https://www.softnext.com.tw/news_main.html?tag=t&nid=1128
釣魚郵件流行多年,主要的攻擊方式是發送一封帶有惡意釣魚網站連結的郵件給目標,並用社交工程的手段誘使目標拜訪釣魚網站,透過釣魚網站騙取目標的帳號密碼、信用卡相關的機敏資訊。
釣魚郵件的防範重點,在於阻止受害對象去拜訪惡意釣魚網站連結:第一階段是將識別出釣魚郵件裡的惡意連結並屏蔽使用者接觸;第二階段則是透過上網安全防護機制,阻止受害對象進入惡意釣魚網站。然而,「道高一尺,魔高一丈」攻擊者也明白重點在於釣魚網站連結如何不被資安防禦工事檢測出,又可以令受害者前往釣魚網站,其中一種重要的手法是 HTML Phishing (離線釣魚) 。
HTML Phishing 與傳統釣魚郵件較明顯的差異是,釣魚網站連結不會直接顯示於釣魚郵件的內容,而是透過夾帶一個 HTML 的附件檔,將釣魚網站連結隱匿於其中,並且搭配混淆或編碼的手段,讓 HTML 原始碼檢查的過程裡,無法直觀察覺釣魚網站連結。
釣魚網站連結並不直接顯示於釣魚郵件的內容,而是透過夾帶一個 HTML 的附件檔,將釣魚網站連結隱匿於其中
上圖是一個 HTML Phishing 的例子,釣魚郵件的連結被編碼
但透過瀏覽器執行 HTML 內容時,卻能正確解碼,將受害者的機敏資料送至釣魚網站
在這個例子中,釣魚郵件的連結被拆散,透過瀏覽器執行 Javascript 可將釣魚郵件的連結正確還原,並將受害者的機敏資料送至釣魚網站
中華數位科技與 ASRC 研究中心在 2024 年 11 月發現 HTML Phishing 的數量大爆發,成長幅度約為近三個月來平均的兩倍。
防禦 HTML Phishing 攻擊
收到來路不明、與自己無關的郵件,建議直接忽略並刪除;若無法確定則需進一步查證確認寄件人身份。然而,釣魚攻擊手法多變,光靠教育收信者小心謹慎已不足以防範,需要導入郵件防禦機制來降低風險,例如運用 SPAM SQR ADM 進階防禦機制偵測 HTML Phishing 離線釣魚攻擊。