網址嫁接(pharming)的意思和定義
網址嫁接的英文「pharming」為「phishing」(網路釣魚)和「farming」(農耕)兩個詞的結合,為類似網路釣魚的線上詐騙,透過操縱網站上的流量盜取機密資訊。網址嫁接本質上為製造假網站然後將使用者引導到該網站的犯罪行為。
什麼是網址嫁接?
網址嫁接是一種應用社會工程手法的網路攻擊方式,其中犯罪者將試圖造訪特定網站的網路使用者重新導向到假冒網站,並透過假冒網站收集受害者的密碼、身份證字號、帳戶號碼等個人身份資訊(PII)或登入憑證,或者試圖在其電腦上安裝進行網址嫁接的惡意軟體。網址嫁接攻擊者經常針對銀行、線上支付平台或電子商務網站等金融網站,且通常以身份盜竊為最終目的。
網址嫁接的原理為何?
網址嫁接利用了網路瀏覽的基礎運作方式,即組成網際網路地址的字母序列,例如 www.google.com,必需由 DNS 伺服器轉換成 IP 位址,才能進行連結:
網址嫁接攻擊通常透過以下兩種方式進行:
- 首先,駭客可能會在電子郵件中傳送程式碼並在使用者的電腦上安裝病毒或木馬程式。惡意程式碼會修改電腦主機檔案,將流量從其原本的目標導向至假冒的網站。此類型網址嫁接也稱為惡意軟體網址嫁接,即使輸入正確的網際網路地址也會被篡改的主機檔案引導至詐騙網站。
- 其次,駭客可能使用稱為 DNS 毒化的手法。DNS 意指「域名系統」(Domain Name System),而網址嫁接者可以修改伺服器中的 DNS 列表,導致多個使用者無意間造訪到假冒網站而非真實網站。網址嫁接者可以進而使用假冒網站在使用者的電腦上安裝病毒或木馬程式,或嘗試收集個人和財務資訊以進行身份盜竊。
雖然 DNS 伺服器因位於組織的網路上並受到防護而較難受到攻擊,DNS 毒化仍可以影響大量的受害者,並可為網路犯罪者帶來大量報酬。毒化也可能傳播到其他 DNS 伺服器,而任何自被毒化的伺服器接收資訊的網路服務業者(ISP)都可能讓被篡改的 DNS 條目被快取至 ISP 的伺服器上,導致進而傳播給更多的路由器和裝置。
網址嫁接攻擊為非常危險的線上詐騙形式,因為其只需要受害者極少的操作即可進行。在 DNS 伺服器被毒化的情況下,受影響的使用者的電腦可能完全沒有惡意軟體,但卻仍然成為了受害者。即使採取手動輸入網站地址或使用受信任的書籤等預防措施也無法避免,因為重新導向的動作是在電腦傳送連接請求之後。
網址嫁接者獲得了個人資訊後可自己用於進行詐騙或在暗網上出售給其他非法份子。
網路釣魚與網址嫁接 - 網路釣魚和網址嫁接的主要區別是什麼?
網路釣魚和網址嫁接的詐騙手法很相似,但不完全相同。
網路釣魚是一種詐騙行為,其中網路罪犯傳送貌似來自知名團體或組織的電子郵件。網路釣魚的電子郵件中包含導向至假冒網站的惡意連結,誘使毫無戒心的使用者在假冒網站上輸入使用者名稱和密碼等個人資訊。在使用者送出相關資訊後,詐騙人士就可以將其用於非法。
網址嫁接是網路釣魚的一種形式,但其中沒有誘導的部分。網址嫁接分為兩個階段進行:首先,駭客在電腦或伺服器上安裝惡意程式碼。其次,該程式碼會將使用者引導到假冒的網站,讓使用者提供個人資訊。電腦網址嫁接不需要誘騙使用者點擊來將其引導至詐騙網站。反之,使用者會自動被重新導向到假冒網站,讓網址嫁接者獲得您透露的任何個人資訊。
網路釣魚使用欺騙性的電子郵件、社群媒體或文字訊息誘騙受害者提供財務資訊,而網址嫁接則不需要誘騙,網址嫁接因此又稱為「無餌釣魚」。網址嫁接可以在受害者沒有意識要採取行動的狀況下影響大量電腦,因此被認為比網路釣魚更加危險。然而,網址嫁接攻擊比網路釣魚攻擊少見,因為攻擊者需要更多準備才能進行。
網址嫁接案例
2019 年,委內瑞拉發生了一起著名的網址嫁接攻擊。當年委內瑞拉的總統公開呼籲志願者加入一個名為「委內瑞拉的志願者(Voluntarios por Venezuela)」的新運動。該運動的目的是幫助志願者與提供該國人道主義援助的國際組織建立聯繫。志願者受邀於一個網站上進行註冊,並被要求提供全名、身份證號碼、電話號碼、住址和其他個人資料。
