為驗證,其註冊功能才有可能被惡徒利用。
. t, k! U3 W/ `
# _% C3 ~& Z6 B7 Y9 L: h: T其他安全措施,如要求新登記者解答圖像問題,也能防範這類攻擊。6 B6 { I# r9 i! {" [' Q- c2 f3 r3 b5 P
' i5 U& X7 w5 H5 r9 A; k# m9 q除電郵地址之外,提示功能若還要求其他個人信息,惡徒便難以利用。
" |/ o2 e) d5 M2 q( r+ I. ]% |
9 r7 ~1 }. ?- `網站所提出的圖像式問題,也能有效制止這類欺詐手段。 |
發表於 2006-1-6 17:45:59
提升卡
沉默卡
变色卡