【多重迴避】WordPress網站注入釣魚套件瞄準PayPal用家狂偷私隱資料
網絡安全公司 Akamai 最近在自設的 WordPress 蜜壼中,捕捉到一個新的 PayPal 釣魚攻擊,攻擊的目的是於已感染的 WordPress 網站中加入 PayPal 套件,通過不同手法掩飾其惡意行為,最終盜取網民的 PayPal 帳戶及各種個人私隱情報,對網民造成極大危機。
PayPal 網上付款工具在全球擁有 4 億用家,不少網民都會使用它作電子支付,因此不時有黑客瞄準這些用家發動攻擊。網絡安全公司 Akamai 為了監測最新的攻擊,因此特別設置了存在漏洞的 WordPress 蜜壼網站,靜待黑客上門以掌握新的攻擊手段。而就在早前,有黑客便成功入伺蜜壼網站,研究員指出黑客一般會通過搜尋裝有漏洞外掛工具的網站,又或以暴力破解方式強行登入採用弱密碼的帳戶,然後再於帳戶內的管理頁面加裝釣魚套件,令瀏覽網站的網民降低戒心。
而為了隱藏惡意行為,研究員說這次行動採用了多個方法迴避偵測。首先黑客使用了交叉引用 (cross-reference) IP 位址方式,標注了其他可信性高的公司或網絡安全服務供應商的 IP 位址,減低安全工具的偵測率。其次是套件在顯示網頁時,畫面排版及圖文都極力模倣 PayPal 格式,又以 htaccess 方式指向其他網址,令網址欄上不會顯示 PHP 延伸檔案,增加外觀的可信性。
而在網民使用 PayPal 時,系統首先會彈出機械人驗證版面,讓網民認為可靠,因此鬆懈地輸入自己的 PayPal 帳戶登入資料,甚至進行更多的安全驗證。雖然來到這個步驟,黑客已取得足夠的資料盜取帳戶內的存款,但研究員指黑客非常貪心,進一步要求用家提供更多個人資訊包括上存身份證明文件、住址及提款式密碼,有可能令部分用家起疑。不過,由於用家已填寫了部分資料,因此黑客其實已可將資料用於登記其他金融服務,以及開設帳戶洗黑錢。研究員警告網民如發現 PayPal 突然在其他網站的交易過程中出現這些要求,一定要提高警覺,如發現不妥,最好自行到官方網站,登入帳戶查看是否有重新驗證身份的通知,絕對不可在其他網站提交這些資料。
相關文章:【凍結帳戶】虛假PayPal SMS短訊詐騙用家交出個人資料
https://www.wepro180.com/20210109_paypal-2/