假冒網站、釣魚網站等是網絡最為常見惡意行為之一,市民一不小心就會墮入這些惡意行為的陷阱中。香港電腦保安事故協調中心 (HKCERT) 近日發表保安報告指,2015 年 HKCERT 共處理了處理共 1,931 宗釣魚網站寄存個案,佔所有保安事故 40%。
與去年 594 宗同類個案相比,增幅為 233%。而個案激增的主因,源於針對中國大陸銀行的大型釣魚活動,利用了位於香港的寄存服務。
新型釣魚手法令個案激增
報告指,騙徒使用新的犯案手法是導致個案激增的主要原因,新類型的釣魚網站主要針對中國大陸的銀行用戶。根據報導,用戶通常先收到詐騙短訊或電郵,然後被誘騙瀏覽釣魚網站。
而詐騙訊息所載的釣魚網址,大量寄存於香港 IP 地址。據 HKCERT 分析,2015 年約有 22,576 條釣魚網址使用了香港 IP 地址。通常這類釣魚連結的域名,都由隨機組合的字母組成,因此從域名登記到實際放置釣魚網站只需短短一天的時間。此外由於騙徒找到方法登記大量域名,就算每個域名只運作幾天,他們仍能維持釣魚活動運作。大多數域名都會在一周內停止運作。
新型釣魚活動針對中國大陸各主要銀行如建設銀行、工商銀行、招商銀行、農業銀行等,涉及機構之廣泛及長時間進行,引起了很多監管機構的關注。HKCERT 表示一直收到 CNCERT/CC(中國)、中國人民銀行及受影響銀行的保安服務代理的釣魚網址報告,就連中國境外機構如 JPCERT/CC(日本)及 US-CERT(美國)亦偵測到相關網址並轉介處理。
釣魚活動難杜絕 虛假登記資料助網絡寄存被利用
HKCERT 表示相關的釣魚活動難以有效杜絕主要有兩大原因,其一,即使聯絡 ISP 關閉釣魚網站,卻未能從公眾 WHOIS 記錄取得有效聯絡;就算取得聯絡,這些 ISP 實際位於中國大陸,只是租用了香港的網絡,通常回應得很慢。其實一些暴力破解攻擊事故亦有類似難題,涉事的網絡通常會用虛假的聯絡資料作登記。
其二,要處理如此多釣魚域名,需要耗費大量資源。HKCERT 表示留意到這些域名的登記人聯絡資料及域名登記商均來自中國大陸,因此已向 CNCERT/CC 及 CNNIC 就此問題尋求協助。
網絡服務商應將濫用網絡客戶列入黑名單
雖然新型的釣魚活動並非針對香港用戶,HKCERT 亦建議一般使用者若正在尋找或使用了寄存服務,需要留意假如使用者的網站或電郵伺服器寄存於這些被利用的網絡,有可能會被列入黑名單。主流瀏覽器如 Chrome 及 Firefox 本身亦會攔截黑名單內的網站。所以當用戶到訪使用者的網站時,很可能會看到瀏覽器發出的釣魚警告頁面。
此外,假如本地或外地執法部門或監管機構決定對這些涉及釣魚活動的網絡服務商採取行動,被利用的網絡很可能會被關閉。這表示使用者寄存的網站或電郵伺務器會被迫停止運作,嚴重影響使用者的日常業務。
更值得留意的是,如果使用者的網絡供應商未有對被利用的情況作清理,這意味着供應商管理出現問題。由於使用者的網站或電郵伺服器與騙徒的寄存空間並沒有防火牆阻隔,他們可以直接攻擊使用者的設施。
因此 HKCERT 建議網絡服務供應商當收到 HKCERT 或品牌保安服務代理的通知後,應儘快關閉釣魚網站,並找出濫用網絡服務的客戶,將他們列入黑名單。
Source: HKCERT