仿 冒 詐 騙 攻 擊 概 念 及 技 倆
仿 冒 詐 騙 攻 擊 的 常 用 技 倆
使 用 「 仿 真 」 網 址
仿 冒 詐 騙 電 郵 經 常 使 用 社 交 工 程 學 的 手 段 , 即 是 在 信 息 中 模 仿 合 法 機 構 的 語 調 , 並 盜 用 其 商 標 或 稱 號 , 以 誘 騙 收 件 人 至 虛 假 網 站 輸 入 個 人 資 料 。 這 類 虛 假 網 站 的 網 址 在 外 表 上 通 常 與 原 來 網 站 的 網 址 非 常 相 似 。
下 表 列 出 多 個 香 港 銀 行 假 網 站 所 用 的 「 仿 真 」 網 址 :
| List of
banks |
URL |
Examples
of Bogus Cousin URL |
Bank of China (Hong Kong)
Limited (BOCHK)
中 國 銀 行 (香 港 )有 限 公 司 |
www.bochk.com |
www.bochkvip.com
www.bchk.cn |
Bank of East Asia, Limited
(BEA)
東 亞 銀 行 |
www.hkbea.com |
www.onlinebea.com
www.boeasiauk.com
www.boeauk.com
www.ebeauk.com |
Dah Sing Bank Limited
(DSB)
大 新 銀 行 |
www.dahsing.com |
www.daxinte.com
www.dlfh.com
www.dasxin.com |
DBS (Bank) Hong Kong
Limited
星 展 銀 行 ( 香 港 ) 有 限 公 司 |
www.dbs.com |
www.dbshk.net
www.dbsbankhk.com |
Fubon Bank
富 邦 銀 行 |
www.fubonbank.com.hk |
www.fubonhk.com |
Hongkong and Shanghai
Banking Corporation Limited
匯 豐 銀 行 |
www.hsbc.com |
www.hkhsbc.com
www.hkebc.com
www.hsbccom.hk |
International Bank of
Asia Limited (IBA)
港 基 國 際 銀 行 有 限 公 司 |
www.iba.com.hk |
www.hkiba.com
www.ibabankhk.com |
Industrial and Commercial
Bank of China (Asia) Limited
中 國 工 商 銀 行 ( 亞 洲 ) |
www.icbcasia.com |
www.icbc-online.com
www.icbcasiachina.com
www.icbcasiachina.cn |
Standard Chartered Bank
(Hong Kong) Limited
渣 打 銀 行 (香 港 )有 限 公 司 |
www.standardchartered.com.hk |
www.stbhk.com |
Wing Lung Bank Limited
永 隆 銀 行 有 限 公 司 |
www.winglungbank.com.hk |
www.winglungonline.net |
使 用 虛 假 網 址 (Bogus URL)和 利 用 瀏 覽 器 的 弱 點
有 些 假 網 站 會 利 用 統 一 資 源 識 別 符 號 (URI)的 語 法 編 寫 假 網 址 , 以 隱 藏 假 網 站 的 地 址 。 URI語 法 容 許 在 格 式 上 使 用 "@"、 "%"編 碼 及 "統 一 碼 "編 碼 。
微 軟 已 在 通 告 (MS04-004於 2004年 2月 發 出 )中 指 出 , IE瀏 覽 器 在 處 理 網 址 方 面 有 保 安 漏 洞 。 有 惡 意 的 用 者 可 以 利 用 此 弱 點 建 立 超 連 結 , 令 鏈 路 通 往 假 網 站 而 非 其 假 冒 的 合 法 網 站 。 這 手 法 同 時 可 防 止 假 網 址 在 瀏 覽 器 的 地 址 欄 及 狀 態 欄 上 被 顯 示 出 來 。
頁 首
其 他 慣 用 技 倆
-
使 用 合 法 網 站 的 外 觀 , 但 實 際 上 把 訪 客 連 接 到 虛 假 網 站 或 彈 出 的 視 窗 , 藉 以 混 淆 訪 客 。
-
使 用 跨 網 址 程 式 編 程 (cross-site scripting)技 術 , 在 合 法 網 站 安 裝 有 惡 意 程 式 碼 或 小 程 式 。 這 些 含 惡 性 的 程 式 會 隨 合 法 網 站 的 內 容 傳 送 至 訪 客 的 瀏 覽 器 , 然 後 自 動 執 行 , 以 盜 取 電 腦 內 的 個 人 保 密 資 料 、 尋 找 瀏 覽 器 的 漏 洞 , 或 轉 接 瀏 覽 器 至 其 他 欺 詐 網 站 。
-
視 覺 仿 冒 : 開 啟 一 個 彈 出 的 瀏 灠 器 , 不 顯 示 原 來 的 網 址 、 選 單 及 狀 態 欄 , 而 顯 示 仿 冒 者 重 建 的 並 帶 虛 假 資 料 的 網 址 、 選 單 及 狀 態 欄 。 在 左 下 角 的 狀 態 欄 顯 示 一 個 「 鎖 形 」 的 圖 標 , 以 混 淆 訪 客 , 使 他 們 覺 得 保 密 插 口 層 (SSL)己 被 下 載 及 啟 動 。
-
以 隱 藏 在 背 後 的 Meta標 籤 把 真 正 的 網 頁 轉 向 欺 詐 的 網 頁 。
|
