隨著各國開放邊境、暑假將近,不論是在台灣或世界各地,越來越多人開始踏上疫情後的第一次長途旅行,或正積極進行出國規劃。資安廠商 Palo Alto Networks 表示,由於這樣的趨勢,也讓惡意份子有機可乘,越來越多駭客以旅遊為主題,試圖利用網路釣魚竊取資料,包含帳戶憑證、財務資訊等,再將這些資訊透過黑市販售。
舉例來說,美國聯邦調查局(FBI)日前才發出警告,提醒消費者不要在機場、商場、旅館等公共場所使用 USB 接口充電,避免讓駭客有機會在裝置中載入惡意軟體,進而竊取資料,讓使用者淪為 USB 充電陷阱攻擊(Juice Jacking)的受害者。
Palo Alto Networks 指出,以旅遊為主題的網路釣魚不斷增加。駭客為了進行社交工程攻擊,常常會利用惡意網域和網址,假扮成消費者熟知的品牌和網站,用這些惡意網域或網址的內容來誤導消費者,因為它們看起來、感覺起來都很像之前熟悉的網域或網址。
駭客也可能將網路釣魚電子郵件傳送給消費者,誘騙他們下載惡意附件或點選惡意內容連結,可能是網頁或附件。他們還會使用帶有急迫感的主題(如未支付的帳單)或針對使用者情感訴求的主題(如當全球邊境開始開放,送出以旅遊主題的電子郵件)。
另一方面,Palo Alto Networks 的 Unit 42 團隊也分析了 2019 年 10 月至 2021 年 8 月間,以旅遊為主題的網路釣魚網址。惡意的網路釣魚網址註冊數量在 2021 年初逐漸增加,到 2021 年 6 月開始大幅成長。儘管後來新註冊的網路釣魚網址不像 6 月份數量如此之多,2021 年整個夏季,駭客新創造以旅遊為主題的網路釣魚網址,還是遠多於 2020 年任何時候。
根據 Unit 42 的觀察,新的網路釣魚網址除了使用特製或新網域外,惡意份子也會利用 bit.ly 和 bit.do 等短網址服務,以及 Google Cloud Storage 上的 Firebase 服務等。Google 是 Firebase 的提供者,Firebase 支援行動裝置或網頁應用程式的開發者。Firebase 提供包括雲端儲存功能,讓開發者可以儲存和提供使用者生成內容。由於 Firebase 使用 Google Cloud Storage,網路釣魚網址就可能利用它繞過 Google 信任評級的郵件保護機制。
Unit 42 也注意到,並非所有網路釣魚網址都被惡意分子用來做定向攻擊;部分網址被用在惡意郵件攻擊活動,用來管理惡意內容,Dridex 就是一例。
Dridex 是一種典型透過惡意電子郵件大量傳播的惡意軟體,目的要竊取資料。背後的駭客通常利用發票或帳單為主題的電子郵件,這也是多數大量傳播惡意軟體的常用策略。被入侵或帶有惡意的網址託管了 Dridex 初始安裝程式,目的是建立後門存取。如果最初感染沒被發現,Dridex 會透過建立的後門開始散佈後續的惡意軟體攻擊,包括勒索軟體。Dridex 利用的網域通常是合法但已受病毒感染的網站。
駭客已經攻擊了多個旅遊機構,駭客也使用 Firebase 來管理網路釣魚頁面,用來針對旅遊業員工及其客戶。受害機構包括旅遊租賃線上平台、高級連鎖飯店、渡假村管理公司和 Tui(英國途易)等航空公司。
網路犯罪份子通常希望從攻擊取得「資料」中獲利,對於蒐集到的旅客和旅遊機構的資料也不例外。我們注意到,惡意份子會透過兜售竊取來的帳戶憑證、客戶資料或付款資訊來牟利。
Unit 42 研究人員也注意到疫情期間,網路罪犯在黑市販賣旅遊相關的產品與服務大幅減少,或許是由於全球旅遊限制的緣故,但預期供需將會隨著全球旅遊市場開放而增加。
(首圖來源:pixabay)