不要被騙了!帶你分析 Google 會員抽獎詐騙網頁

這個抽獎頁面真的滿厲害,幾乎無處不在,使用免費好康的網站,很容易就會遇到,比如說免費 Youtube 轉 MP3、使用免費空間下載檔案、免費線上看影集之類的。人家說免錢的最貴,通常這些網頁裡都會隱藏髒東西,騙你點惡意連結、騙流量或是夾帶著釣魚訊息,想要偷你的個人資料!小心囉,天下沒有白吃的午餐,想要 iPhone 存錢買比較實在


看到這個答題抽獎的頁面,你有沒有心動了一下?回答問題就能抽哀鳳7欸!

往下滑你會看到好多中獎人的評論,好像煞有其事?仔細看就覺得是英翻中,用字遣詞有些怪怪


你該有的危機意識

詐騙網站防不慎防,不要以為你有裝防毒軟體,或是使用有惡意網站阻擋功能的瀏覽器 (比如 Google Chrome 提供 Safe Browsering),就覺得安全囉!現有的防護機制還是以黑名單為主,當瀏覽器或防毒軟體發現你瀏覽的網站有問題時,會給你一個大大的警告,阻止你繼續瀏覽。

可是新的詐騙網站上線後,通常要經過一段時間才會被資安單位發現並加入黑名單,這之中的空窗期就變得相當危險,壞人可能透過電子郵件的方式散播,用很聳動的標題騙你打開,或是在你瀏覽網頁時彈出新視窗,比如「恭喜中大獎」之類的畫面。

基本上,瀏覽器有阻擋跳窗功能,或是安裝 AdBlock 阻擋廣告,危害就減小許多。當然如果你是高高手,停止瀏覽器執行 JavaScript,必要時在一個一個執行,這樣會更安全。但你需要有深入的資安知識,建立自己的黑白名單。

請支持《傑瑞窩在這》原創文章。原文標題:不要被騙了!帶你分析 Google 會員抽獎詐騙網頁,原文網址:https://jerrynest.io/google-scam-site/

神農嚐百草?讓我們實際玩看看

我們就來回答問題囉,看看會發生什麼事!

第一題很簡單哈哈,答案是 Larry Page,其他兩位是微軟與臉書創辦人。隨便刷完三題簡題後,他也隨便給你一個驗證動畫,哇!我就中獎啦!根本太神了,接著又是一連串的騙局…

選擇 iPhone7 之後,進入到一個填問卷抽獎頁面 (奇怪?剛剛不是回答完了嗎),這個「大贏家」頁面也是滿多人會遇到,總之前面就是先試水溫,你有被騙的潛力,再讓你來這裡輸入個人資料。這個網頁背後有表單驗證,輸入錯誤會跳出警告,弄得煞有其事。不過聰明的人看的這個 Layout 應該就關掉了吧

接下來就叫你輸入電話、地址啦,中獎要寄去你家的嘛。填 2017 年生可是不行的喔,他有做驗證檢查,下方居然還夾帶個學英文廣告

成功送出後,應該沒多久就會收到釣魚信件了 (更進一步的騙你xd)

可以參考我在另一篇做的實驗,信件中煞有其事的要請你點連結,提升贏得大獎的機會

填問卷送手機?當心「瀏覽器意見調查」詐騙網頁

從這個例子來看網站的設計

釣魚或詐騙網站就是要和真正的網頁很像,博取你的信任,騙你輸入個人資料。可是長得一樣很容易被偵測工具抓到,所以說網站的設計者,會用一些方法讓頁面很像卻又不太像,一方面躲過偵測,一方面又要讓你信以為真。搞不好頁面稍微更動,你還以為是介面升級換新了呢!

這個例子原先使用正常的 Google Logo,後來才換成有禮物的 Logo,前端樣式仿造 Google Material Design,明顯看出是手刻的版面,沒有響應式設計。

你會想說為什麼不套用現成的前端套件,把頁面弄好看?我的理解是,有資安意識的人,本來就會提防釣魚,而這種散布式的釣魚網站,目標鎖定在資安意識薄弱的人。頁面長得像不像沒有那麼必要,他們受騙的機率本身就很高,與其花時間調整網頁,倒不如多造幾個假網頁,多入侵幾個網站比較實在。 仔細看一下網頁原始碼 (網頁上按右鍵->檢視網頁原始碼),你會發現上面的倒數計時啦,抽獎什麼的程式碼都是寫死的,跟本沒有和後端伺服器溝通,還有一堆重複的程式片段,把時間轉成中文,其實可以包成函式

