不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

這個抽獎頁面真的滿厲害,幾乎無處不在,使用免費好康的網站,很容易就會遇到,比如說免費 Youtube 轉 MP3、使用免費空間下載檔案、免費線上看影集之類的。人家說免錢的最貴,通常這些網頁裡都會隱藏髒東西,騙你點惡意連結、騙流量或是夾帶著釣魚訊息,想要偷你的個人資料!小心囉,天下沒有白吃的午餐,想要 iPhone 存錢買比較實在


看到這個答題抽獎的頁面,你有沒有心動了一下?回答問題就能抽哀鳳7欸!

googlephish - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

往下滑你會看到好多中獎人的評論,好像煞有其事?仔細看就覺得是英翻中,用字遣詞有些怪怪

googlephish3 - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

你該有的危機意識

詐騙網站防不慎防,不要以為你有裝防毒軟體,或是使用有惡意網站阻擋功能的瀏覽器 (比如 Google Chrome 提供 Safe Browsering),就覺得安全囉!現有的防護機制還是以黑名單為主,當瀏覽器或防毒軟體發現你瀏覽的網站有問題時,會給你一個大大的警告,阻止你繼續瀏覽。

可是新的詐騙網站上線後,通常要經過一段時間才會被資安單位發現並加入黑名單,這之中的空窗期就變得相當危險,壞人可能透過電子郵件的方式散播,用很聳動的標題騙你打開,或是在你瀏覽網頁時彈出新視窗,比如「恭喜中大獎」之類的畫面。

基本上,瀏覽器有阻擋跳窗功能,或是安裝 AdBlock 阻擋廣告,危害就減小許多。當然如果你是高高手,停止瀏覽器執行 JavaScript,必要時在一個一個執行,這樣會更安全。但你需要有深入的資安知識,建立自己的黑白名單。


神農嚐百草?讓我們實際玩看看

我們就來回答問題囉,看看會發生什麼事!

第一題很簡單哈哈,答案是 Larry Page,其他兩位是微軟與臉書創辦人。隨便刷完三題簡題後,他也隨便給你一個驗證動畫,哇!我就中獎啦!根本太神了,接著又是一連串的騙局…

googlephish2 e1496724633646 - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

選擇 iPhone7 之後,進入到一個填問卷抽獎頁面 (奇怪?剛剛不是回答完了嗎),這個「大贏家」頁面也是滿多人會遇到,總之前面就是先試水溫,你有被騙的潛力,再讓你來這裡輸入個人資料。這個網頁背後有表單驗證,輸入錯誤會跳出警告,弄得煞有其事。不過聰明的人看的這個 Layout 應該就關掉了吧

googlephish6 - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

接下來就叫你輸入電話、地址啦,中獎要寄去你家的嘛。填 2017 年生可是不行的喔,他有做驗證檢查,下方居然還夾帶個學英文廣告

googlephish8 - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

成功送出後,應該沒多久就會收到釣魚信件了 (更進一步的騙你xd)

可以參考我在另一篇做的實驗,信件中煞有其事的要請你點連結,提升贏得大獎的機會

填問卷送手機?當心「瀏覽器意見調查」詐騙網頁

從這個例子來看網站的設計

釣魚或詐騙網站就是要和真正的網頁很像,博取你的信任,騙你輸入個人資料。可是長得一樣很容易被偵測工具抓到,所以說網站的設計者,會用一些方法讓頁面很像卻又不太像,一方面躲過偵測,一方面又要讓你信以為真。搞不好頁面稍微更動,你還以為是介面升級換新了呢!

這個例子原先使用正常的 Google Logo,後來才換成有禮物的 Logo,前端樣式仿造 Google Material Design,明顯看出是手刻的版面,沒有響應式設計。

fakegoogle - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

你會想說為什麼不套用現成的前端套件,把頁面弄好看?我的理解是,有資安意識的人,本來就會提防釣魚,而這種散布式的釣魚網站,目標鎖定在資安意識薄弱的人。頁面長得像不像沒有那麼必要,他們受騙的機率本身就很高,與其花時間調整網頁,倒不如多造幾個假網頁,多入侵幾個網站比較實在。 仔細看一下網頁原始碼 (網頁上按右鍵->檢視網頁原始碼),你會發現上面的倒數計時啦,抽獎什麼的程式碼都是寫死的,跟本沒有和後端伺服器溝通,還有一堆重複的程式片段,把時間轉成中文,其實可以包成函式

googlephishj - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

接著我們來看看網址 (為了怕大家好奇心作祟,我先用xxx屏蔽網域名稱)。很明顯包含 Base64 編碼過的字串 …

googlephishp - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

還原一下看看他藏什麼東西

googlephishad - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

雖然有一些 ID 與編碼不知道是啥,但主要就是記錄著受騙人的基本訊息,比如時間、網路資訊 (比如用的是台灣固網)、點擊進來的來源網站等等,之後與個人資料做對應。Volumedata 這串資料,是由前一個頁面搜集並重新導向來這個頁面的,假若你把 volumedata 從網址砍掉,會發現抽不了獎品,畢竟還是有做防護,要蒐集資料嘛。

接著我們使用 Tamper Chrome 這個套件,擋住 Request 送出,觀察會送什麼東西出去。原本以為只會送個人資料,結果還會送剛剛的禮物選擇,是不是順便做市場調查啊哈哈

blockphish - 不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

所以,如我我填了問卷,個資外洩怎麼辦?

