假快遞真詐騙 — 郵件詐騙新手法
一般來說,知名大廠和常見品牌最容易被利用來做為詐騙的幌子。其源自於,這些常見的知名品牌,在市場上已建立起一定程度的品牌信賴度,比較容易取得大多數使用者的信任,所以也讓詐騙者更能趁機逮到引誘使用者上當的機會。 在本文章中,我們將為您分析偽造知名國際快遞服務進行的網路釣魚和發送惡意郵件的相關資訊。這當中遭受偽造的品牌,包含最常見的DHL(德國)、聯邦快遞和UPS(美國)、以及TNT(荷蘭)。這些快遞公司都屬於大型的跨國企業,服務範圍遍佈世界各地,服務客戶數量相當龐大,因此詐騙者相中這個機會,利用類似的服務模式來對使用者進行詐騙。 網路釣魚的主要目標:
  1. 1.竊取您的機密資料(包含金融卡憑證,登錄帳號和密碼)。其主要是利用偽造官方網頁的方式,讓使用者在不知情的情況下,於資料提供的欄位中填寫個人資料時竊取您的資料,或是透過您填寫的通訊資料,來發送夾帶惡意程式的郵件進行釣魚詐騙。
  2. 2.在使用者電腦上安裝各種的惡意程式。不僅僅會監控使用者的網路活動和竊取個人資料,還會組成殭屍網路發送垃圾郵件和發動DDoS攻擊。
目錄 1.詐騙郵件的標題主旨 & 寄件者名稱
2.詐騙郵件主旨
3.詐騙郵件的設計環節
4.圖型設計
5.文宣設計
6.詐騙郵件內容
7.規避篩選的文字包裝
8.詐騙頁面
9.不同語系的詐騙郵件
10.包含惡意程式的詐騙郵件
11.如何辨識釣魚郵件
1.詐騙郵件的標題主旨 & 寄件者名稱 contents 在郵件表單中的寄件者欄位一般都會顯示:寄件者名稱。為了誘騙收件者,詐騙者通常都會變更位址,使用以假亂真與正常官方相似的郵件位址。 以下為利用郵件寄件者位址來詐騙的常見範例:
  1. 1.詐騙郵件常見位址的命名方式。第一種是採用類似原廠官方(DHL、TNT、聯邦快遞)郵件位址做為寄件者名稱。在郵件信箱名稱方面,通常都會使用與問題諮詢、客戶服務,一些企業間常用來回覆客戶問題和提供支援服務的制式郵件信箱名稱。而其中郵件位址使用的網域名稱伺服器,通常也都是真實存在的企業名稱或是讓人感覺像是正常企業所屬的對應名稱。
  2. 2.郵件位址名稱不像正常的企業郵件信箱位址。寄件者名稱雖然也標示出企業公司名稱(聯邦快遞、DHL、FedEx.com),但其中郵件信箱的網域名稱通常都是隸屬於免費的電子郵件服務,或是與企業信箱服務完全不相同的服務名稱。其中的郵件位址可能是來自於真實的帳號或是自動建立的位址(從公用資源或是駭客帳號)。由自動建立的位址名稱,一般都含有隨機亂數排列的字母、單字或數字。
  3. 3.類似企業公司員工的電子郵件位址。寄件人名稱可能包含假定的員工名稱、公司名稱、職稱(外務、經理或其他職稱)。同樣的郵件信箱會採用相同的寄件者名稱,因為資料名稱若有不同容易被收件者察覺到這是詐騙郵件。其中郵件使用的網域服務名稱有可能是真實的公司名稱,或是其他跟快遞物流不相關的網域名稱。
  4. 4.只顯示郵件位址沒有寄件者名稱。

    在判斷寄件者郵件位址時,請記住,詐騙者並不需要特別破解入侵企業的郵件伺服器,才能在寄件者欄位使用企業的郵件信箱名稱。他們只需在寄件者欄位插入需要的網域名稱即可達到目的。
2.詐騙郵件主旨 contents 詐騙郵件主旨除了必須吸引人之外,也需具備合理性,才能讓收件者有開啟郵件的意念。因此,垃圾郵件寄送者也深知這箇中的道理,所以通常都會利用快遞服務正式通知的官方資訊。例如,通知客戶目前的物流作業進度,以及是否已順利送達等相關的進度通知。 最常見的詐騙主旨:
  1. 1.主旨關於運送/出貨(裝運通知,取貨狀態,出貨確認,出貨單據,出貨訊息…等等)的相關資訊。
    範例:
  2. 2.主旨關於出貨追蹤(貨件追蹤查詢號碼),訂單訊息和發票通知。
