不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

這個抽獎頁面真的滿厲害,幾乎無處不在,使用免費好康的網站,很容易就會遇到,比如說免費 Youtube 轉 MP3、使用免費空間下載檔案、免費線上看影集之類的。人家說免錢的最貴,通常這些網頁裡都會隱藏髒東西,騙你點惡意連結、騙流量或是夾帶著釣魚訊息,想要偷你的個人資料!小心囉,天下沒有白吃的午餐,想要 iPhone 存錢買比較實在 xd


看到這個答題抽獎的頁面,你有沒有心動了一下?回答問題就能抽哀鳳7欸!

往下滑你會看到好多中獎人的評論,好像煞有其事?仔細看就覺得是英翻中,用字遣詞有些怪怪


你該有的危機意識

詐騙網站防不慎防,不要以為你有裝防毒軟體,或是使用有惡意網站阻擋功能的瀏覽器 (比如 Google Chrome 提供 Safe Browsering),就覺得安全囉!現有的防護機制還是以黑名單為主,當瀏覽器或防毒軟體發現你瀏覽的網站有問題時,會給你一個大大的警告,阻止你繼續瀏覽。

可是新的詐騙網站上線後,通常要經過一段時間才會被資安單位發現並加入黑名單,這之中的空窗期就變得相當危險,壞人可能透過電子郵件的方式散播,用很聳動的標題騙你打開,或是在你瀏覽網頁時彈出新視窗,比如「恭喜中大獎」之類的畫面。

基本上,瀏覽器有阻擋跳窗功能,或是安裝 AdBlock 阻擋廣告,危害就減小許多。當然如果你是高高手,停止瀏覽器執行 JavaScript,必要時在一個一個執行,這樣會更安全。但你需要有深入的資安知識,建立自己的黑白名單。


神農嚐百草?讓我們實際玩看看

我們就來回答問題囉,看看會發生什麼事!

第一題很簡單哈哈,答案是 Larry Page,其他兩位是微軟與臉書創辦人。隨便刷完三題簡題後,他也隨便給你一個驗證動畫,哇!我就中獎啦!根本太神了,接著又是一連串的騙局…

選擇 iPhone7 之後,進入到一個填問卷抽獎頁面 (奇怪?剛剛不是回答完了嗎),這個「大贏家」頁面也是滿多人會遇到,總之前面就是先試水溫,你有被騙的潛力,再讓你來這裡輸入個人資料。這個網頁背後有表單驗證,輸入錯誤會跳出警告,弄得煞有其事。不過聰明的人看的這個 Layout 應該就關掉了吧

接下來就叫你輸入電話、地址啦,中獎要寄去你家的嘛。填 2017 年生可是不行的喔,他有做驗證檢查,下方居然還夾帶個學英文廣告

成功送出後,應該沒多久就會收到釣魚信件了 (更進一步的騙你xd)

可以參考我在另一篇做的實驗,信件中煞有其事的要請你點連結,提升贏得大獎的機會

填問卷送手機?當心「瀏覽器意見調查」詐騙網頁

從這個例子來看網站的設計

釣魚或詐騙網站就是要和真正的網頁很像,博取你的信任,騙你輸入個人資料。可是長得一樣很容易被偵測工具抓到,所以說網站的設計者,會用一些方法讓頁面很像卻又不太像,一方面躲過偵測,一方面又要讓你信以為真。搞不好頁面稍微更動,你還以為是介面升級換新了呢!

這個例子原先使用正常的 Google Logo,後來才換成有禮物的 Logo,前端樣式仿造 Google Material Design,明顯看出是手刻的版面,沒有響應式設計。

你會想說為什麼不套用現成的前端套件,把頁面弄好看?我的理解是,有資安意識的人,本來就會提防釣魚,而這種散布式的釣魚網站,目標鎖定在資安意識薄弱的人。頁面長得像不像沒有那麼必要,他們受騙的機率本身就很高,與其花時間調整網頁,倒不如多造幾個假網頁,多入侵幾個網站比較實在。 仔細看一下網頁原始碼 (網頁上按右鍵->檢視網頁原始碼),你會發現上面的倒數計時啦,抽獎什麼的程式碼都是寫死的,跟本沒有和後端伺服器溝通,還有一堆重複的程式片段,把時間轉成中文,其實可以包成函式

