釣魚&詐騙信件手法解析

原則多留意
帳密不被盜

【前言】

廣告/釣魚/詐騙信件是一門獲利豐厚的「行業」,因此心懷不軌的網路蟑螂用盡各種手法意圖騙取更多「肉雞」信箱,
以儲備自己的「信箱彈藥庫」,在接到「生意」的時候隨時可以用來寄發更多垃圾或惡意信件。
也因為如此,跟真實世界一樣,釣魚/詐騙信件的手法日益翻新層出不窮,令使用者及設備都防不勝防!

但是,其實只要把握住幾個原則,多加留心注意,就不會輕易上當導致帳號或信箱被盜用,甚至電腦被駭入。
以下分別整理釣魚/詐騙信件常見的手法及判斷要點,並提出實際發生過的詐騙信件案例,以一目了然的方式搭配判斷操作步驟。

【釣魚/詐騙信件手法分析】

釣魚/詐騙信件的目的

  • 騙取信箱帳號&密碼以寄發更多廣告/詐騙信件
  • 取得個人資訊以進一步進行金錢詐騙,例如中獎通知、投資獲利機會等
  • 利用惡意程式達到控制電腦的目的
  • 恐嚇收信者已盜取其帳號並駭入電腦,以勒索收件者,並要求支付彼特幣New!

釣魚/詐騙信件的內容類型

  • 『針對性』的詐騙信件
    • 偽造成系統升級、帳號/信箱停用、容量擴充等通知信件,假造信件會附上該系統logo,以騙取信任,例如台大、Google、Hinet,或銀行等logo
    • 詐騙信中提供的網址連結,也會導向URL類似或網頁仿真的網頁
  • 『亂槍打鳥型』的詐騙信件
    • 利用好康資訊誘使收信者點選連結或開啟附件,例如中獎通知或投資獲利機會
    • 各種通知信件,例如快遞、送貨、銀行通知等,通常會騙取開啟信件附件
    • 宣稱已取得密碼及駭入電腦,威脅將公開不堪的網站瀏覽記錄,並勒索高額比特幣New!

釣魚/詐騙信件的手法型態

  • 點選詐騙信件中的網址連結連到網頁後輸入帳號密碼
  • 點選詐騙信件中的網址連結連到內藏惡意程式的網頁
  • 點開詐騙信件中內含惡意程式,或利用軟體漏洞的附件檔案,例如MS Office、Adobe版本漏洞
  • 透過附件內容騙取使用者回覆個人資訊,例如中獎通知
  • 利用恐嚇性質的信件內容,造成收信者驚慌,並予以勒索匯款New!

【釣魚/詐騙信件判斷要點】

Tip 1
誰寄的?

別相信呈現的「寄件者名稱」及「email地址」

  • 釣魚信件常用的技巧之一就是假造電子郵件的顯示名稱,甚至email 地址都可以假造
  • 【技巧】將滑鼠移到寄件者名字上會出現相關訊息
Tip 2
信件主旨

留意信件主旨中的緊急或威脅字眼

  • 常見的釣魚/詐騙手法就是企圖激發收信者著急或恐慌的反應
  • 【技巧】不要緊張,先根據其它要點判斷信件真偽
Tip 3
信件寫法

睜大眼睛看清楚拼字是否正確

  • 假冒信件常會用混淆視聽手法,故意把網址或email address拼錯
  • 【技巧】學校正式通知信件絕對不會使用簡體或英文內容
Tip 4
信寫給誰的?

信中的稱謂很重要!

  • 信件開頭稱謂如果是很模糊的泛稱,例如:親愛的用戶、尊敬的用戶、Dear Google user、Dear Sir/Madam等,最好提高警覺!
Tip 5
信是誰寫的?

注意信件的署名

  • 信件末尾若未提供詳細的署名或聯絡方式,很可能就是釣魚信件
  • 【技巧】學校或系統通知信件一定會留下單位名稱及承辦人連絡方式
Tip 6
看清網址連結

看看就好,不要點下去!