    範例:
  3. 3.主旨關於一般訊息和帳號(建立和帳號確認,或新訊息…等等)通知。
3.詐騙郵件的設計環節 contents 詐騙者都會特別用心設計詐騙郵件的整體架構。其主要目的是要建立詐騙郵件整體的可信度。因為,如果郵件本身架構看起來讓使用者容易查覺有可疑之處,便會遭到刪除而無法達到詐騙目的。以下我們將為您分析出,犯罪份子是如何動歪腦筋,讓這些詐騙郵件偽裝成企業官方郵件的設計手法。 4.圖型設計 contents 所有主流的跨國企業都會有屬於自己企業的設計風格,這當中包含企業的文字圖示、商標圖示、名稱字體、標語和配色。這些資訊都可以在官網、郵件和廣告行銷上,觀察到其中的設計元素與企業精神。在設計詐騙郵件的時候,要讓人信以為真的首要條件就是要運用到最關鍵的元素。所以一般罪犯都會先從企業商標著手,因為商標對企業來說,最具有代表性和唯一性。 以下為詐騙郵件仿造DHL企業商標的範例。 讓我們仔細查看這些仿造範例。由第二個範例中,我們可以明顯看出偽造圖示,除了有標示出DHL字樣之外,整個外觀設計和原始的官方圖示是大不相同。而在第四個範例中為吸引收件者的注意力,設計者將官方圖示大小調整到占整體版面約三分之一的大小,藉此誘導收件者在一般直覺的情況下,去點擊郵件中的釣魚連結。由這項範例中我們可瞭解到,為什麼釣魚連結會採用較大較有差異性的字體:為的是想讓收件者不假思索就點下安排好的釣魚連結,而不會特別留意郵件中其他的文字說明。 在第一個範例中,設計者複製官方網站上的設計概念(目前相當主流的偽造方式),不過可察覺不同的地方是,仿造圖示的logo是放在右邊,實際上的官方圖示logo是放置在左邊,且圖示背景是採單一顏色,而非穿插漸層的顏色。第三個範例中的圖示是最貼近原始的官方圖示:設計者嘗試設計出相符的官方圖示。不過詐騙郵件中要採用正確的官方圖示,也並不是太困難的事。主要是因為在網路上可以查找到許多各式樣板的官方圖示,同時也可參考官方網站和郵件中採用的常見格式以及色彩配置來進行詐騙的樣板設計。 5.文宣設計 contents 在大多數的官方郵件中,我們發現到都會有一些常見的問候語或聲明,特別是當它是自動建立和發送標準的事件通知時,這類郵件通常含有發送端的聯絡人資訊和資源連結。以下就是詐騙郵件利用文宣設計,偽造官方快遞服務通知的範例說明:
  1. 1.使用常見官方郵件的標準用語:請不要回覆此郵件,此為自動建立的電子郵件、版權所有、服務條款和隱私政策、本郵件內容可能包含隱私資訊,請小心留存等等。
  2. 2.建立企業官網連結。詐騙郵件當中並不是所有的連結都是導引到釣魚網站 - 垃圾郵件發送者也常使用實際上是連到官方資源的連結,以使他們發送的郵件看起來沒有任何異常,來規避垃圾郵件篩選的偵測。
  3. 3.附上聯絡資訊。詐騙者通常會假定寄件者或公司(名字、姓氏、職務、公司地址)的聯絡人資訊。這些聯絡資訊有些是真的有些是虛構的。
6.詐騙郵件內容 contents 詐騙者發送詐騙的郵件內容,能夠取得收件者的信任,這才是郵件詐騙的精髓所在。取得信任之後受害者將在一步步的誘導之下讓詐騙者予取予求,例如,提供個人資料或安裝惡意程式。因此突破心防請君入甕,是郵件內容首要達成的目標。 以下是利用快遞服務內容來發送詐騙通知的常見手法:
  1. 1.利用各種常見的問題通知做掩護(例如,成功交貨、資料不齊全、地址錯誤、沒有收件者的收貨地址)。這些訊息通常和運送服務流程有關。因此,通常利用快遞公司發出的送貨問題通知,一般較不容易被懷疑,特別是如果郵件中包含一些運送狀況的詳細細節時。
