駭客新釣魚手法!網址列也不可信了嗎?談模糊的 Line of Death

面對釣魚網站,難道現在連網址列的內容也不可信了嗎?本文說明這種新的攻擊手法,並且一併介紹相關網站安全的知識
評論
Photo Credit: Hivint on Flickr
評論

本篇投稿原文刊登於 Medium,作者 Jayden 目前任職於 Yahoo ,粉絲團:《Hey, 軟體知識沒有你想得那麼難》 | 線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》

最近看到一篇有趣的文章: The inception bar: a new phishing method ,面對釣魚網站,難道現在連網址列的內容也不可信了嗎?

本篇文章將會說明這種新的攻擊手法,並且一併介紹相關網站安全的知識 Picture-in-picture attacks 以及 The Line of Death,最後提出自己的一些想法做為總結。

網址列被偽裝?怎麼回事?

簡單來說,原文作者利用 Chrome 瀏覽器在手機顯示網頁時,自動隱藏網址列的特性,做了一個假的網址列來欺騙網站使用者,讓使用者以為自己正在瀏覽 hsbc.com底下的網頁 ,但其實使用者是在一個釣魚網站 jameshfiser.com 裡面,效果如下圖所示。

透過這種方式,不知情的使用者可能就會以為自己在 hsbc.com (銀行網站),而將自己的銀行機密資料誤傳送給惡意網站了。

駭客是怎麼做到偽造網址列的?

其實實作並不複雜,在原文作者的 demo 網站裡面,我們可以直接用 Chorme 開發者工具看到作者實作這個假網址列的方式,如下圖所示:

「假網址列」是一個 id 為 `fakeurlbar` 的 div 元素,並將 CSS 設定為 position: fixed 方式,將它固定在最上方,如上圖紅色匡起來的部分所示。

此外,再透過在 body 底下自己新做一個 div ,設定為 overflow: scroll,並在這個 div 裡面放一個 1000 px 高度的元素,當使用者 scroll 的時候,其實只是在這個這個 div 裡面做 scroll ,並不是在 body 裡面做 scroll,作者將這個做法稱為 scroll jail。

為了避免使用者 scroll 滑到最上方,看到「真的」網址列,發現自己是在一個釣魚網站jameshfiser.com 裡面,讓駭客的「假網址列」伎倆被揭穿,作者使用 JavaScript 程式碼透過 onscroll 這個函式,來控制使用者的 scroll 位置,讓使用者永遠無法滑到最上方,以下節錄一小段程式碼,有興趣的朋友可以直接檢視 Demo 網站的程式碼。

圖中圖 ? Picture-In-Picture Attacks

對於網站安全比較熟悉的朋友可能會發現,這種攻擊思路不就是 Picture-in-picture attacks 的變種嗎?

我們透過下面這一張圖,來說明什麼是 Picture-in-picture attacks:

乍看之下,這是一個瀏覽器裡面,有另一個視窗,裡面是 Paypal 網站的登入畫面,網址是www.paypal.com,但實際上,這是一個釣魚網站!

evil.example.com 這個網站「內容」做得跟新視窗網頁「長得很像」,下圖紅色標示的部分,即是駭客製作的假內容,網址列其實是「一張圖」假冒的,是假的網址列!因此這類攻擊被稱為 Picture-in-picture attacks:

回想一下剛才我們介紹的偽造網址列的手法,是不是跟這個手法很像呢?

為什麼駭客喜歡偽造網址列?

駭客之所以會想要偽造網址列,是因為一般來說:

使用者會傾向相信網址列上的資訊

如果網址看起來是在「正常」的網址,例如:www.paypal.com,使用者就會相信這個網站就是www.paypal.com。駭客透過偽造網址列,就有可能欺騙到使用者,達到駭客釣魚的目的。

駭客的攻擊思路,會傾向去「偽造」使用者會去「相信」的資訊。有句俗話說:「能騙到你的人,都是你相信的人」,在網站安全的世界也是一樣,使用者「相信」的資訊,駭客就會刻意去偽造來騙你,因此就有些人提出一個概念叫做「The Line of Death」,企圖來避免這個問題。

死亡之線 ? The Line of Death

簡單來說,就是在瀏覽網頁的時候,會有一個隱形的界線,來劃分哪些區塊的資訊「可以相信」,而哪些區塊的資訊「不可相信」。那條隱形的界線就是俗稱的「死亡之線 The Line of Death」,跨過了那條線的區塊可能都有害,應該被視為「死亡禁區」,有興趣的朋友可以參考這一篇文章:The Line of Death。