接著我們來看看網址 (為了怕大家好奇心作祟,我先用xxx屏蔽網域名稱)。很明顯包含 Base64 編碼過的字串 …

還原一下看看他藏什麼東西

雖然有一些 ID 與編碼不知道是啥,但主要就是記錄著受騙人的基本訊息,比如時間、網路資訊 (比如用的是台灣固網)、點擊進來的來源網站等等,之後與個人資料做對應。Volumedata 這串資料,是由前一個頁面搜集並重新導向來這個頁面的,假若你把 volumedata 從網址砍掉,會發現抽不了獎品,畢竟還是有做防護,要蒐集資料嘛。

接著我們使用 Tamper Chrome 這個套件,擋住 Request 送出,觀察會送什麼東西出去。原本以為只會送個人資料,結果還會送剛剛的禮物選擇,是不是順便做市場調查啊哈哈


所以,如我我填了問卷,個資外洩怎麼辦?

既然資料已經送出去了,就追不回來了呀,請記得這次的教訓,以後在網路上填寫個人資料要小心、小心、再小心 (很重要所以說三次)

你肯定會覺得緊張,覺得懊惱,哀呀,當初如果小心求證的話,也不會落到如此下場。真的沒有辦法嗎?有沒有甚麼補救措施?那些外洩的資料會不會造成甚麼問題?就讓我們來看看,遇到以下情況你可以怎麼處理

如果你提供了姓名、電話、住址 …

  • 你可能會遇到:這類網站基本上會跟一些企業合作,你的個人資料可能會被用於電話或網路行銷。因此過沒多久,你會接到行銷電話、或是收到廣告信件
  • 你可以這樣做:不要隨意開啟來路不明的電子郵件,也多多注意陌生電話,你可以安裝來電辨識 App (例如 WhosCall ),避免被二次釣魚。畢竟資料外洩就是外洩了,如果你有把你的任何密碼設置跟姓名、電話、住址有關,請你趕快更換相關密碼,以免密碼被駭客用暴力法破解出來

如果你提供了信用卡號

  • 你可能會遇到:在不安全的網站購物很危險,你的信用卡可能會被不當扣款,甚至是盜刷。
  • 你可以這樣做:遇到這種情況,最好的方法是立刻撥打電話至你的發卡銀行,要求作廢換新卡,以避免卡片日後遭盜刷。如果你已經被盜刷了,趕快跟銀行確認一下被刷了那些款項,看看有沒有辦法追討回來

如果你還是擔心

你可以寄信給該網站,要求刪除你的個人資料,或是撥打 165 反詐騙專線尋求更進一步的協助


機器學習這麼夯,有辦法改善詐騙問題嗎?

在研究上,騙人的網站我們會進一步分成:釣魚網站詐騙網站,前者是模仿真正的網頁,騙你輸入帳號密碼信用卡之類的資訊:而後者則多半是恭喜你中大獎之類的騙局。雖然不該把釣魚與詐騙網站混為一談,但本質上都是要騙你的資料,這裏我們就不細分他們的差別,先看一篇新聞吧

轉移式學習搭配領域知識,用AI防範針對性攻擊

因為釣魚與詐騙網站生命週期短,傳統的黑名單更新跟不上變化的頻率,讓機器學習規則來預防是必然的趨勢。如同文中提到,在機器學習上,必須要有標籤 (Label),機器透過釣魚與不是釣魚兩種標籤,去學習釣魚網站應該長怎麼樣,有什麼組成,有什麼規則,下次看到類似的,就知道這個也是釣魚網頁。而為了要有標籤,除了人工肉眼標注之外,需要透過自動學習的方法來提升涵蓋率,或是使用轉移式學習,把其他領域的訓練成果套用過來,解決沒有標籤的問題

目前釣魚網站偵測 (Phishing Detection) 套用機器學習,已經達到非常高的準確率 99.9 % (參考這篇論文),但是實驗數據與資料集有關,網站的變化太多,就我所知,應用上仍以黑名單為主。這是個諜對諜的過程,網站製造者會不斷的換網域名稱,找新的主機架設釣魚網頁,用一些方法規避偵測,想要準確的預防,還有很多挑戰


後記 (2018/10)

原本這篇文章只是要帶大家分析詐騙網站,但從網友的回應來看,災情比我想像的嚴重…

有很多人問我不小心洩漏個資該怎麼辦,也有網友填了信用卡號,結果被連續扣款。但說真的,這種攻擊手法很難阻擋,因為他的網頁主機、網域名稱不斷地在變換,而且是大量的利用漏洞去挾持正常主機,把正常網頁導向他的抽獎網站,我能做的,就是寫下這篇文章,提醒路過此處的你,要小心謹慎,不要因為免費好康而因小失大

記住,在網路的世界中,沒有絕對的安全,多堆累積些資安意識吧!