  2. 2.利用有效期限事件做為通知主旨。例如,「請在五日內進行取件,否則貨品將會退還給原寄件者」。透過類似的期限通知手法,迫使收件者需盡快做出回應。網路釣魚就是希望營造出,用戶端可能取貨或是付款失敗的假像,讓他們不疑有他的就提供個人資料,或是開啟可疑附件衍生出額外的費用。
  3. 3.利用關於附件或連結(發票、消費明細、貨件追蹤查詢)內容做為郵件主旨。其實來講一般用戶看到不明附件或是可疑連結,不可能還會傻呼呼的點開。所以詐騙者才會模仿官方文宣或是假藉官方網站連結,來博取信任然後再使用常見且和附件對應的主旨(例如,出貨通知),將惡意檔案(例如,consignment.zip)夾帶在郵件中。
    這個方式是為了讓收件者附件或連接看起來是安全的。
  4. 4.使用一些提示訊息請您進行操作(開啟連結、開啟附件、文件列印,等等)。當收件者被誘騙相信這是正常信件時,下一步便會告知該如何解決問題。完成指定步驟就是詐騙郵件想要達成的目標。在這當中不僅是單純告訴收件者該如何操作,而是進一步說服用戶要在郵件中,主動留下詐騙者想取得的重要資訊。為了避免讓人產生懷疑,所以郵件內容通常都會載明整個操作步驟的詳細說明。
7.規避篩選的文字包裝 contents 詐騙使用者只是詐騙流程中的最後階段。在前置階段第一步就是發送郵件的位址需要避免被用戶端的系統判定為垃圾郵件。以及透過一些常用有效的主旨和內容修飾,來避掉垃圾郵件文字篩選的偵測。現今垃圾郵件為達成發送目的,會在建立的文字範本上,依照時間環境的不同進行多次的修改。讓每則郵件從不同郵件位址發送時可使用到不同的文字範本,對應不同的個人資料(例如,貨品數量、地址、日期),成就通知郵件的獨創性,以說服收件者採信。除此之外,有時詐騙者會使用數月前曾使用過的郵件格式,但會在郵件的內容架構做字詞修飾與變更,以使得原郵件能在重新包裝之後,繼續進行詐騙作業。 以下是送貨服務通知中常見的詐騙包裝資訊:
  1. 1.杜撰關於訂單/出貨資訊,包含貨件追蹤查詢號碼、出貨日期等等。
  2. 2.杜撰聯絡資訊,包含寄件者名稱和企業公司名稱。某些垃圾郵件會提供郵件位址或是可以聯繫公司的電話代表號。此外視情況,寄件者名稱和公司名稱可能都會有所不同。
  3. 3.杜撰附件名稱。在不同的詐騙郵件中,可能會透過變更檔名來包裝相同的惡意程式。
  4. 4.杜撰連結。在釣魚/惡意郵件其中,常會含有利用短網址服務掩飾惡意連結。不過,大多數的情況下,最新版本的防毒軟體都能迅速阻擋這類型的惡意行為。
  5. 5.杜撰數據和時間日期。包含可參閱的時程表(日期/小時),金額數量和指定日期(日期/月份)。
  6. 6.杜撰寒暄或問候語。垃圾郵件發送者通常會使用收件者的姓氏、名稱來進行官方制式的問候。有時則會使用一些統稱(親愛的客戶、尊敬的客戶…等等)來替代。
  7. 7.杜撰其他文字敘述。運用其他詞彙替代相同意義的文字陳述,以使整段文句上保持不變的說法。
以下是詐騙郵件利用文字包裝來規避篩選的範例。 以下是一些垃圾郵件的範例。 8.詐騙頁面 contents 為竊取用戶的個人資料,詐騙者建立了專屬的網路釣魚頁面(其中可能複製部分或完整的原始官網頁面)。如果受害者進入此頁面填寫個人資料(金融資料、帳號和密碼),則這些資料都會落入到不法份子的手上。 為掩護通往釣魚網站的連結,詐騙者經常會使用一些主流且免費的短網址服務。除此之外,大部分網址服務廠商提供的統計服務,都可讓詐騙者輕鬆取得關於釣魚連結點閱率等相關的統計資訊。而釣魚頁面註冊的網域名稱,經常都是使用有時間限制的免費網域名稱,而這些網址服務供應商可能都不知道,已被不法份子利用來進行詐騙。 接下來讓我們一起看看,假冒聯邦快遞要求收件者更新帳號資訊的詐騙郵件。 在以下的詐騙郵件內容中含有一個官方網站的連結,這個連結乍看之下好似很正常,但是當您將滑鼠游標停置在連結上時,您會發現到它其實是連線到免費短網址服務的連結。 