駭客曾透過 BitB 手法偽造《CS 絕對武力:全球攻勢》網站
這「全新」釣魚攻擊手法早在 2020 年 2 月就高調現身,當時攻擊者透過 BitB 手法打造假《絕對武力:全球攻勢》(Counter-Strike: Global Offensive,CS: GO)網站,以竊取電子遊戲數位發行服務 Steam 憑證。對使用者來說,這假網站看起來一切正常,因網域 Steamcommunity[.]com 合法,且還使用安全 HTTPS。但當使用者嘗試從目前視窗拖拉這提示視窗時,會消失於邊緣以外。這一點也不意外,因本就不是合法彈出式視窗,而是目前視窗以 HTML 偽造的視窗。
儘管 BitB 手法讓駭客更輕易展開各種有效社交工程攻擊,但駭客還是要確保受害者必須成功重新導向到會顯示假冒身分驗證視窗的釣魚網域才行,否則無法取得想要的使用者憑證。一旦使用者成功導向攻擊者擁有的網站時,即使再精明的使用者也無法看出網站「有鬼」,並在認定合法網站後,便完全放心在惡意網站輸入憑證。
何謂網路釣魚?
釣魚攻擊(Phishing attack),又稱「網絡釣魚」,是流行的網絡犯罪手段。黑客以漁翁撒網方式發放偽裝由政府、銀行、網上付款服務商、網上零售商或公司商業夥伴等機構的電郵或短訊,內含的連結或二維碼所指向的釣魚網站與真實網站極度相似,從而誘使收件者輸入登入密碼、個人資料、信用卡資料等。黑客亦可能會在訊息內嵌連結、二維碼或檔案附件,如收件者不慎點擊連結或開啟附件,其裝置便可能受惡意軟件感染。
除了假冒網站、網路釣魚電子郵件工具,以及專門用來竊取登入資訊的惡意登入網頁之外,駭客還會成立電話中心,好讓您在撥打他們電子郵件、假冒網站或文字簡訊當中所附的電話號碼時可以有專人接聽。
現代的勒索病毒集團通常會攻擊較大型的企業以盡可能提高獲利,他們會先花費大量時間來駭入受害者網路的每一個區段,最後才發動勒索病毒攻擊。像這樣多階段式的攻擊,一開始通常都是經由一封網路釣魚郵件來突破企業的防線。
🔽繼續看以下 我網站統整的各種詐騙方式🔽