這個抽獎頁面真的滿厲害,幾乎無處不在,使用免費好康的網站,很容易就會遇到,比如說免費 Youtube 轉 MP3、使用免費空間下載檔案、免費線上看影集之類的。人家說免錢的最貴,通常這些網頁裡都會隱藏髒東西,騙你點惡意連結、騙流量或是夾帶著釣魚訊息,想要偷你的個人資料!小心囉,天下沒有白吃的午餐,想要 iPhone 存錢買比較實在
看到這個答題抽獎的頁面,你有沒有心動了一下?回答問題就能抽哀鳳7欸!
往下滑你會看到好多中獎人的評論,好像煞有其事?仔細看就覺得是英翻中,用字遣詞有些怪怪
你該有的危機意識
詐騙網站防不慎防,不要以為你有裝防毒軟體,或是使用有惡意網站阻擋功能的瀏覽器 (比如 Google Chrome 提供 Safe Browsering),就覺得安全囉!現有的防護機制還是以黑名單為主,當瀏覽器或防毒軟體發現你瀏覽的網站有問題時,會給你一個大大的警告,阻止你繼續瀏覽。
可是新的詐騙網站上線後,通常要經過一段時間才會被資安單位發現並加入黑名單,這之中的空窗期就變得相當危險,壞人可能透過電子郵件的方式散播,用很聳動的標題騙你打開,或是在你瀏覽網頁時彈出新視窗,比如「恭喜中大獎」之類的畫面。
基本上,瀏覽器有阻擋跳窗功能,或是安裝 AdBlock 阻擋廣告,危害就減小許多。當然如果你是高高手,停止瀏覽器執行 JavaScript,必要時在一個一個執行,這樣會更安全。但你需要有深入的資安知識,建立自己的黑白名單。
神農嚐百草?讓我們實際玩看看
我們就來回答問題囉,看看會發生什麼事!
第一題很簡單哈哈,答案是 Larry Page,其他兩位是微軟與臉書創辦人。隨便刷完三題簡題後,他也隨便給你一個驗證動畫,哇!我就中獎啦!根本太神了,接著又是一連串的騙局…
選擇 iPhone7 之後,進入到一個填問卷抽獎頁面 (奇怪?剛剛不是回答完了嗎),這個「大贏家」頁面也是滿多人會遇到,總之前面就是先試水溫,你有被騙的潛力,再讓你來這裡輸入個人資料。這個網頁背後有表單驗證,輸入錯誤會跳出警告,弄得煞有其事。不過聰明的人看的這個 Layout 應該就關掉了吧
接下來就叫你輸入電話、地址啦,中獎要寄去你家的嘛。填 2017 年生可是不行的喔,他有做驗證檢查,下方居然還夾帶個學英文廣告
成功送出後,應該沒多久就會收到釣魚信件了 (更進一步的騙你xd)
可以參考我在另一篇做的實驗,信件中煞有其事的要請你點連結,提升贏得大獎的機會
填問卷送手機?當心「瀏覽器意見調查」詐騙網頁
從這個例子來看網站的設計
釣魚或詐騙網站就是要和真正的網頁很像,博取你的信任,騙你輸入個人資料。可是長得一樣很容易被偵測工具抓到,所以說網站的設計者,會用一些方法讓頁面很像卻又不太像,一方面躲過偵測,一方面又要讓你信以為真。搞不好頁面稍微更動,你還以為是介面升級換新了呢!
這個例子原先使用正常的 Google Logo,後來才換成有禮物的 Logo,前端樣式仿造 Google Material Design,明顯看出是手刻的版面,沒有響應式設計。
你會想說為什麼不套用現成的前端套件,把頁面弄好看?我的理解是,有資安意識的人,本來就會提防釣魚,而這種散布式的釣魚網站,目標鎖定在資安意識薄弱的人。頁面長得像不像沒有那麼必要,他們受騙的機率本身就很高,與其花時間調整網頁,倒不如多造幾個假網頁,多入侵幾個網站比較實在。 仔細看一下網頁原始碼 (網頁上按右鍵->檢視網頁原始碼),你會發現上面的倒數計時啦,抽獎什麼的程式碼都是寫死的,跟本沒有和後端伺服器溝通,還有一堆重複的程式片段,把時間轉成中文,其實可以包成函式
接著我們來看看網址 (為了怕大家好奇心作祟,我先用xxx屏蔽網域名稱)。很明顯包含 Base64 編碼過的字串 …
還原一下看看他藏什麼東西
雖然有一些 ID 與編碼不知道是啥,但主要就是記錄著受騙人的基本訊息,比如時間、網路資訊 (比如用的是台灣固網)、點擊進來的來源網站等等,之後與個人資料做對應。Volumedata 這串資料,是由前一個頁面搜集並重新導向來這個頁面的,假若你把 volumedata 從網址砍掉,會發現抽不了獎品,畢竟還是有做防護,要蒐集資料嘛。
接著我們使用 Tamper Chrome 這個套件,擋住 Request 送出,觀察會送什麼東西出去。原本以為只會送個人資料,結果還會送剛剛的禮物選擇,是不是順便做市場調查啊哈哈
所以,如我我填了問卷,個資外洩怎麼辦?