  • 請注意網址URL和來信方的關係,例如臺大為 ntu.edu.tw
  • 注意網址URL,詐騙信件經常會故意混淆或拼錯網址,例如 http://mail.ntu-edu-tw.net
  • 【技巧】把滑鼠游標移到信件中的連結上,就會顯示連結的真正網址
Tip 7
小心信件附件

切勿點開信件附檔

  • 若非認識或正在等待的信件,切勿打開任何信件的附檔
  • 附檔類型是可以偽裝的,看起來是圖片,可能實際上內藏惡意程式
Tip 8
注意回信內容

千萬不要在信中提供個人資訊!

  • 合法的校方、銀行、企業信件絕對不會要求在電子郵件中提供個人資訊
  • 不要在信件中提供帳號和密碼!

總之,不要相信表象!保持懷疑的態度並多加查證!

就因為信件裡有仿真的學校或公司圖案、署名、及email address,不表示這封信就是真的!
對於信件有疑問,請寫信詢問或拿起電話確認

【實際案例解析】

勒索恐嚇信件案例

TWCERT/CC發布之資安威脅案例,近來出現的勒索恐嚇信件特徵包含:

  • 主旨為password (xxxxx) is compromised或Your password is xxxxx或 yuor password xxxxx或password (xxxxx) for @mail.xxx.ntu.edu.tw is compromised
  • 信件內容表示已掌握使用者的郵件密碼、上網紀錄、通聯記錄、硬碟資料與照片,且已植入惡意程式
  • 要求支付800多美元的比特幣至指定帳戶
釣魚信件案例1

信件主旨為【系統維護通知!】,信件內容要收信者點選連結確認信箱活動。

  • 此信件是校內使用者信箱被盜用後寄出的,所以寄件者的確是校內信箱。
  • 將滑鼠移到連結時出現的網址URL為 http://ntu-edu-tw.co.nf
  • 信件無任何署名
釣魚信件案例2

此信件為新型釣魚信件,從被盜用的信箱將之前的信件以原主旨及寄件人直接回覆,但內容置換為網頁連結,意圖誘使讀信者點開並輸入帳號密碼。收到此種信件的人,由於寄件者及主旨都是熟悉的,因此很容易不疑有它就點選信中連結。

  • 寄件者及主旨皆認識
  • 信中連結的網址URL很陌生 http://session-lfng.msgload.download/..... 即使網頁上有臺大Logo,但臺大信箱不是這種網址!
釣魚信件案例3

此信件仿冒IT單位通知電子郵件帳密問題

  • 寄件者為臺大信箱,但其所屬並非電子郵件系統管理單位
  • 信中提供的網址連結與臺大無關
  • 信件署名為簡體字,而且資訊簡陋,用詞也非慣用語彙
【案例】

針對臺大使用者打造的詐騙信件

主旨和內文皆為繁體中文,且信件附上學校標誌以取信於收件者。但文句不通順、語法奇怪,同時,信件內的連結會導向一個偽造之臺大電子郵件系統登入頁面,騙取使用者輸入帳號密碼。請注意:信中連結的URL為 http://mail-ntu-edu-tw-owaa.000webhostapp.com,並非臺大官方網域 https://mail.ntu.edu.tw。
(將滑鼠移到URL連結上,視窗底部會出現該網址真實內容。)

【案例】

常見的帳密詐騙信件:

以下信件從臺大使用者信箱發出,內容及主旨以簡體中文撰寫,且文句既不通順也非一般習慣用法,信中連結之URL也非臺大官方網域(ntu.edu.tw)。

【通報方式】

如前言所述,釣魚/詐騙信件手法不斷翻新,若能透過眾人之力累積經驗,當可強化問題信件防護能力。
當收到可疑信件,可採取以下通報方式


請將收到的可疑信件以下列方式轉寄給通報信箱(abuse@ntu.edu.tw):
【轉寄方式】(擇一)

  • 將可疑信件以附件方式傳送(建議)
    1. 先新增信件
    2. 將可疑信件拖曳至新增信件中,成為附件
  • 將可疑信件直接轉寄
    • 在可疑信件上按右鍵選擇「轉寄」

來電詢問:

  • 計中諮詢電話:33665022~3
  • 計中網路組:33665009