駭客新釣魚手法!網址列也不可信了嗎?談模糊的 Line of Death

面對釣魚網站,難道現在連網址列的內容也不可信了嗎?本文說明這種新的攻擊手法,並且一併介紹相關網站安全的知識
評論
Photo Credit: Hivint on Flickr
評論

本篇投稿原文刊登於 Medium,作者 Jayden 目前任職於 Yahoo ,粉絲團:《Hey, 軟體知識沒有你想得那麼難》 | 線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》

最近看到一篇有趣的文章: The inception bar: a new phishing method ,面對釣魚網站,難道現在連網址列的內容也不可信了嗎?

本篇文章將會說明這種新的攻擊手法,並且一併介紹相關網站安全的知識 Picture-in-picture attacks 以及 The Line of Death,最後提出自己的一些想法做為總結。

網址列被偽裝?怎麼回事?

簡單來說,原文作者利用 Chrome 瀏覽器在手機顯示網頁時,自動隱藏網址列的特性,做了一個假的網址列來欺騙網站使用者,讓使用者以為自己正在瀏覽 hsbc.com底下的網頁 ,但其實使用者是在一個釣魚網站 jameshfiser.com 裡面,效果如下圖所示。

透過這種方式,不知情的使用者可能就會以為自己在 hsbc.com (銀行網站),而將自己的銀行機密資料誤傳送給惡意網站了。

駭客是怎麼做到偽造網址列的?

其實實作並不複雜,在原文作者的 demo 網站裡面,我們可以直接用 Chorme 開發者工具看到作者實作這個假網址列的方式,如下圖所示:

「假網址列」是一個 id 為 `fakeurlbar` 的 div 元素,並將 CSS 設定為 position: fixed 方式,將它固定在最上方,如上圖紅色匡起來的部分所示。

此外,再透過在 body 底下自己新做一個 div ,設定為 overflow: scroll,並在這個 div 裡面放一個 1000 px 高度的元素,當使用者 scroll 的時候,其實只是在這個這個 div 裡面做 scroll ,並不是在 body 裡面做 scroll,作者將這個做法稱為 scroll jail。

為了避免使用者 scroll 滑到最上方,看到「真的」網址列,發現自己是在一個釣魚網站jameshfiser.com 裡面,讓駭客的「假網址列」伎倆被揭穿,作者使用 JavaScript 程式碼透過 onscroll 這個函式,來控制使用者的 scroll 位置,讓使用者永遠無法滑到最上方,以下節錄一小段程式碼,有興趣的朋友可以直接檢視 Demo 網站的程式碼。

圖中圖 ? Picture-In-Picture Attacks

對於網站安全比較熟悉的朋友可能會發現,這種攻擊思路不就是 Picture-in-picture attacks 的變種嗎?

我們透過下面這一張圖,來說明什麼是 Picture-in-picture attacks:

乍看之下,這是一個瀏覽器裡面,有另一個視窗,裡面是 Paypal 網站的登入畫面,網址是www.paypal.com,但實際上,這是一個釣魚網站!

evil.example.com 這個網站「內容」做得跟新視窗網頁「長得很像」,下圖紅色標示的部分,即是駭客製作的假內容,網址列其實是「一張圖」假冒的,是假的網址列!因此這類攻擊被稱為 Picture-in-picture attacks:

回想一下剛才我們介紹的偽造網址列的手法,是不是跟這個手法很像呢?

為什麼駭客喜歡偽造網址列?

駭客之所以會想要偽造網址列,是因為一般來說:

使用者會傾向相信網址列上的資訊

如果網址看起來是在「正常」的網址,例如:www.paypal.com,使用者就會相信這個網站就是www.paypal.com。駭客透過偽造網址列,就有可能欺騙到使用者,達到駭客釣魚的目的。

駭客的攻擊思路,會傾向去「偽造」使用者會去「相信」的資訊。有句俗話說:「能騙到你的人,都是你相信的人」,在網站安全的世界也是一樣,使用者「相信」的資訊,駭客就會刻意去偽造來騙你,因此就有些人提出一個概念叫做「The Line of Death」,企圖來避免這個問題。