點擊之後就會重新導向到詐騙者仿造的聯邦快遞頁面,首先頁面會先要求您必須輸入帳號密碼以存取個人的帳號頁面。一旦受害者在指定欄位中填入資料,然後點擊登入之後,這些個人帳號資料就會傳送到詐騙者手上。比較粗淺的釣魚網站當中,其他頁面的功能選單和連結,常常都是空殼沒有實際作用。所以進到頁面後點擊連結,並不會連到與用戶帳號相關的頁面。不過,某些比較細心的詐騙者會仿造完整性較高的釣魚頁面,以讓用戶不容易起疑這是個假網站。在許多的仿造頁面,雖然很多都設計的跟原來廠商官網很相似,但如果有稍加留意的話,您應該就會發現冒牌網頁和正牌網頁之間的差異。然而,詐騙者抓準了一般用戶大多不會留意細節的習慣性,來助長他們詐騙個資的成功率。 以下是假冒聯邦快遞發送詐騙郵件的另一則範例。這回他們在郵件中建立了一個惡意連結。透過郵件通知收件者,因為缺少重要資料、資料不齊全為由。請用戶點擊指定連結進行身分驗證。 點擊連結後會連線到一個詐騙網頁,請受害者下載驗證檔案,檢查收件者的相關資料以確認送貨資料的正確性。想當然這就是遠近馳名的特洛伊木馬程式,一經下載安裝,詐騙者就可以偷偷存取電腦系統和所有的個人資料。 詐騙者不單只會將釣魚連結附在郵件內容中,還可能會附加一個HTML格式的偽造網頁,這些附加項目都是為了竊取用戶的個人資料。無論是使用釣魚連結或是偽造網頁,同樣都會假冒快遞服務發送詐騙郵件。 9.不同語系的詐騙郵件 contents 為了增加受害用戶數量及影響範圍,垃圾郵件發送者將會持續掌握各項新的語言。除了一般最常見的英文、德文之外,在近幾年的廣告和詐騙郵件也開始有希伯來文、阿爾巴尼亞和其他語言的蹤影。例如,您也有可能會收到假冒來自義大利和荷蘭國際快遞服務發送的詐騙郵件。這些通知郵件本身並沒有任何特殊功能,只是利用英文或德文來做用戶區分,利用不同語系來進行詐騙。 從以下範例來看,這則詐騙郵件就是利用義大利文假冒聯邦快遞,發送通知給用戶請他們點擊郵件中的釣魚連結來確認身分。 另一種利用義大利文發送的詐騙郵件,則是宣稱官網已更新用戶資料並且附件中有存放相關的詳細資訊。但實質上附件中存放的其實是用來,竊取用戶個人資料的木馬程式。 以下則是另一起利用荷蘭文假借TNT發送新帳號建立通知的詐騙郵件,其中郵件中聲稱附件有提供帳號建立的詳細資訊。不過如上述的手法,這個附件其實是個惡意程式(Backdoor.Win32.Andromeda),用來在受害者不知情的情況下,控制用戶電腦。 10.包含惡意程式的詐騙郵件 contents 透過垃圾郵件散佈惡意程式並且在網際網路上交互感染電腦,是目前非常常見的惡意詐騙手法。攻擊者透過各式各樣的誘導技巧,說服受害者在電腦上安裝惡意程式。詐騙郵件類型也相當多元化,例如,商品報價、婚宴喜帖…等等,各型各色的郵件訊息。然而,利用一些國際企業/品牌來發送詐騙通知是目前最主流的方式。所以,提供跨國快遞服務的企業也就成為詐騙郵件仿造的首選。 利用快遞服務通知,散佈惡意程式的主要類型分為:
  1. 1.特洛伊木馬程式 – 主要功能是用來執行未經授權的操作,私自修改變更資料,破壞電腦本身系統和網路效能。而目前詐騙/垃圾郵件夾帶的木馬程式類型包括,後門程式、Trojan-Downloaders、Trojan-Proxies、Trojan-PSWs、Trojan-Spies、Trojan-Bankers…等等。
  2. 2.蠕蟲病毒 – 能在未經電腦或是電腦網路的許可下,自我複製的惡意程式。通常蠕蟲會掃描其他主機是否有感染同種蠕蟲病毒,如果沒有,就會透過內建的傳播手法進行感染,以進一步達到癱瘓電腦或是阻斷服務等攻擊。
惡意程式具有什麼危險性?
