【以假亂真】反釣魚網站引擎大比併 日文網最易中伏

    香港電腦保安事故協調中心(HKCERT)今年第三季度報告出爐,本地網絡保安事故宗數錄破萬宗,創 2020 年第二季後新高,其中釣魚網站按季大升四成,以冒認日本網站為主。HKCERT 又實測反釣魚網站引擎,結果顯示 Google Safe Browsing 在所有平台中封阻釣魚網站成功率都較 Microsoft Defender SmartScreen 高。

    《香港保安觀察報告》提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動的香港系統,其定義為處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「. 香港」的系統。今年第三季度涉及香港的單一網絡保安事件按年上升 24%,共 10,938 宗,當中以釣魚網站宗數升幅最大,共 7,141 宗,按季上升 42%,按年更大升逾 6 倍,取代殭屍網絡成為保安事件的主要來源。

    【以假亂真】反釣魚網站引擎大比併 日文網最易中伏

     

    八成釣魚網站具有相似結構

    今季檢測到的 7,000 多宗釣魚網站事件中,多達八成網址擁有相似結構,均是以一堆雜亂的字串,再加上 page1.php 作結尾,例如:/k7OIMyJhEU/page1.php、/ic6oXx7P3s/page1.php、/uWBRvZ8quj/page1.php 或 /LAuCvx4R/page1.php 等。根據海外電郵保安專家的觀察,此類釣魚網站普遍以日文為主,內容是假冒信用咭公司或銀行,以騙取信用咭資料。黑客先發送電子郵件給用戶,以交易通知為藉口,再引導用戶點擊超連結前往需要輸入信用咭資料的釣魚網站。

    釣魚攻擊是一種成本低但卻非常有效的攻擊,而且變化多端,現今技術可讓黑客容易建立仿真度高的假電郵及網站騙取用戶。除直接騙取用戶的個人敏感資料外,如成功得到機構的系統(如 VPN 或 SaaS)登入帳戶,更可繼而嘗試取得系統內的敏感資料或進行橫向移動,即攻擊者可從入口點移動至網絡其餘部份,入侵其他內部系統。

    測試兩種主要反釣魚網站引擎服務

    除加強用戶的安全意識外,常用的瀏覽器都附有反釣魚網站功能,當瀏覽器嘗試存取網頁時,反釣魚網站引擎會先將網址及釣魚網站數據庫內的資料進行比對及分析,如分析結果顯示為安全的話,用戶可以正常存取該網頁。相反,若分析結果顯示為不安全,則會彈出警告頁面以防用戶瀏覽。因此,數據庫內的資料完整性及更新速度,對瀏覽器分辨釣魚網站有著重大影響。部份瀏覽器開發商會採用由其他開發商所建立的反釣魚網站引擎服務。反釣魚網站引擎主要分為兩個陣營:Google Safe Browsing 和 Microsoft Defender SmartScreen,以下為兩款引擎判斷到釣魚網站時所顯示的警告樣板。

    【以假亂真】反釣魚網站引擎大比併 日文網最易中伏

    Chrome、Safari、Brave 及 Firefox 採用 Google Safe Browsing;而 Edge 則使用 Microsoft Defender SmartScreen。HKCERT 在每款引擎中選取其中一個瀏覽器,於桌面及智能電話平台上進行測試。為模擬普遍用戶的真實使用情況,所有測試的瀏覽器均是使用預設的保安設定,測試結果以作為第一層防禦的瀏覽器能否封阻釣魚網站為準。

    測試結果顯示:

    【以假亂真】反釣魚網站引擎大比併 日文網最易中伏

    1. Chrome 在所有平台中封阻釣魚網頁的成功率都較 Edge 為高。

    2. 相同瀏覽器於測試的作業系統中有不同表現,原因或與軟件商如何實行反釣魚網站引擎有關。

    3. Edge 的反釣魚網站功能在 Android 中辨別率最低。HKCERT 就此曾查詢 Microsoft,獲回覆表示問題會於往後推出的新 SDK 版本中得到解決。 Microsoft 又指 HKCERT 的測試是基於 Microsoft Defender Smartscreen 的預設設定,如使用 Microsoft 的建議設定,測試結果可能不同,並建議用戶如有任何查詢,可與它們聯絡。

    HKCERT 建議 Chrome 用戶啟用瀏覽器內的 Enhanced Protection 以提高攔截釣魚網頁的成功率,又指由於瀏覽器的反釣魚網站功能需要時間收集及分析釣魚網址,所以瀏覽器對新註冊的釣魚網站的辨別率會相對較低。