如果您覺得這篇文章有幫助,歡迎按個讚或分享出去唷:

樂於分享的軟體工程師,曾在新創與大型科技公司實習,獲得黑客松競賽冠軍,擔任資安研討會講者。長期熱衷於資訊安全、雲端服務、網路行銷等領域,希望將科技知識分享給更多人。內容轉載請來信:jlee58tw@gmail.com

88 個回應

  1. 您好,我確定我並沒有填寫他們所謂的活動資料,所以才覺得疑惑,而且這些電話打的都很勤,沒有接通就會一直打的感覺,好在我拒絕或封鎖之後已經沒有再打來了。本來覺得自己會填個資的網站都是知名網站應該還好,所以也沒有特別注意他們的個資使用方式,其實資料都已經流出去了吧……以後在填寫資料時,我會更加留意的,非常感謝~

  2. 您好,我這幾天也收到了許多推銷電話,其中一個就是抽到手機的,他們說我有傳送資料給他們要參加活動,但我非常確定我沒有,核對名字手機與信箱是沒錯的,但該信箱我已經很久沒有使用了,登入信箱後也沒有發現異常活動,這些推銷電話都口徑一致的說我在同一天傳送了參加活動的消息,我很困擾也很擔心,想請問可能是甚麼原因造成的?後續還會不會有甚麼問題呢?

    • Jerry

      Hello fun,
      請問你有填寫資料並送出嗎?應該是他們的合作夥伴拿到資料來做行銷推廣。這些主要都是行銷手段,只要不理會他們就好了。下次在網路上填寫資料的時候,還是要小心謹慎,先了解該網站的個資使用方式,在做動作~

  3. 在GOOGLE搜尋AP Marketing Asia Pacific Limited就跑出這篇文章了
    我一直在想這種廣告一看就是蒐集各資用的
    很多朋友還是問我這到底是不是真的
    跟他們說不是
    他們又說這是GOOGLEㄟ不會騙人吧
    EMMMMMM
    頭很痛

    “你會想說為什麼不套用現成的前端套件,把頁面弄好看?我的理解是,有資安意識的人,本來就會提防釣魚,而這種散布式的釣魚網站,目標鎖定在資安意識薄弱的人。頁面長得像不像沒有那麼必要,他們受騙的機率本身就很高,與其花時間調整網頁,倒不如多造幾個假網頁,多入侵幾個網站比較實在。”

    ↑這段真的特別有感

    希望你這篇文章能夠讓更多人看到

    • Jerry

      我們處在一個資料氾濫的時代,個人資料尤其珍貴。我想不只他們透過抽獎的方式收集個資,其他還有許多透過問卷名義、遊戲的方式,或者是直接偷你的資料,實在防不勝防。你可以試著跟你的朋友解釋看看,如果覺得自己的個資外洩沒關係的話,就也沒甚麼要擔心的,可以參加抽獎XD 只不過,會不會中獎就不知道了。另外,我最近發現這個網站開始採用「聯盟行銷」的方式推廣抽獎,推廣成功的人能賺取現金,實在有點恐怖呀

  4. 基本上我們已經無私隱可言,垃圾電郵電話日日都有,已成生活的一部份。

    • Jerry

      沒有錯,已經是無隱私時代了嗚嗚嗚

  5. 我說我的名子是莊笑薇,其他都是亂編的,結果他還是說我中獎了。😂😂😂😂

  6. 感謝Jerry大大您專業細心的拆解分析與說明!
    這篇真的是給一般使用者大眾很好的警惕與教學!
    功德無量! 感謝分享!

    • Jerry

      謝謝你的補充,廣告是蠻常見的手法,計數器我倒是沒聽過,也來研究看看

王金發 發表迴響 取消回覆