又見釣魚電郵~

新冠病毒肆虐當兒,想當然的魑魅魍魎(記錄一下拼音:chī、mèi、wǎng、liǎng)也都開始活躍起來了。現在大部分時間都被鎖在家門,當然最方便的作惡之處就是通過網絡服務,而電郵釣魚則是其中一種老招數,但卻確實真的有魚上鈎。。。

這回要剖析的,是冒充POS Malaysia的一份電郵。開始前需要先吐槽一下,雖然說馬來西亞的公家網頁,很多時候都讓人覺得技術低劣,不顧用戶體驗毫無設計可言,但這個冒牌的也未免太懶了吧?公司圖片隨便套上去模塊內,子行空格全都隨意,然後就這樣丟出來了。 。 。囧

說實在,會中招的也許除了對網絡不熟悉的朋友,也許也只有喝醉了?但下面這份電郵確實有些特殊,我得說出來,讓大夥自己警惕一下。

電郵外觀
冒充得很爛的釣魚電郵

畫面不多說,真的很爛。雖然說 pos.com.my 已經有設置好最簡易的 SPF 電郵保安記錄,但至少得弄一個比較像樣的電郵地址才說得過去吧?直接就是弄個名字就算了,這樣好嗎?

電郵標簽
用戶一般不看重的部分,是給電郵服務器參閲的記錄。
這部分一般是需要手動才能顯示的隱藏訊息。

這部分則是我想要提醒大夥的其中一個重點。黃色標識的,是這份電郵成功發送的電郵賬號記錄。負責的服務器是帶著 .gov.bf 這個域名後綴,如果你稍微有注意域名後綴的個別作用,也許你也知道帶有 .gov 的後綴域名是需要通過認證才能夠注冊。而且只有政府相關單位,才能通過。

很明顯的,這裏標示的用戶電郵賬號肯定是被駭了。。。所以別以爲只有個別網絡用戶才會中招,這裏連政府相關單位都可以被駭,那麽身爲一般人的我們是否應該更加小心保護自己呢?

付款鏈接

把鼠標輕輕放到付款鏈接上,下方就會顯示這個鏈接的指向位置。

曾有維護網頁經驗的朋友,應該都曉得這個 .well-known 文件夾,其實就是用於注冊 SSL 加密證書時,所常使用的一個設置。由於現在 SSL 加密證書限制最高只能頒發 390天的使用周期,所以一般一年只會進入一次,也有可能證書是由系統自動更新,這樣就更少機會會進入查看了。

這個家夥,直接在這裏植入了一個脚本,看文件名應該是用來跳轉到釣魚的頁面,過後再做一些想做的事情。。。切記,請勿因爲好奇就按進去!如果你的瀏覽器還有什麽漏洞沒有更新補上,很可能進入的當兒,在你毫不知情的情況下,你的電腦就會被入侵了。下來會發生什麽事情,就看對方的能力,還有你是否幸運了。

結論

說這麽多,其實要提醒的只有那麽幾件事。

  1. 系統、瀏覽器、以及常用的任何軟件,請務必定期更新,甚至我是强烈建議每天檢查,一旦看到有更新提醒就立刻執行。
  2. 在現代這個高度網絡連接的世代,已經沒有所謂的電腦安全區域。不明來歷的軟件,請別裝載到你的電腦中。尤其是所謂的 zeroed software (意思是已經被破解的軟件),除非你是打算完全不讓系統聯網,否則別拿來使用。比對起可能的損失,毫不划算。
  3. 對於任何來自電郵的訊息,請再三仔細詳勘,才自己考慮是否真的要打開其中的附檔文件。我看過安全專業的展示,就算電腦中所有項目都已經更新了,還有基本的病毒防護,但只需要打開一個看上去非常正常的Microsoft Word檔案,就可以被毫無察覺的情況下入侵,可以爲所欲爲。更恐怖的是你不會知道你的攝像頭正在拍著你(攝像頭不會亮燈),所有輸入都會被記錄。。。有興趣的朋友,可以到這看他在Youtube上的展示。