又見釣魚電郵~

新冠病毒肆虐當兒,想當然的魑魅魍魎(記錄一下拼音:chī、mèi、wǎng、liǎng)也都開始活躍起來了。現在大部分時間都被鎖在家門,當然最方便的作惡之處就是通過網絡服務,而電郵釣魚則是其中一種老招數,但卻確實真的有魚上鈎。。。

這回要剖析的,是冒充POS Malaysia的一份電郵。開始前需要先吐槽一下,雖然說馬來西亞的公家網頁,很多時候都讓人覺得技術低劣,不顧用戶體驗毫無設計可言,但這個冒牌的也未免太懶了吧?公司圖片隨便套上去模塊內,子行空格全都隨意,然後就這樣丟出來了。 。 。囧

說實在,會中招的也許除了對網絡不熟悉的朋友,也許也只有喝醉了?但下面這份電郵確實有些特殊,我得說出來,讓大夥自己警惕一下。

電郵外觀
冒充得很爛的釣魚電郵

畫面不多說,真的很爛。雖然說 pos.com.my 已經有設置好最簡易的 SPF 電郵保安記錄,但至少得弄一個比較像樣的電郵地址才說得過去吧?直接就是弄個名字就算了,這樣好嗎?

電郵標簽
用戶一般不看重的部分,是給電郵服務器參閲的記錄。
這部分一般是需要手動才能顯示的隱藏訊息。

這部分則是我想要提醒大夥的其中一個重點。黃色標識的,是這份電郵成功發送的電郵賬號記錄。負責的服務器是帶著 .gov.bf 這個域名後綴,如果你稍微有注意域名後綴的個別作用,也許你也知道帶有 .gov 的後綴域名是需要通過認證才能夠注冊。而且只有政府相關單位,才能通過。

很明顯的,這裏標示的用戶電郵賬號肯定是被駭了。。。所以別以爲只有個別網絡用戶才會中招,這裏連政府相關單位都可以被駭,那麽身爲一般人的我們是否應該更加小心保護自己呢?

付款鏈接

把鼠標輕輕放到付款鏈接上,下方就會顯示這個鏈接的指向位置。

曾有維護網頁經驗的朋友,應該都曉得這個 .well-known 文件夾,其實就是用於注冊 SSL 加密證書時,所常使用的一個設置。由於現在 SSL 加密證書限制最高只能頒發 390天的使用周期,所以一般一年只會進入一次,也有可能證書是由系統自動更新,這樣就更少機會會進入查看了。

這個家夥,直接在這裏植入了一個脚本,看文件名應該是用來跳轉到釣魚的頁面,過後再做一些想做的事情。。。切記,請勿因爲好奇就按進去!如果你的瀏覽器還有什麽漏洞沒有更新補上,很可能進入的當兒,在你毫不知情的情況下,你的電腦就會被入侵了。下來會發生什麽事情,就看對方的能力,還有你是否幸運了。

結論

說這麽多,其實要提醒的只有那麽幾件事。

  1. 系統、瀏覽器、以及常用的任何軟件,請務必定期更新,甚至我是强烈建議每天檢查,一旦看到有更新提醒就立刻執行。
  2. 在現代這個高度網絡連接的世代,已經沒有所謂的電腦安全區域。不明來歷的軟件,請別裝載到你的電腦中。尤其是所謂的 zeroed software (意思是已經被破解的軟件),除非你是打算完全不讓系統聯網,否則別拿來使用。比對起可能的損失,毫不划算。
  3. 對於任何來自電郵的訊息,請再三仔細詳勘,才自己考慮是否真的要打開其中的附檔文件。我看過安全專業的展示,就算電腦中所有項目都已經更新了,還有基本的病毒防護,但只需要打開一個看上去非常正常的Microsoft Word檔案,就可以被毫無察覺的情況下入侵,可以爲所欲爲。更恐怖的是你不會知道你的攝像頭正在拍著你(攝像頭不會亮燈),所有輸入都會被記錄。。。有興趣的朋友,可以到這看他在Youtube上的展示。

Thunderbird電郵内容顯示不出來?

半年前,由於更換電腦硬盤,被逼要重裝所有軟件。其中,也順道升級了Eset Security到最新版本,結果出事了。。。

首先是Thunderbird啓動畫面看不到了,說什麽Invalid Security Certificate,還有一堆錯誤訊息,簡單說就是這個首頁畫面無法顯示就是了。再來就是插件畫面,無論怎樣刷新都好,連Exclude List中都已經加入了 *.mozilla.org/* 這個數據,但還是依然衹能見到一堆文字,圖片、排版全丟了。然後,還有很多本來可以看到内容的電郵,大部分都無法正確顯示,衹要是其使用了綫上圖片,就一定不能顯示出來。。。

Continue reading “Thunderbird電郵内容顯示不出來?”