對於一般人來說,死亡之線是在下圖標示紅線的位置,紅線以上的網址列「可以相信」,紅線以下的網站內容「不可相信」,因為網站內容可能會是偽造的,例如說可能有釣魚網站假扮成 Yahoo 的登入介面,來騙取你的帳號密碼:

textslashplain.com

然而,真正的情況是,下圖標示紅色的部分都有可能是「不可相信」的,舉下圖的例子來說,在瀏覽器頁籤上的資訊Example Domain字樣是網站可以自訂的,而在網址列上的網址,駭客可以取一個「很像真的」的網域名,例如:yahoo-accounts.com來欺騙你。

textslashplain.com

此外,隨著各種聯網方式的興起,以及重視「使用者體驗」的瀏覽方式,我們愈來愈難判斷我們瀏覽的網頁是不是「釣魚網頁」,舉例來說,我們今天介紹的新釣魚方式,就是因為在行動裝置上隱藏了網址列等資訊,直接呈現網站內容,所衍生的攻擊手法。

未來,若是有更多「全螢幕」的瀏覽體驗,或是甚至 AR 或是 VR 等更酷炫的瀏覽網頁方式,在這種情況之下,我們的 The Line of Death 又該怎麼定義呢?這是一個值得思考的問題。

小結

新的駭客手法總是令人防不勝防,但其背後的思路是值得我們探討與學習的,我根據以上介紹的內容,做個小結:

駭客傾向於偽造使用者相信的資訊,例如:網址列。因為「能騙到你的人,都是你相信的人」。

不管是以前的 Picture-In-Picture Attacks 或是今天介紹的釣魚手法,其思路都是跨過約定俗成的 The Line of Death ,達到欺騙使用者的目的。

隨著各種聯網方式的興起,瀏覽體驗的演變,我們愈來愈難去抓到網頁瀏覽時的 The Line of Death 。

面對這種瀏覽器行為造成的問題,使用者端很難防範,只能盡量不要點擊陌生人給你的網址,此外,對於有些敏感的網路操作,例如:登入銀行帳戶,盡量從自己儲存網頁的書籤前往,來避免被釣魚攻擊的機率。

若是對其他駭客手法有興趣,也可以參考作者的線上課程《經典駭客攻擊教程:給每個人的網站安全入門》

責任編輯:Anny

延伸閱讀:



當個人化服務浪潮襲來 品牌如何以數位CRM打造會員生態圈 優化後疫情時代商業模式

隨著數位時代演變,個人化服務漸受各方企業重視,本文以數位CRM系統所衍生之各項服務為例,說明PChome如何將「MarTech」運用在個人化服務中,以及其所扮演的各種關鍵性角色。
評論
photo credit:shutterstock
評論

隨著iOS14的社群隱私權政策改變,以往透過數位廣告帶來的流量紅利已隨之消退,追蹤用戶使用習慣與興趣所帶來的轉換率更是逐漸降低,加上疫情影響,線上消費數量暴增,消費者比以往更重視個人化服務,因此「再」數位化浪潮襲來,「MarTech」(科技行銷)儼然已成為品牌數位轉型的重要工具,如何利用數位CRM(Customer Relationship Management)系統洞察消費者需求、立定行銷策略正是品牌所要面臨的一大挑戰。

以人為出發點:CRM成為科技化行銷的主要策略

過去大眾傳播式的集體宣傳在現在市場中已經逐漸無法滿足消費者需求,消費者越來越注重個人化的體驗。個人化體驗首先要獲得個人化的喜好,因此眾多品牌開始利用數位廣告、商務對話的方式獲取用戶的購物慾望清單,以及點數經濟刺激舊客回購,透過追蹤會員在網站上瀏覽、產生購買行為的行動軌跡,再搭配大數據分析,針對不同族群設計推播內容再加以溝通,以此提升服務品質並深度經營顧客關係。而數位CRM系統則扮演著科技化行銷的主要策略,不僅能協助整合會員數據,更善加運用客戶標籤,傳遞精準的資訊,與消費者互動,提升「獲客」與「活客」的能力,建立忠誠度立足數位市場。

