close
企業趨勢資訊保安

小心 Gmail 釣魚郵件 Data URI 扮 Google 登入網址騙取帳號

釣魚電郵的攻擊手法層出不窮。最近有網絡安全公司發現,不法分子利用 Data URI 假扮 Google 的登入網址,欺騙受害人輸入帳號和密碼。

 

Wordfence 指近期有一種釣魚方式變得普遍,而且命中率高。不法分子會利用被入侵的帳戶發送電郵,亦會在電郵內插入圖片來假裝附件連結。因此收件者會以為電郵包含附件,但點擊「附件」時實際上是點擊了一張圖片,並會打開連結。

 

該連結其實偽冒了 Google 的登入頁面,收件者輸入帳號和密碼後就會把資料傳送給不法分子。其實這是典型的釣魚手法,為甚麼有這麼多人中招?原來人們看到網址列有 accounts.google.com 便以為是正當網站,沒想到網址其實是採用了 data URI。

該「網址」共分了兩部分。第一部分顯示正當的 Google 登入網址欺騙受害人,第二部分是轉成 base64 的 Javascript 檔,但不法分子用一大堆空格分隔兩部分使網址變長,導致第二部分無法在網址列顯示出來,受害人因此無法察覺。

 

其實只要留意網址有否 HTTPS 便可知道網頁真偽;用戶亦可啟用兩步認證來登入,這樣便可保障個人資料。

Source : wordfence

 

Tags : phishing
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。