接著我們來看看網址 (為了怕大家好奇心作祟,我先用xxx屏蔽網域名稱)。很明顯包含 Base64 編碼過的字串 …

還原一下看看他藏什麼東西

雖然有一些 ID 與編碼不知道是啥,但主要就是記錄著受騙人的基本訊息,比如時間、網路資訊 (比如用的是台灣固網)、點擊進來的來源網站等等,之後與個人資料做對應。Volumedata 這串資料,是由前一個頁面搜集並重新導向來這個頁面的,假若你把 volumedata 從網址砍掉,會發現抽不了獎品,畢竟還是有做防護,要蒐集資料嘛。

接著我們使用 Tamper Chrome 這個套件,擋住 Request 送出,觀察會送什麼東西出去。原本以為只會送個人資料,結果還會送剛剛的禮物選擇,是不是順便做市場調查啊哈哈


如果我的瀏覽器被綁架了該怎麼辦?

通常這種抽獎頁面是夾在廣告或是誘騙點擊才會開啟,不過也可能因為被植入惡意程式,使得你的瀏覽器被綁架,三不五時就會跳出來。遇到這類情形,你可以重新安裝瀏覽器,如果使用 Chrome,試試 Google 提供的「Chrome 清理工具」,他能夠掃描並移除垃圾程式。

假如病入膏肓,那真的要重灌了。像我之前做實驗,電腦被安裝假 Chrome,他會取代原有的 Chrome,當你點開桌面上的捷徑,殊不知你已經點開假程式,他將開始搜集個人資料與瀏覽紀錄 …


機器學習這麼夯,有辦法改善詐騙問題嗎?

在研究上,騙人的網站我們會進一步分成:釣魚網站詐騙網站,前者是模仿真正的網頁,騙你輸入帳號密碼信用卡之類的資訊:而後者則多半是恭喜你中大獎之類的騙局。雖然不該把釣魚與詐騙網站混為一談,但本質上都是要騙你的資料,這裏我們就不細分他們的差別,先看一篇新聞吧

轉移式學習搭配領域知識,用AI防範針對性攻擊

因為釣魚與詐騙網站生命週期短,傳統的黑名單更新跟不上變化的頻率,讓機器學習規則來預防是必然的趨勢。如同文中提到,在機器學習上,必須要有標籤 (Label),機器透過釣魚與不是釣魚兩種標籤,去學習釣魚網站應該長怎麼樣,有什麼組成,有什麼規則,下次看到類似的,就知道這個也是釣魚網頁。而為了要有標籤,除了人工肉眼標注之外,需要透過自動學習的方法來提升涵蓋率,或是使用轉移式學習,把其他領域的訓練成果套用過來,解決沒有標籤的問題。

目前釣魚網站偵測 (Phishing Detection) 套用機器學習,已經達到非常高的準確率 99.9 % (參考這篇論文),但是實驗數據與資料集有關,網站的變化太多,就我所知,應用上仍以黑名單為主。這是個諜對諜的過程,網站製造者會不斷的換網域名稱,找新的主機架設釣魚網頁,用一些方法規避偵測,想要準確的預防,還有很多挑戰。

這篇最主要是讓大家對釣魚與詐騙網站有更深入的了解,知道如何辨識有問題的頁面,知道詐騙網站是怎麼一步一步騙你的,假如被綁架了記得趕快消毒。

記住,在網路的世界中,沒有絕對的安全,多堆累積些資安意識吧


反詐騙系列文章


剛脫離研究苦海,目前正在休養生息。平時會觀察網路行銷、雲端運算與資訊安全等議題,曾在趨勢科技擔任實習生、 GCP 專門家擔任技術文章寫手,也擔任過 C、JAVA、雲端運算等課程助教。 歡迎來我的 粉絲專頁 按個讚。