既然資料已經送出去了,就追不回來了呀,請記得這次的教訓,以後在網路上填寫個人資料要小心、小心、再小心 (很重要所以說三次)

你肯定會覺得緊張,覺得懊惱,哀呀,當初如果小心求證的話,也不會落到如此下場。真的沒有辦法嗎?有沒有甚麼補救措施?那些外洩的資料會不會造成甚麼問題?就讓我們來看看,遇到以下情況你可以怎麼處理

如果你提供了姓名、電話、住址

  • 你可能會遇到:這類網站基本上會跟一些企業合作,你的個人資料可能會被用於電話或網路行銷。因此過沒多久,你會接到行銷電話、或是收到廣告信件
  • 你可以這樣做:不要隨意開啟來路不明的電子郵件,也多多注意陌生電話,你可以安裝來電辨識 App (例如 WhosCall ),避免被二次釣魚。畢竟資料外洩就是外洩了,如果你有把你的任何密碼設置跟姓名、電話、住址有關,請你趕快更換相關密碼,以免密碼被駭客用暴力法破解出來

如果你提供了信用卡號

  • 你可能會遇到:在不安全的網站購物很危險,你的信用卡可能會被不當扣款,甚至是盜刷。
  • 你可以這樣做:遇到這種情況,最好的方法是立刻撥打電話至你的發卡銀行,要求作廢換新卡,以避免卡片日後遭盜刷。如果你已經被盜刷了,趕快跟銀行確認一下被刷了那些款項,看看有沒有辦法追討回來

如果你還是擔心

你可以寄信給該網站,要求刪除你的個人資料,或是撥打 165 反詐騙專線尋求更進一步的協助


機器學習這麼夯,有辦法改善詐騙問題嗎?

在研究上,騙人的網站我們會進一步分成:釣魚網站詐騙網站,前者是模仿真正的網頁,騙你輸入帳號密碼信用卡之類的資訊:而後者則多半是恭喜你中大獎之類的騙局。雖然不該把釣魚與詐騙網站混為一談,但本質上都是要騙你的資料,這裏我們就不細分他們的差別,先看一篇新聞吧

轉移式學習搭配領域知識,用AI防範針對性攻擊

因為釣魚與詐騙網站生命週期短,傳統的黑名單更新跟不上變化的頻率,讓機器學習規則來預防是必然的趨勢。如同文中提到,在機器學習上,必須要有標籤 (Label),機器透過釣魚與不是釣魚兩種標籤,去學習釣魚網站應該長怎麼樣,有什麼組成,有什麼規則,下次看到類似的,就知道這個也是釣魚網頁。而為了要有標籤,除了人工肉眼標注之外,需要透過自動學習的方法來提升涵蓋率,或是使用轉移式學習,把其他領域的訓練成果套用過來,解決沒有標籤的問題

目前釣魚網站偵測 (Phishing Detection) 套用機器學習,已經達到非常高的準確率 99.9 % (參考這篇論文),但是實驗數據與資料集有關,網站的變化太多,就我所知,應用上仍以黑名單為主。這是個諜對諜的過程,網站製造者會不斷的換網域名稱,找新的主機架設釣魚網頁,用一些方法規避偵測,想要準確的預防,還有很多挑戰


後記 2018/10

原本這篇文章只是要帶大家分析詐騙網站,但從網友的回應來看,災情比我想像的嚴重…

有很多人問我不小心洩漏個資該怎麼辦,也有網友填了信用卡號,結果被連續扣款。但說真的,這種攻擊手法很難阻擋,因為他的網頁主機、網域名稱不斷地在變換,而且是大量的利用漏洞去挾持正常主機,把正常網頁導向他的抽獎網站,我能做的,就是寫下這篇文章,提醒路過此處的你,要小心謹慎,不要因為免費好康而因小失大

記住,在網路的世界中,沒有絕對的安全,多堆累積些資安意識吧!

Jerry
Jerry

樂於分享的軟體工程師,曾在新創與大型科技公司實習,獲得黑客松競賽冠軍,擔任資安研討會講者。長期熱衷於資訊安全、雲端服務、網路行銷等領域,希望將科技知識分享給更多人。內容轉載請來信:jlee58tw@gmail.com

93 則留言

  1. 現在進一步告知中獎要支付1~2美元及限時,還要填信用卡資料。一好奇亂填亂答還說答對了!

發表回應