又見釣魚電郵

由於負責管理公用電郵賬號,很多時候就會收到不少的“壞電郵”。其中,釣魚電郵爲最,而下面要分享的這個,是今天才看到而且製作得不錯的“釣魚電郵”。如果某位管理員睡不醒,很可能也會中招。。。

下面這是其抓圖:

Physhing Email

電郵中的訊息,看起來和往常的電郵差不多。電郵來源也是和往常錯誤回彈電郵常用的賬號。再看看内容,也是很正常,或應該說太正常了。

我當時第一時間在想:“欸?服務器更新了?這個訊息很人性化哦~”。

但繼續看下去就奇怪了:“怎麽電郵預設 Port 不是常見的 110 嗎?怎麽變成 486 了?”。

和往常慣例,按任何鏈接前,先檢查其鏈接位置,立刻就露出馬脚了:

Fake link location

看到紅綫的位置嗎?很明顯,這是假的。。。

小心駛得萬年船,心細無大錯。

共勉之。

DNS Changer

在去年年尾,美國FBI破獲了一宗有史以來最嚴重的網絡犯罪集團,他們主要依靠竄改DNS服務器位置,以控制受害人電腦的瀏覽動作來創造網絡廣告的點擊率,進而謀取大量廣告收益。行動名稱為Ghost Click。

其犯罪集團乃使用了多家網絡公司的名義註冊,並以經營正當網絡業務作為掩護,在各別地點設立伺服器。由於這種分散式的運作方法,所以儘管經過多個單位共同協作,也只能在遲至去年11月才被破獲。經過深入調查所獲得的資料,鑑定受到影響的網絡用戶超過四百萬、橫跨100個國家!其中源自美國的用戶就超過了50萬,受害名單中涵蓋了私人領域、政府機構甚至還有受到高度保護的NASA員工。

詳細的訊息,可以到文章後面提供的網頁連接看看。這裡想要說的是過後的“手尾”。

上面所提到的DNS服務器,其實對所有網民來說都不熟悉,但卻是必需的項目。DNS服務器的功用就如同谷歌一樣,是用於查詢用途的。但差別在於前者是用來查詢確實網絡位置(IP Address),而後者只是提供網頁地址(HTTP)。用現實生活中的項目來比對的話,DNS就是我們的地圖,當我們要找某個地址時,它將為我們指出這地點的位置在哪;谷歌就如同黃頁服務,我們提供某商家的名字,它提供其地址。所以如果沒有谷歌,我們還可以上網,但沒有DNS服務器的服務,除非我們可以記得某個網頁的IP地址,否則就只能望網興嘆了。

注:舊有我們是使用IPv4,才用12個數目字組成IP地址,但現在正推動的IPv6卻是採用了32個16進位的數字組成。。。你有信心可以記起來嗎?(按這進一步了解

針對這次的事件,鑑於受害人的DNS都已經被竄改過了,考慮到一旦把這些犯罪使用的服務器第一時間關閉後,將會有大量網絡用戶受到影響,所以將其關閉日期挪後到2012年3月8日。但鑑於在日期到達前的檢查結果顯示還有大量用戶還沒跟進修改動作,所以再次延後到9月7日。

目前一些主要的網頁服務公司都已經開始對其用戶發出更正警告訊息,但收效如何還是不曉得。不過以孫康的經驗來說,這做法可是無謂的。既然他們這麼就都還沒更換,很可能就是那種只顧上網,不管其他的網民。對電腦一知半解的他們,要他們自己自動自發去修改這些設定真的不容易。除非真的不能用了,才會去找技術人員來協助處理。

如果你在想自己會不會已經中招了,可以試試進入這個網址,自己做檢查:
http://www.dcwg.org/detect/ 

對於這Ghost Click事件有興趣的朋友,可以進以下的網址看看整個行動是怎麼一回事:

很厉害的电脑病毒

这个病毒真的非常厉害,运用了人性中的弱点,连我这种专业人士一不小心也差点中招。。。

话说今天一位同事走过来对我说电脑好像中病毒了,系统查到并指示要下载清毒程式,让我去帮她看看。结果差点就中招了。

—–

其实这是一个典型的网页病毒,利用设计好的页面取信于用户,然后乘机会要求用户把档案下载并安装,过后就可以为所欲为了。。。

电邮内容
所收到的电邮内容
进入页面后得到的视窗讯息。
一个标准的视窗讯息,通知你中毒啦~!不过看清楚一点的话,左上方的明明就是浏览器的讯息栏目。用JS写的。。。
展示出来的查毒页面。
这个查毒页面是不是很熟悉?做得就跟真的一样。但它只是一个简单的活动图片而已!!!我还在奇怪为什么它可以Scan这么快速。。。
猫腻来了。。。嘿~
猫腻来了。。。嘿~随便按吧~结果都一样会下载一个档案。。。
跳过后的结果。。。
这是接下来的图片。。。不管怎样关,它都会一直显示。。。
视窗画面
下来就是显示你开始除毒的讯息,但由于我使用Chrome测试,所以会看到下载xxxxx.exe档案的画面。
下载。。。
这个文件如果你真的跑去下载。。。嘿~恭喜了。
最后如果真的下载了,并安装了那个所谓的『免费除毒程序』,过后你就有乐大了。。。先别说电脑会开始发疯,下来如果你曾经进入过某些银行的网页、FB、电邮等等等,所有使用的密码都会被暗中的传送到幕后黑手上,然后你就准备在某一天发现一系列的惊喜吧~

再来,我试过如果使用IE来开这个网址的话,就有很大的可能性会中招!
<img src="/plugins/HC_Emoticons/emoticons/S4/s4_03.gif" alt="怎麼辦" longdesc="” border=”0″>

所以,这要教训大家,不管收到的电邮来自自己最亲的朋友或情人或亲人,请务必小心,别乱打开里面的链接!!!而且最重要的是:

防毒软件不可免!IE浏览器不可用!