釣魚電郵的攻擊手法層出不窮。最近有網絡安全公司發現,不法分子利用 Data URI 假扮 Google 的登入網址,欺騙受害人輸入帳號和密碼。
Wordfence 指近期有一種釣魚方式變得普遍,而且命中率高。不法分子會利用被入侵的帳戶發送電郵,亦會在電郵內插入圖片來假裝附件連結。因此收件者會以為電郵包含附件,但點擊「附件」時實際上是點擊了一張圖片,並會打開連結。
該連結其實偽冒了 Google 的登入頁面,收件者輸入帳號和密碼後就會把資料傳送給不法分子。其實這是典型的釣魚手法,為甚麼有這麼多人中招?原來人們看到網址列有 accounts.google.com 便以為是正當網站,沒想到網址其實是採用了 data URI。
該「網址」共分了兩部分。第一部分顯示正當的 Google 登入網址欺騙受害人,第二部分是轉成 base64 的 Javascript 檔,但不法分子用一大堆空格分隔兩部分使網址變長,導致第二部分無法在網址列顯示出來,受害人因此無法察覺。
其實只要留意網址有否 HTTPS 便可知道網頁真偽;用戶亦可啟用兩步認證來登入,這樣便可保障個人資料。
Source : wordfence