建立會員分級制度 打造精準個人化服務

數位CRM是打造顧客回流最佳的工具,不過要讓用戶長期買單,客製化的溝通模式與打造會員分級制度才能有效提升用戶黏著度。例如誠品以書店起家,目前也朝向複合式商場邁進,旗下事業版圖橫跨書店、文具店、電影院、旅館,甚至連生鮮超商、酒窖都有經營,也開始新增許多小規模的社區店;在電商方面,除了自有的誠品線上網站,也在其他電商開設主題館增加接觸點。誠品正在打造自己的生態圈,並努力運用數位足跡進行CRM策略應用,如將會員分卡分級,並給予高等級的會員不一樣的特級制度,但同時也為有特定偏好的會員設立不同的制度,像是針對購書會員推出「讀書人徽章」分級制度,有藝文活動也會優先讓高等級的讀書人先報名。

而PChome旗下的時尚選貨電商MiTCH攜手GoSky建立會員點數系統,利用Messenger Chatbot的功能打造數位會員卡,以簽到集點、兑禮、限時任務等誘因與用戶深度互動,創造每日簽到率81%的佳績。透過這樣的忠誠度計畫,企業更能區別用戶的使用頻率與黏著度,進而建立會員分級制度並精準溝通資訊。另外零售品牌全聯也攜手Appier運用AI技術整合線上線下的會員資料,並利用貼標技術辨別消費者輪廓,分析出會員曾搜尋、瀏覽的軌跡來量身打造客製化的專屬推薦商品。

photo credit:gosky官網
MiTCH攜手GoSky建立會員點數系統,利用Messenger Chatbot的功能打造數位會員卡深化會員互動。

消費型態轉變 透過生態圈落實CRM掌握會員輪廓

生態圈和全通路是許多零售商和電商目前都在深度經營的策略,為的都是收集更多的數據創造更個人化的體驗。例如誠品的會員制度不只是針對所有會員,還因應會員的消費習慣推出不同的方式和獎勵,讓消費者感到差異化,進而提升品牌黏著度。

電商品牌PChome 24h購物過去利用到貨服務以及不囉唆的退貨機制,作為培養客戶忠誠度的關鍵。他們也藉由完整化金流系統,建立了自己的P幣生態圈,透過完整的通路和支付系統了解消費者的消費習慣,現在藉由數位CRM操作觀察到,對比2019-2020年到今年台灣疫情爆發後,全站消費活躍用戶從本來的25-54歲年齡層,擴增到18-24歲以及65歲以上,另外是熟齡女性用戶比起2019上半年有20%以上的成長,顯示出受疫情影響,整體消費型態的改變更是橫跨各世代族群。

懂得根據數據策略布局才是關鍵心法

針對消費需求的變化,PChome 24h購物進一步將四大主題會場結合時事及需求規劃選品,不論是居家上班上課所需的3C產品、或是照顧到想要培養居家儀式感之族群的電玩、書店、健身等品項,還有提前佈局宅家防疫被悶壞的心,規劃一系列夏季穿搭、防曬彩妝、露營用品等夏季出遊必備產品。

運用數位CRM進行策略行銷,有利於品牌活絡舊客以及帶動業績成長,如PChome 24h購物在22周年慶「狂樂收貨節」利用大數據撈出會員最感興趣的人氣品牌及集品類,進行每日換檔,抑或是看準低接觸外送商機,與foodpanda攜手推出在APP、網站購物消費滿$1即可獲得foodpanda新客5折券,串聯兩大平台資源,建立更大的用戶資料庫,為後疫時代帶來嶄新的商業模式。

photo credit:PCHome
PChome 24h購物22周年生日慶「狂樂收貨節」,看準疫後需求調整四大主題會場。

除了推品策略,CRM也能有新玩法,PChome 24h購物22周年慶還推出「拉長音折扣賽」,串聯自有平台資源並結合IG濾鏡功能,在社群上與粉絲大玩挑戰任務,完成任務後透過IG Chatbot的行銷技術發送相對應的優惠折扣,而這樣透過開發互動濾鏡的遊戲方式不僅優化用戶的社群體驗,更透過CRM系統將用戶分級,依據達成任務的級距發送獎勵,成功觸動年輕族群,導入站內達成轉換。

photo credit:PCHome
PChome 24h購物推出「拉長音折扣賽」,用IG濾鏡發起社群挑戰,吸引粉絲兌換折扣。

Martech是許多企業、品牌在面對數位轉型時重要的行銷利器,其中CRM系統更是品牌與時俱進、端出更好的消費者服務所倚賴的重要工具,打造會員生態圈不僅能夠檢視會員服務的優劣並加以優化,建立會員忠誠度、使顧客不斷回購,更替平台帶入新契機的一大機會點。

本文章內容由「爆米花數位資訊」提供,經關鍵評論網媒體集團廣編企劃編審。