  1. 1.它們會竊取用戶的帳號名稱和密碼,同時會嘗試存取金融資料或其他資訊。
  2. 2.建立殭屍網路發送垃圾郵件,發動DDoS攻擊等攻擊行為。
  3. 3.提供詐騙者透過受害者的電腦,進行檔案執行、刪除、安裝或是其它控制功能 。
目前的惡意程式除了整合範圍廣泛的詐騙功能之外,某些惡意程式還會下載其他惡意程式,提供更多的詐騙功能。這些功能包含了竊取瀏覽器中的帳號和密碼,奪取受害電腦的控制權限。 詐騙通知的惡意物件可以直接內建或是在郵件內容中提供下載連結。比較危險的情形是,惡意程式在執行中或是擅自安裝程式時,由於皆不需透過使用者手動操作,故使用者較難馬上發現異狀。通常來說,惡意程式會封裝成ZIP(或是RAR),並且搭載自解壓縮的功能(副檔名會顯示.exe格式)。 11.如何辨識釣魚郵件 contents 以下提供您幾項辨識詐騙郵件的簡易方法。
  1. 1.留意寄件者位址。如果寄件者的郵件位址包含隨機排列的字母、數字,或是位址網域名稱和原本官方位址毫無關係,請特別留意這應該就是詐騙郵件。
  2. 2.留意寄件者的來源名稱或企業標語上的錯誤。詐騙郵件常會使用一些相似名稱、或是錯別字。
  3. 3.留意圖型設計。詐騙者常會偽造指標型企業的商標,包含圖樣、配色、風格,但實際上常會有些地方是和正確官方圖示有所不同。
  4. 4.留意郵件內容。詐騙郵件經常會假藉各種名義,要求收件者提供個人資料或是下載檔案。特別是帶有威脅語氣,或是罰則的通知,請留意很可能就是詐騙郵件。
  5. 5.留意下載連結的位址。如果郵件中的連結名稱和實際上連線位址不相符,就可以確定一定是詐騙郵件。如果您是使用瀏覽器讀取,您可以將滑鼠移到連結時,於畫面左下角查看出實際上的位址。如果您使用郵件軟體讀取,您可以將滑鼠移到連結時,查看顯示在標記視窗上的實際連結位址。
  6. 6.留意附加檔案。詐騙郵件最常利用ZIP或RAR封裝來掩護惡意程式(.exe檔案)。因此,請不要隨意開啟或是執行壓縮檔中的檔案。
  7. 7.留意是否有連絡資訊。一般公司行號發送的通知都會提供聯絡方式,無輪是公司服務代表或是員工個人發送的郵件通知。
  8. 8.留意收件者位址或名稱。詐騙郵件不一定都擁有收件者實際上的姓名,故有時會透過公用群組郵件位址做為發送對象,或是使用一些統稱(用戶/客戶…等等)做為收件者名稱。
資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:https://securelist.com/analysis/publications/66515/scammers-delivery-service-exclusively-dangerous securelist 主題:假快遞真詐騙 — 郵件詐騙新手法 發文時間:2014/09/17