死亡之線 ? The Line of Death

簡單來說,就是在瀏覽網頁的時候,會有一個隱形的界線,來劃分哪些區塊的資訊「可以相信」,而哪些區塊的資訊「不可相信」。那條隱形的界線就是俗稱的「死亡之線 The Line of Death」,跨過了那條線的區塊可能都有害,應該被視為「死亡禁區」,有興趣的朋友可以參考這一篇文章:The Line of Death。

對於一般人來說,死亡之線是在下圖標示紅線的位置,紅線以上的網址列「可以相信」,紅線以下的網站內容「不可相信」,因為網站內容可能會是偽造的,例如說可能有釣魚網站假扮成 Yahoo 的登入介面,來騙取你的帳號密碼:

textslashplain.com

然而,真正的情況是,下圖標示紅色的部分都有可能是「不可相信」的,舉下圖的例子來說,在瀏覽器頁籤上的資訊Example Domain字樣是網站可以自訂的,而在網址列上的網址,駭客可以取一個「很像真的」的網域名,例如:yahoo-accounts.com來欺騙你。

textslashplain.com

此外,隨著各種聯網方式的興起,以及重視「使用者體驗」的瀏覽方式,我們愈來愈難判斷我們瀏覽的網頁是不是「釣魚網頁」,舉例來說,我們今天介紹的新釣魚方式,就是因為在行動裝置上隱藏了網址列等資訊,直接呈現網站內容,所衍生的攻擊手法。

未來,若是有更多「全螢幕」的瀏覽體驗,或是甚至 AR 或是 VR 等更酷炫的瀏覽網頁方式,在這種情況之下,我們的 The Line of Death 又該怎麼定義呢?這是一個值得思考的問題。

小結

新的駭客手法總是令人防不勝防,但其背後的思路是值得我們探討與學習的,我根據以上介紹的內容,做個小結:

駭客傾向於偽造使用者相信的資訊,例如:網址列。因為「能騙到你的人,都是你相信的人」。

不管是以前的 Picture-In-Picture Attacks 或是今天介紹的釣魚手法,其思路都是跨過約定俗成的 The Line of Death ,達到欺騙使用者的目的。

隨著各種聯網方式的興起,瀏覽體驗的演變,我們愈來愈難去抓到網頁瀏覽時的 The Line of Death 。

面對這種瀏覽器行為造成的問題,使用者端很難防範,只能盡量不要點擊陌生人給你的網址,此外,對於有些敏感的網路操作,例如:登入銀行帳戶,盡量從自己儲存網頁的書籤前往,來避免被釣魚攻擊的機率。

若是對其他駭客手法有興趣,也可以參考作者的線上課程《經典駭客攻擊教程:給每個人的網站安全入門》

責任編輯:Anny

延伸閱讀:



以前瞻眼光展開電動化車款轉型,Lexus HEV 油電複合車獨步全球

早從2005年便投入電動化轉型研發的Lexus, 在15年前就推出全球首款豪華油電複合車(HEV, Hybrid Electric Vehicle),透過兼顧油耗環保與優異性能等多重優勢,成為消費者踏入電動化領域最佳首選。
評論
Photo Credit:Lexus
評論

時間回到 2005 年,Lexus 獨步全球豪華車廠,率先推出首款 HEV 油電複合車 RX 400h,不僅成為電動化豪華先驅,經過多年的發展,更奠定在此領域不可撼動的領導地位。在純電車款尚未普及前,Lexus 便已佈局油電複合動力產品線,提供消費者務實且環保的豐富選擇。從這一點就能看出 Lexus 的精準眼光,而在油電複合動力領域耕耘多年的 Lexus,至 2020 年為止已累計減少全球約 1900 萬噸的二氧化碳,成為其他品牌的比較標竿。

以深厚技術為基礎 破除 HEV 為轉性過渡產品迷思

10 幾年下來,Lexus 在油電複合動力領域累積深厚實力,並不斷突破,陸續推出首款後驅油電複合車(HEV, Hybrid Electric Vehicle)-GS450h、首款 V8 引擎 HEV-LS 600h ,現在更打造出業界最為先進的第 4 代 Hybrid 系統。Lexus 針對不同的動力及操駕需求,推出多元的電動化車款。證明了油電複合車 HEV 並非純油轉純電的過渡性產品,而是能夠滿足消費者需求的務實之選。

