移动网络钓鱼攻击多重陷阱 盗取网银登入数据及身份文件

趋势科技在今年八月初讨论了关于网络犯罪分子使用一个广为人知的Android的漏洞来攻击移动网络银行应用程序的用户。这一次，我们发现一起移动网络钓鱼（Phishing）攻击，不仅会试图窃取用户的登入数据，还会要求受害者上传他们的身份文件。



这起网络钓鱼攻击活动跟之前的攻击类似：伪造了移动网络银行登入页面，使用和原本银行网站非常相似的网址。
尽管非常相似，不过也有些看得到的差异，比方说对SSL协议的支持。这钓鱼网站并不会出现安全符号，也没有使用HTTPS://协定，通常这是用来识别安全网站的方法。外观上也有些看起来不同的地方：



图一、合法网站对比伪造网页
钓鱼网页会要求用户的登入数据，不仅如此，输入登入数据之后，用户会被导到另一个伪造网页，询问他们的电子邮件地址和密码。这大概是为了当使用者试图透过变更登入数据来取回账号时，幕后的网络犯罪份子就会得到通知，因此仍然可以存取该账号。



图二、要求电子邮件登入数据的钓鱼网页
此时骗子还没有满足于所取得的数据，还会将用户导到另一个伪造网页，要求使用者上传他们的身份文件扫描图文件。



图三、要求身份文件图档的钓鱼网页
如果使用者不提供这档案，他们会被要求透过一个网址来继续他们的账号，不过这网址当然是连到一个已经挂掉的网站。
这是之前网络钓鱼攻击所未做到的程度，不仅让网络犯罪分子取得受害者的银行账号和电子邮件账号，还要拿到受害者的身份文件，可以用在各种涉及身份窃盗的诈骗上。
虽然利用网络钓鱼攻击去要求现实世界内的身份文件扫描图文件是新手法，但是对这样文件的交易并不是新闻。在我们关于俄罗斯的报告 – 「地下俄罗斯101」里提到了受害者的身份文件副本如何的被进行交易，不只为了钱，还会用在身份窃盗上，价格从2美元到25美元不等，取决于文件的种类。这些文件可能是身份证、护照或工作签证。
移动网络钓鱼正在增加中。趋势科技在今年很早的时候就已经提过，还有网络犯罪份子会如何利用这平台天生的局限性来展开他们的活动（例如利用屏幕尺寸较小来隐藏网址差异和安全符号）。随着智能型手机的普及，它们也强大到足以执行一般桌面计算机的多数工作，所以也就并不奇怪的，网络犯罪分子会利用该平台去找到更多的受害者和榨干他们的个人资料。
值得庆幸的是，用户可以在这种网络犯罪活动底下保护自己。下面是一些使用者可以记住的作法：
§ 将经常访问的网站加入书签。这会避免因为打错网址而进到钓鱼网站的机会。
§ 总是先查证。每当在交易时遇到奇怪和非预期的程序时，用户应该先跟有关机构确认（像是银行）。
§ 使用安全解决方案。趋势科技移动安全防护forAndroid中文版会立即封锁钓鱼网站，防止使用者不小心连上它们。

趋势科技的用户可以在这起网络威胁使用的各种手法下得到保护，将所有假网站的网址

加以封锁。

＠原文出处：Mobile Phishing Attack Asks for Users’ Government IDs
作者：Arabelle Mae Ebora（诈骗分析师）