在原始的網站上線不到一週後就出現了第二個網站,,這個網站幾乎與原始網站完全相同,域名和結構也非常相似,但卻是假冒網站。當時在委內瑞拉,真實和假冒的網站都解析為同一 IP 位址,且屬於假冒網域的所有者。這表示無論使用者開啟的是真實還是偽造的網站,其資料最終都會被傳送到假冒的網站。(但在國外則解析為不同的 IP 位址。)
2015 年在巴西則有攻擊者向 UTStarcom 或TR-Link 家用路由器的使用者傳送假冒來自巴西最大電信公司的網路釣魚電子郵件。郵件中的連結下載了能利用路由器漏洞的網址嫁接惡意軟體,並讓攻擊者能更改路由器的 DNS 伺服器設定。
2007 年發生的案例雖然已過去一段時間了,但仍是最重大且最著名的網址嫁接攻擊之一。當時超過 50 家分佈在美國、歐洲和亞洲的金融公司都成為攻擊目標。駭客為每家受到攻擊的金融公司建立了假冒的網頁,且都含有惡意程式碼。這些網站強制消費者的電腦下載木馬程式,隨後從任何遭受攻擊的金融公司輸入的登入資訊都受到了竊取收集。該攻擊持續了三天,受害者的總數未知。
網址嫁接的跡象 - 如何判斷您是否受到網址嫁接攻擊
受到網址嫁接攻擊的跡象包括:
- 不明的 PayPal、信用卡或簽帳金融卡費用。
- 出現不是您自己發佈的社群媒體貼文或訊息
- 出現不是您自己傳送的社群媒體的朋友或連結請求
- 線上帳戶的密碼遭到更改
- 設備上出現不是您下載或安裝的新程式
如果您認為您感染嫁接惡意軟體或受到網址嫁接攻擊,您可以:
- 清除 DNS 快取
- 運行防毒程式以刪除惡意軟體並確保裝置安全
- 如果您認為您的伺服器已被入侵,請聯絡您的網路服務業者
- 更改所有線上帳戶的密碼
- 按照線上銀行、電子郵件和社群媒體平台所規定的程序通報詐騙
如何保護自己避免網址嫁接
- 選擇信譽良好的網路服務業者(ISP)。好的網路服務業者會預設過濾可疑的重新導向並確保您完全不會接觸到網址嫁接網站。
- 使用可靠的 DNS 伺服器。對我們大多數人來說,我們的 DNS 伺服器就是我們的網路服務業者。但是,也可以改使用專門的 DNS 服務以提升防止 DNS 毒化的安全性。
- 只使用 HTTPS 開頭的連結,而非僅 HTTP。其中的「s」意指「安全」,表示該網站具備有效的安全證書。進入網站時,請檢查網址列中是否有掛鎖圖示,該圖示也網站安全的另一個指標。
- 請勿點擊來自未知寄件者的連結或開啟附件。雖然您無法保護自己避免 DNS 毒化,但您可以小心避開會造成網址嫁接的惡意軟體。避免點擊不明的電子郵件或訊息中的連結或開啟附件。
- 檢查網址是否有拼寫錯誤。網址嫁接者有時使用拼寫手法來欺騙使用者,例如替換或添加域名中的字母。請仔細查看網址,如果有拼寫錯誤則請謹慎避免。
- 避免所有可疑的網站。除了網址之外,要注意的跡象也包括拼寫或語法錯誤、不對的字體或顏色,以及缺少的內容,例如:有些網址嫁接者可能不會確實置入隱私政策或使用條款。請確認一切都照常如舊才送出資訊。
- 避免太過美好的優惠。線上詐騙份子有時會以引人注目的優惠來吸引受害者,例如:比其他競爭對手低得多的折扣。如果優惠看起來不過美好而不太可能,則需要小心。
- 可行時啟用雙因素認證。許多平台都提供雙因素認證,如果可以使用則請務必開啟該功能。雙因素認證能使帳戶更難受到駭入,就算詐騙份子已經透過網址嫁接取得了登入資訊也無法存取帳戶。
- 更改 Wi-Fi 路由器的預設設定。更改私人網路的預設標準密碼並改用高強度密碼能幫助避免 DNS 毒化。維持路由器的更新也很重要。如果路由器沒有自動更新功能,請考慮改用具有自動更新功能的路由器。
- 使用強大的防惡意軟體和防毒解決方案,並保持更新。例如:卡巴斯基全面安全性能保護您避免駭客、病毒和惡意軟體的攻擊,並全天候保護您的裝置和資料。
保護自己避免網址嫁接和網路釣魚等網路犯罪的最佳方式就是結合防毒保護並遵循最新的網路安全最佳實踐。