釣魚攻擊好詐 利用你對Google的信任洪嘉宏 (2024-08-09 15:09:01)

研究人員近期發現一種針對知名網站如Google和WhatsApp的釣魚攻擊手法。這種攻擊被稱為「依賴信任網站」（Living Off Trusted Sites，LOTS）威脅。

編譯／Cynthia

研究人員近期發現一種針對知名網站如Google和WhatsApp的釣魚攻擊手法。這種攻擊被稱為「依賴信任網站」（Living Off Trusted Sites，LOTS）威脅。攻擊者利用用戶對這些受信任平台的依賴，設計隱蔽且難以察覺的詐騙手法。這類攻擊的目的是竊取受害者的個人和財務資訊，並且因為利用知名網站的信任度，使得詐騙過程更加隱秘而具有欺騙性。

攻擊手法詳解

這次釣魚攻擊，以一封偽裝成Amazon帳戶驗證的電子郵件為起點。該郵件引導受害者點擊一個由Google Drawings的圖形連結。由於Google Drawings通常不會被傳統安全工具識別為可疑，使得攻擊者能夠在不被發現的情況下利用此服務。受害者點擊圖形連結後，會被重新導向到一連串縮短的連結，最後前往偽造的Amazon登入頁面，進一步誘使用戶輸入敏感資料。

更多新聞：偽裝成Microsoft Forms 釣魚攻擊增多

進階掩飾與資料竊取

攻擊者進一步利用WhatsApp的URL縮短器「l.wl.co」來隱藏其真實意圖。這些連結會再經由「qrco.de」進行縮短，增加安全掃描工具檢測的難度。當受害者進入偽造的Amazon登入頁面後，他們會被要求輸入登入憑證、個人資料、帳單資訊以及信用卡資料。攻擊者透過不同的連結路徑收集每一步的資料，即使受害者在填寫過程中途退出，已經提交的資料也會被竊取。

安全防護挑戰與解決方案

這種攻擊的複雜性顯示僅依賴用戶教育和傳統安全工具防範釣魚攻擊的局限性。Menlo Security指出，單靠用戶教育或一般的安全工具無法有效預防這些高級詐騙手法，因此需要加入更先進的技術，如即時AI分析，以偵測和阻止這些威脅。這種高科技措施能夠快速識別並應對複雜的網路詐騙行為。

結合技術與教育提升安全

專家指出，雖然用戶教育對提升安全意識非常重要，但單靠這種方法無法完全防範所有類型的攻擊。為了有效保護自己，必須結合先進技術，如即時AI分析等進階保護措施。這些技術能夠提供更全面的安全防護，幫助用戶識別並應對各種網路威脅。結合技術和教育，才能真正提高整體的網路安全水平，保障個人資訊的安全。

資料來源：Infosecurity Magazine

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 釣魚攻擊好詐 利用你對Google的信任 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。