既然資料已經送出去了,就追不回來了呀,請記得這次的教訓,以後在網路上填寫個人資料要小心、小心、再小心 (很重要所以說三次)
你肯定會覺得緊張,覺得懊惱,哀呀,當初如果小心求證的話,也不會落到如此下場。真的沒有辦法嗎?有沒有甚麼補救措施?那些外洩的資料會不會造成甚麼問題?就讓我們來看看,遇到以下情況你可以怎麼處理
如果你提供了姓名、電話、住址
- 你可能會遇到:這類網站基本上會跟一些企業合作,你的個人資料可能會被用於電話或網路行銷。因此過沒多久,你會接到行銷電話、或是收到廣告信件
- 你可以這樣做:不要隨意開啟來路不明的電子郵件,也多多注意陌生電話,你可以安裝來電辨識 App (例如 WhosCall ),避免被二次釣魚。畢竟資料外洩就是外洩了,如果你有把你的任何密碼設置跟姓名、電話、住址有關,請你趕快更換相關密碼,以免密碼被駭客用暴力法破解出來
如果你提供了信用卡號
- 你可能會遇到:在不安全的網站購物很危險,你的信用卡可能會被不當扣款,甚至是盜刷。
- 你可以這樣做:遇到這種情況,最好的方法是立刻撥打電話至你的發卡銀行,要求作廢換新卡,以避免卡片日後遭盜刷。如果你已經被盜刷了,趕快跟銀行確認一下被刷了那些款項,看看有沒有辦法追討回來
如果你還是擔心
你可以寄信給該網站,要求刪除你的個人資料,或是撥打 165 反詐騙專線尋求更進一步的協助
機器學習這麼夯,有辦法改善詐騙問題嗎?
在研究上,騙人的網站我們會進一步分成:釣魚網站與詐騙網站,前者是模仿真正的網頁,騙你輸入帳號密碼信用卡之類的資訊:而後者則多半是恭喜你中大獎之類的騙局。雖然不該把釣魚與詐騙網站混為一談,但本質上都是要騙你的資料,這裏我們就不細分他們的差別,先看一篇新聞吧
轉移式學習搭配領域知識,用AI防範針對性攻擊
因為釣魚與詐騙網站生命週期短,傳統的黑名單更新跟不上變化的頻率,讓機器學習規則來預防是必然的趨勢。如同文中提到,在機器學習上,必須要有標籤 (Label),機器透過釣魚與不是釣魚兩種標籤,去學習釣魚網站應該長怎麼樣,有什麼組成,有什麼規則,下次看到類似的,就知道這個也是釣魚網頁。而為了要有標籤,除了人工肉眼標注之外,需要透過自動學習的方法來提升涵蓋率,或是使用轉移式學習,把其他領域的訓練成果套用過來,解決沒有標籤的問題
目前釣魚網站偵測 (Phishing Detection) 套用機器學習,已經達到非常高的準確率 99.9 % (參考這篇論文),但是實驗數據與資料集有關,網站的變化太多,就我所知,應用上仍以黑名單為主。這是個諜對諜的過程,網站製造者會不斷的換網域名稱,找新的主機架設釣魚網頁,用一些方法規避偵測,想要準確的預防,還有很多挑戰
後記 2018/10
原本這篇文章只是要帶大家分析詐騙網站,但從網友的回應來看,災情比我想像的嚴重…
有很多人問我不小心洩漏個資該怎麼辦,也有網友填了信用卡號,結果被連續扣款。但說真的,這種攻擊手法很難阻擋,因為他的網頁主機、網域名稱不斷地在變換,而且是大量的利用漏洞去挾持正常主機,把正常網頁導向他的抽獎網站,我能做的,就是寫下這篇文章,提醒路過此處的你,要小心謹慎,不要因為免費好康而因小失大
記住,在網路的世界中,沒有絕對的安全,多堆累積些資安意識吧!
網站裡面的英文廣告也是詐騙嗎,我填了google帳號 手機號碼 地址 還有英文廣告的東西 卡號沒有填
說真的平時遇到奇怪網頁就不要離他
最好加入網頁黑名單
不過不知道有沒有用
反正就是做清除動作就可以囉!
Hi Chung Tl 謝謝你的補充唷
這網頁不會自動安裝奇怪東西 但還是要小心提防 不過不知道加入黑名單網頁不知道有沒有用
這網站看起來是在其他正常網站埋程式碼做跨腳本XSS攻擊
因為我點了很多不同的網站都有跳過去
而且不見得每次都會跳
但我有不記得是哪幾個orz
Hi 路人,
根據我的觀察,這個網站主要是透過 CVE 漏洞去狹持沒有修補漏洞的主機,讓網頁自動導向他的網站。所以基本上,清除 cookie、暫存那些應該是沒有用的,下次再連上被攻擊的網站,還是會跳過去… 只能小心,不要隨意留下資料了
平常沒點什麼奇怪網頁,但IE最近莫名其妙偶爾會跳出這網頁
跳出就知道有問題網址都不一樣
但不知道為何會跳出,該如何解決呢?很困擾
若有解決方法再麻煩告知了謝謝
IE的cookie、暫存檔、掃毒都做了,檢查控制台也沒安裝奇怪的東西
請問如果有輸入信用卡資料了,該怎麼辦才好? 信用卡中心也發訊息告知已被扣款….. gg
Hi pin,
趕快先把卡片掛失,防止被再度扣款!跟銀行確認一下被刷了那些款項~~~ 希望荷包沒有大失血 ><
他說回答問卷抽手機欸,但是除了電話號碼和ㄧㄇㄟˋㄦˊ其他都沒有洩漏,會安全嗎?
哈囉,不用太過擔心,之後如果收到不明電話、簡訊或是郵件再多多留意就好了