威脅案例洞察
評分說明
因應感恩節的到來,各家電商紛紛舉辦琳瑯滿目的促銷活動吸引消費者,在台灣,網路購物的普及與便利更是不在話下,也因此讓網路犯罪者有機可乘,肆無忌憚地進行與網路購物相關的詐騙行為。其中透過品牌偽冒的方式發送釣魚郵件給消費者是一種極為常見的詐騙方式,近期 Cellopoint 成功攔截一封偽冒成日本 Amazon 的釣魚郵件,稍後將針對此郵件進行分析與說明。
首先,我們需先了解何為釣魚郵件以及品牌偽冒?
釣魚郵件指的是駭客發送大量的惡意郵件給特定或大量不指定的收件人,並在郵件中以具有吸引力或迫切性的文字敘述誘導或迫使收件者對郵件進行特定操作(如點擊連結或開啟郵件附檔),而執行這些操作的結果通常會將收件人導向另一個惡意連結,如釣魚網站等,以竊取個人資訊。或是下載惡意程式安裝至收件人的電腦中,用以竊取個人機敏資料,如信用卡號、個人帳密等。也可能是在收件人電腦安裝勒索病毒以取得電腦的控制權,日後對收件人進行勒索或佔用收件人電腦資源來從事其他犯罪行為。
品牌偽冒則是指以偽造電子郵件的方式,假冒知名或可信度高的品牌、機構或服務商發送惡意郵件給收件人以騙取個資、帳密、金錢或其它有價值的資訊等。而普羅大眾基於對該品牌的信賴,對以其名義發送的釣魚郵件通常較無防備之心,經常不疑有他的直接依照郵件中的指示進行操作,卻往往因此而受害。
本文要說明的案例是被 Cellopoint 郵件安全防護系統攔截的一封偽冒國外知名電商 Amazon 的釣魚郵件。
如從郵件基本資訊來看,可發現此郵件有一個異常點,即寄件人名稱雖顯示「amazon.co.jp」,寄件人地址卻非 amazon 官方所屬,而是 info-lqmbbkikvkzmqhck@mail.my.softbank.com (如下圖所示)。實際上 Softbank (軟銀集團,日語:ソフトバンクグループ 株式会社,英語:SoftBank Group Corp.) 是日本一家電信業與媒體業的控股公司,與 Amazon 是兩個不同的組織。
乍看之下會覺得郵件內文語系為日文,與寄件人來源似乎有一致性,內容大意是系統定期檢查後,帳戶需要重新進行身份驗證。但實際上點擊信中的「Amazon.co.jp」按鈕後會跳轉至偽裝成登入頁面的惡意網站,要求收件人輸入個人資料。(如下圖所示)
接下來再進一步看這封郵件的原始碼,了解這封郵件的寄件來源。
如上圖所示,從郵件的原始碼可看到此郵件是從 43.157.195.32 這個 IP 發送過來,發送主機的名稱為 VM-4-16-centos.localdomain。然而一般正常的發信主機會是一個正常的網域名稱,不會使用 localdomain 這樣的名稱,而且來自 Amazon 服務的郵件,發信主機都有完整網域名稱,因此這屬於極度可疑的因子。再來調查 43.157.195.32 這個 IP 是屬於 TENCENT-NET-AP-CN Tencent Building,也就是騰訊 hosting 的 IP 位址,與 Amazon 使用的 IP 位址不同,這也是另一個可疑之處。
綜合上述,這封郵件的異常之處如下:
寄件人名稱 Amazon 與寄件人郵件網域不符
郵件內文的按鈕導向惡意連結,意圖騙取個人資料
發送郵件的主機名稱異常
發送郵件的 IP 位址與 Amazon 的 IP 位址不符
針對上述幾點,Cellopoint 提供完整的郵件安全防護機制可過濾並防止此類惡意郵件進入收件人信箱而導致收件人有受害的疑慮。
Cellopoint 郵件安全防護機制如何成功攔截這封有品牌偽冒嫌疑的釣魚郵件呢?
這封郵件的信件格式與一般正常的 EDM 相似,Cellopoint 的 Anti-APT-URL 模組會擷取信中的未知連結進行掃描。以此封郵件為例,如有購買 Anti-APT-URL 模組,即可在第一時間將此郵件攔截。
系統攔截此釣魚郵件後,會進一步將郵件的相關資訊 (pattern) 記錄並學習,並在偵測偽冒的情資中心新增該品牌的防偽冒資訊 (如 TLD),以便日後進行比對。Cellopoint 的防偽冒情資亦會與 Anti-APT-URL 共享,針對郵件中的未知 URL,若有偵測到偽冒的情形,將給予高度的威脅分數。此分享聯防機制也會應用在郵件安全防護機制上,阻擋未來新收到的釣魚郵件。
最後也在此提醒,如若收件人身在台灣且平時根本沒有在日本 Amazon 網站購物的經驗或習慣,收到這封郵件時就完全不應進行任何操作。而即使收件人曾在日本 Amazon 網站消費購物,針對此類在郵件內容中帶有警告意味文字,同時又要求收件人點擊按鈕連至網站進行帳戶驗證的郵件,應更加警惕。建議透過官方網站途徑查證此事,而非依照郵件內容要求輕易點擊按鈕或連結,如此才能免於受害。