其關鍵就在於「均衡性」,油電複合動力系統除了可以寧靜行駛,動力輸出同樣飽滿卻較為平穩順暢,因此駕駛無須重新適應過去多年來習慣的動力特性,無痛轉換加上養護方便,又兼顧高油耗經濟性的優勢,Lexus 旗下 HEV 油電複合車款可說是面面俱到。

而目前最先進第 4 代油電技術,最具代表性的產品就屬 LS 與 LC 車系的 500h 車型,採用 3.5 升 V6 引擎為基礎,並首度換上鋰電池,因此綜效馬力輸出比過去更好,且作動效率更佳。另外最關鍵為具備 Multi Stage Hybrid 科技,除了原本 ECVT 變速系統之外,後軸再增加一具 4 速變速箱,提供更強勁的加速感受,並能在高檔位駕駛時有效降低引擎轉速,進一步達到節能目的。

全球屢創佳績 深受台灣市場肯定

Lexus HEV 油電複合車自從推出以來,就一直受到消費者高度支持,不僅在全球市場交出好成績,在台灣同樣也引領著豪華油電市場發展。Lexus 品牌於全球約 90 個國家銷售,截至 2021 年 4 月底為止,電動化車款累積超過 200 萬輛販賣,占比品牌整體銷售量高達 33%,累計減少二氧化碳排放超過 1,900 萬噸,換算約等同 30 萬輛新車的碳排量,可說成果卓著!

而台灣市場方面,1999 年 Lexus 引進 RX 車系,一上市旋即獲得消費者熱愛,打下在豪華 SUV 市場的重要地位,並創下驚人的銷售記錄,2006 年導入油電複合動力車款- RX 400h 以來,便以獨跑之姿持續領導豪華油電市場走向,目前 Lexus 在台灣市場已經達成全車系都有油電複合動力 HEV 動力選擇,遙遙領先其他對手。

堅強產品陣容佈局 顛覆傳統豪華定義

作為第一款在台灣推出油電複合動力車型的產品,RX 的油電複合動力車型受到許多關注,小改款時,除了調整車款外觀特色帶來更為精緻與豪華的風範,內裝配備亦有所提升,觸控式中控螢幕和搭配 remote touch 操作介面,操作體驗直覺便利。另外還新增 6 人座設定,第二排座椅採用 Premium Captain Seat,乘客可在 2、3 排座椅間穿梭,同時大幅提升車室使用便利性。

RX 450h 全面創新 豪華新視野。/Photo Credit:Lexus

RX 450h 亦在先進安全科技上搭載豐富配備,全車系標配全速域 DRCC 雷達感應式車距維持定速系統,支援跟車到停與重新起步,加上 LTA 車道循跡輔助系統、ICS 智慧停車輔助系統,以及 RCTB 後方車流煞車輔助系統等駕駛輔助功能,確保減少長途行車疲勞,並降低因疏忽而產生的事故意外。搭配增加焊點與膠合部位,提升車身剛性,讓駕駛同時擁有安全性和駕馭樂趣。

另外同樣也屬於 Lexus 核心 SUV 產品的 UX,乃是品牌最年輕的成員,採用 GA-C 平台打造,擁有高剛性、低重心、充滿駕馭樂趣的特性。其中 UX 250h 搭載最新第 4 代 Hybrid 系統,擁用更佳的作動效率,以及高達 41% 的熱效率,使得 UX 250h 得以兼顧優異動力輸出、絕佳油耗表現。

UX 250h 油電複合動力車型搭載最新第 4 代 Hybrid 系統,非常吸引年輕人的目光。/Photo Credit:Lexus

Lexus 持續進化的腳步絕不停歇,即便在 HEV 領域獲得了卓著成就,但仍不斷探索各種未來可能與更多元的電動動力組合,Lexus 將持續部署 Lexus Electrified,像是電動車(BEV, Battery Electric Vehicle) UX 300e 不久的將來將於台灣上市,敬請期待。

想要瞭解更多關於 Lexus Electrified 的詳細消息?您可至 Lexus 官方網站獲得詳細資訊。更不能錯過後續即將推出 Lexus Electrifired 概念的動畫報導文章,所有想知道的大小事情,通通一次滿足!