使用釣魚網站來騙取帳號密碼真的很簡單!

希望能透過我的文章讓每個人都能重視資安這個議題!

大多數人對資安沒興趣、也不想了解,但老實說,只要生活在現代社會,幾乎每個人和資安都會有關係,例如你的銀行帳戶有開啟網路銀行功能,而且你的手機能夠直接轉帳,那麼資安和你就會有關係!

如果你沒有使用網路銀行,或者你像我一樣只有啟用查詢的功能、沒有開啟轉帳的功能;或是你有開啟轉帳功能、但是有設定約定帳號,那麼恭喜你,至少你的銀行帳戶是比較安全的。

我自己從事資訊產業二十幾年來,真正負責維運企業在機房和雲端的主機也有將近二十年,十年前的攻擊事件機率較低,但最近幾年來可以說天天都能發現有被攻擊的Log記錄,而且偽裝的技術越來越高明,大都會借用知名搜尋引擎的機器人來探查主機的漏洞…

正因為每天接觸,才會明白資安的重要性,因此很希望能讓更多人一起來重視資安,畢竟企業想做好資安不是只靠少數幾個人就能做好,而是人人都必須提高警覺,就要像對詐騙電話一樣的心態,這樣就能有效提高資安防護能力!

駭客攻擊方法很多,會因為目標對象不同而有不同方法!

若是你有在學習資安滲透工具,就會發現這些工具實在太多太多了,有些可以單獨使用、有些必須搭配其它工具一起使用、有些甚至已是集大成之工具,可以直接在工具中增加、使用各種模組功能…

越強大、越彈性的工具,操作起來會更複雜、更不易學習,因此會用這類工具去攻擊的目標往往是比較大型的目標,例如較有資源的企業、較受注目的名人等等,當然大多數的目的都是為了勒索金錢。

而一般個人會成為攻擊目標的原因當然也是為了錢,不過由於一般個人大都不具有資安意識,警覺性很低,所以駭客們往往會採用社交工程攻擊手法,搭配釣魚網站就可以很有效的達到目的!

例如2021年1月份發生的簡訊詐騙事件,歹徒利用釣魚簡訊誘騙被害人在釣魚網站中輸入銀行的帳號密碼,然後便能取得被害人的銀行帳號密碼,之後再利用轉帳至人頭帳戶來取得詐騙款項(短短3天內便騙到61人、金額破千萬)。

其實若是銀行業者都能夠強制在網路銀行帳戶加入二次驗證機制的功能時,這類的詐騙事件就比較能杜絕,但可能是考量到投入的資源以及很多中老年用戶不會使用,因此在取捨之下就採用現在比較簡單的作法,但也因此而增加很多用戶的資安風險!

發動社交工程攻擊真的很簡單,這裡簡單做個示範~

這裡只使用社交工程攻擊工具來做示範,沒有結合使用高端的語音等AI工具,純粹用自己的網站來做為釣魚網站的模版,示範用來誘騙用戶輸入自己的信箱帳號密碼。

我只簡單說明步驟,但不會將詳細做法一一列出來,以免有心人士學壞,大致的步驟如下:

  1. 確認要做為釣魚網站的模版,此例我是用Webmail網站
  2. 利用SET工具進行釣魚網站的建置,準備接收受害者的帳號密碼
  3. 將釣魚網站的連結網址傳送給受害者,可以用Email、簡訊或IM等

相關的畫面截圖如下:

1-原始網站的登入畫面

2-1-釣魚網站的登入畫面

2-2-故意在釣魚網站輸入帳號密碼

3-駭客立刻就能取得帳號密碼