NGO工作者的Gmail被入侵?分辨钓鱼信件的五个细节!

NGO工作者的Gmail被入侵?分辨钓鱼信件的五个细节!
声援刘晓波 + 李明哲,人权团体被盯上

近日,台湾 NGO 组织持续关切中国诺贝尔和平奖得主刘晓波于服刑期间逝世的议题,并声援遭中国拘禁的我国非政府组织工作者李明哲。在人权团体锲而不捨大力奔走的努力下,声援的行动受到联合国与欧盟的支持与关注。然而,除了获得国际间的关注之外,这些 NGO 组织的成员似乎也受到另类的「关注」。

许多 NGO 工作者最近收到了貌似来自 Google 的安全通知信件,声称其帐号受到多次尝试登入,并且帐户已因此遭到锁定。除此之外,信件内容更要求收件者点选连结以重新登入帐户,或进行安全设定检查来确保帐户的安全性。收到此信件的许多工作者因而感到非常担心,怀疑是否自己设定的 Gmail 二阶段验证登入机制失效,或帐户已受到骇客掌控。

然而,将此信件转交专业资安研究人员鉴定后,研究人员判定这些疑似来自 Google 的安全通知信件,事实上是来自骇客的钓鱼信件。

Gmail 的安全通知信,其实是钓鱼信件

此钓鱼信件的目的是利用当事人恐慌的心理状态,诱骗当事人点选信件中的连结以骗取其电子邮件的帐号密码。一旦收件者受骗上当并输入帐号密码后,骇客极有可能会利用这组帐号密码尝试入侵其他相关系统,达成进一步的入侵。

在资安研究的领域中,这种透过当事人各种心理状态进行诱骗,达到攻击目的的攻击方式被称为「社交工程」。使用社交工程的攻击方式不仅能大幅的提高攻击的成功率,更能降低攻击者的攻击成本,因此,这是一种在网路攻击行动中被广泛使用的攻击手法。

身为一般电子邮件使用者的我们,该如何自行判断这封信件是否正常呢?首先,不只生活中充斥着各种诈骗,电子世界中也是。因此,不论收到任何主题与内容的电子邮件,收件者都务必保持冷静,并仔细观察信件内容来找出任何可疑的蛛丝马迹。

判断钓鱼信件的五个细节

以此封钓鱼信件为例,我们可以透过以下的方式来进行判断:

一、标题:
此封信件的标题为「登入告警:尝试登入达到认证上限」,其中「登入告警」很明显为中国用语,在繁体中文的环境下,正常应会被写作「登入警告」,而不会使用「告警」。

二、寄件者:
为避免冒用,Google 不会使用 gmail.com 结尾的电子信箱来寄送任何 Google 系统信件,因为 Gmail.com 任何人都能注册,这封信件结尾却使用了 gmail.com。

三、信件内容:
信件内图片网址的持有者不是 Google , 然而,Google 系统通知信内附的图片不使用 Google 旗下的伺服器或网站,即是一个非常可疑的疑点。

四、连结或者附件内容:
虽然页面长的跟 Google 登入画面一模一样,但要求帐户安全检查等连结网址的持有人却不是 Google。

NGO工作者的Gmail被入侵?分辨钓鱼信件的五个细节!

五、交叉确认:
Google 帐户安全警告除了利用 Email 通知外,Google 通常会另行显示在帐户内的其他地方,例如会显示在我的帐户 → 装置活动与通知 → 近期安全事件。使用者可以利用这个功能确认 email 所描述的安全事件是否真的存在。

综合以上描述,我们可以合理怀疑这封信大有问题。里面的连结恐怕是恶意连结,非常可能是钓鱼信件。

平时对 Gmail 帐号的资安维护

其实,除了在收到信件时可以利用以上的方法来进行确认外,建议使用者平时也需对于帐户安全性多加注意,利用以下的方法来加强安全的防护。

一、打开 Google 两阶段验证:设定帐户两阶段验证完成,使用者输入登入帐户密码之后,系统会透过简讯或其他方式寄送验证码到使用者的行动装置上,或是透过 app 自动产生验证码,使用者需要再次输入收到的验证码才能完成登入。此验证方法的目的在于利用使用者的行动装置再次确认登入者的身分,多一个确认步骤,增加骇客入侵的难度。

二、从 Google 研究功能中打开 Gmail 的验证功能:启用 Gmail 验证功能后,Gmail 会在寄件者地址旁边提示使用者是否通过身分认证,开启此功能后,真正的 Google 系统邮件旁边会额外显示钥匙图示。

NGO工作者的Gmail被入侵?分辨钓鱼信件的五个细节!

最后,假设我们真的收到了钓鱼信件时应该怎幺办呢?如同案发现场,在发现攻击事件时最重要的是先保留证据,无论是使用浏览器登入使用 Gmail,或是使用 Outlook 等软体收发邮件,可以透过撷取画面的方式保留当下所看见的信件画面。除此之外,保留原始信件也非常重要,在 Gmail 上,可以在信件右方点选「显示原始邮件」来下载原始邮件。

在保留信件画面与原始内容后,可以将这些资料交由资安研究人员进行分析,以利进行进一步的追查。

如果信箱真的遭到入侵,可能会被做什幺事?

首先,攻击者可能会先设定「筛选器」的功能,设定将邮件转寄至攻击者可以控制的信箱,进一步分析这个帐户的来往邮件与撰写习惯;接下来,攻击者可能会透过信箱发送特定的钓鱼信,谎称是当事人并特别地攻击某位认识的朋友,看是不是可以取得更多的资料,或是诱骗被入侵者点击连结,进而取得被入侵者电脑的控制权,存取更多机密资料。

很多人会说,「我的信箱或电脑中又没有什幺资料,我不担心会被入侵」。

但事实上,对方要的可能不是信箱中的邮件,而是透过你的信箱、电脑,伪装成被入侵者以接触到他周围的朋友或同事,进而从他们身上窃取资料;或是控制电脑后,以该电脑发起攻击,如此一来警方追查时可能就只会追到被入侵者,而无法揪出真正在背后发动攻击的攻击者。

资讯安全不是只有换换密码而已,有机会可以多多参与资安相关的研讨会,了解最新的攻击技术与防御技巧,在现实生活中也要多方查证,才不会不小心让自己成为攻击他人的节点。

附录

此次钓鱼邮件所使用之网址与对应 IP:
http://account.mailcloud.pw -> 104.156.239.73
http://membersgrupojuritas.isasecret.com -> 200.105.138.195

此次钓鱼邮件有问题的寄件者 Mail address:
[email protected]
[email protected]

相关推荐