2006年10月2日
網路釣魚去!
最近常收到網路釣魚(phishing)的電子郵件,多半跟我那個百年沒有動過的PayPal帳號有關。簡單的說,網路釣魚就是利用假的登入網頁,騙取使用者的帳號和密碼。
要判斷釣魚郵件和網頁並不困難,許多系統和安全軟體廠商都有許多報導,不過我還是來寫寫我的簡單版本。
話說今天收到一封這樣的信:
要判斷釣魚郵件和網頁並不困難,許多系統和安全軟體廠商都有許多報導,不過我還是來寫寫我的簡單版本。
話說今天收到一封這樣的信:
通常我看到這裡就會直接刪信,不過今天優待,繼續玩下去以便做個記錄。
寫得有模有樣,不過信裡面就已經錯誤百出,包括露出馬腳的發信地址(1)、標點(2)、假的https安全網址(3,跟稍後拷貝出來的網址比對便知)、大量郵件參數(4)等等。
為什麼我會特別挑剔標點的問題呢?除了職業習慣之外,也因為我對於國外有規模廠商在這方面的品管有信心;這類與客戶之間的通訊,就代表著公司的門面、以及對品質觀感的重視,所以應該不會隨便才對。至於釣魚廠商,在這方面大概不會太苛求,所以問題就多了。當然這一點不是絕對的,只能列入參考。
先欣賞一下信中提供點按的網址。這個網址看起來還蠻唬人的,又有看起來很安全的「https」、又有Paypal網址,不過真相如何,拷貝出內容來看看就知道。
用滑鼠右鍵按信中附的網址。我是在Mac上用Safari瀏覽軟體開GMail電郵帳號,不過其他平台、其他電郵軟體應該都可以用同樣的方式操作。
拷貝之後,開一個新的瀏覽視窗,然後貼進網址欄裡面。不要直接用左鍵點按信中給的網址;一來不安全,二來可能會錯過它真正的網址,直接跑到另外一個轉址網站。
這樣一來就原形畢露啦,完整顯示的網址是:
http://home-service.haier-broadtech.com/manual/mod/mod_python/developer/%20/webscr.html
表面上看起來,似乎跟大陸家電廠商海爾(Haier)有點關係,不知道是裡頭有人在玩、有人冒用海爾名號、還是海爾被當成了跳板?用whois去查這個網址的資料如下:
[grs.hichina.com]
Domain Name ..................... haier-broadtech.com
Name Server ..................... dns8.hichina.com
ns.haier-broadtech.com
Registrant ID ................... hc091704679-cn
Registrant Name ................. GangWang
Registrant Organization ......... Beijing Haier broad-tech Co. Ltd.
Registrant Address .............. Silver-Net Center 709, Zhichun Road 113, Haidian
Registrant City ................. Beijing
Registrant Province/State ....... Beijing
Registrant Postal Code .......... 100086
Registrant Country Code ......... CN
Registrant Phone Number ......... +86.01062571968 -
Registrant Fax .................. +86.01062571968 -
Registrant Email ................ chy_wg@yahoo.com
直接打www.haier-broadtech.com,跑到海爾集團所屬的「北京海爾廣科數字技術有限公司」去了;看起來是真的無辜網站,所以海爾被當作跳板的可能性似乎比較高。好,這個先不研究,在網址列中按個return繼續往下玩;網址一轉身變成了:
http://211.90.191.89/icons/pie5.prg/%20/paypal.com/Security-Accounts/
UsingSsl/prdata/custserv/paypal/WebTeller/developer/us/index.php
除了一開始是看不出來的IP位址之外,有Paypal、又有各種安全相關字眼,好像真的一樣。如果直接在電郵裡按網址,就只能看到這個,看不到「海爾」那個部份了。
網頁看起來也像是真的。當然囉,都是從真的網站上拷貝下來的,不像才怪。甚至連登入、送錢、收錢等等連結也都是真的,不過‥‥
不管你有沒有Paypal帳號,隨便輸入一組帳號密碼都可以過;因為釣魚站照講不會有真正的帳號資料庫,所以才要靠你自己貢獻。所以,來輸入個「abc@123.com」,密碼亂打。
看吧,照過不誤。
玩到這裡就好,再繼續輸入資料就沒意思了。
繼續查了一下「211.90.191.89」是何方神聖,果然不出所料,來自對岸;Paypal好像不是設在那邊吧:
好吧,暫時講到這邊,接call-in。:-D
寫得有模有樣,不過信裡面就已經錯誤百出,包括露出馬腳的發信地址(1)、標點(2)、假的https安全網址(3,跟稍後拷貝出來的網址比對便知)、大量郵件參數(4)等等。
為什麼我會特別挑剔標點的問題呢?除了職業習慣之外,也因為我對於國外有規模廠商在這方面的品管有信心;這類與客戶之間的通訊,就代表著公司的門面、以及對品質觀感的重視,所以應該不會隨便才對。至於釣魚廠商,在這方面大概不會太苛求,所以問題就多了。當然這一點不是絕對的,只能列入參考。
先欣賞一下信中提供點按的網址。這個網址看起來還蠻唬人的,又有看起來很安全的「https」、又有Paypal網址,不過真相如何,拷貝出內容來看看就知道。
用滑鼠右鍵按信中附的網址。我是在Mac上用Safari瀏覽軟體開GMail電郵帳號,不過其他平台、其他電郵軟體應該都可以用同樣的方式操作。
拷貝之後,開一個新的瀏覽視窗,然後貼進網址欄裡面。不要直接用左鍵點按信中給的網址;一來不安全,二來可能會錯過它真正的網址,直接跑到另外一個轉址網站。
這樣一來就原形畢露啦,完整顯示的網址是:
http://home-service.haier-broadtech.com/manual/mod/mod_python/developer/%20/webscr.html
表面上看起來,似乎跟大陸家電廠商海爾(Haier)有點關係,不知道是裡頭有人在玩、有人冒用海爾名號、還是海爾被當成了跳板?用whois去查這個網址的資料如下:
[grs.hichina.com]
Domain Name ..................... haier-broadtech.com
Name Server ..................... dns8.hichina.com
ns.haier-broadtech.com
Registrant ID ................... hc091704679-cn
Registrant Name ................. GangWang
Registrant Organization ......... Beijing Haier broad-tech Co. Ltd.
Registrant Address .............. Silver-Net Center 709, Zhichun Road 113, Haidian
Registrant City ................. Beijing
Registrant Province/State ....... Beijing
Registrant Postal Code .......... 100086
Registrant Country Code ......... CN
Registrant Phone Number ......... +86.01062571968 -
Registrant Fax .................. +86.01062571968 -
Registrant Email ................ chy_wg@yahoo.com
直接打www.haier-broadtech.com,跑到海爾集團所屬的「北京海爾廣科數字技術有限公司」去了;看起來是真的無辜網站,所以海爾被當作跳板的可能性似乎比較高。好,這個先不研究,在網址列中按個return繼續往下玩;網址一轉身變成了:
http://211.90.191.89/icons/pie5.prg/%20/paypal.com/Security-Accounts/
UsingSsl/prdata/custserv/paypal/WebTeller/developer/us/index.php
除了一開始是看不出來的IP位址之外,有Paypal、又有各種安全相關字眼,好像真的一樣。如果直接在電郵裡按網址,就只能看到這個,看不到「海爾」那個部份了。
網頁看起來也像是真的。當然囉,都是從真的網站上拷貝下來的,不像才怪。甚至連登入、送錢、收錢等等連結也都是真的,不過‥‥
不管你有沒有Paypal帳號,隨便輸入一組帳號密碼都可以過;因為釣魚站照講不會有真正的帳號資料庫,所以才要靠你自己貢獻。所以,來輸入個「abc@123.com」,密碼亂打。
看吧,照過不誤。
玩到這裡就好,再繼續輸入資料就沒意思了。
繼續查了一下「211.90.191.89」是何方神聖,果然不出所料,來自對岸;Paypal好像不是設在那邊吧:
好吧,暫時講到這邊,接call-in。:-D
引用URL
http://cgi.blog.roodo.com/trackback/2220523
回應文章 
精彩精彩!!
感謝Fred兄詳細的解說。
小弟現在是看到email的標題是英文
已經快要是直覺反應把它砍掉
所以遇到一些有不寫信件標題的朋友
都很怕不小心把他們的mail當成病毒或廣告信給砍了:-P
感謝Fred兄詳細的解說。
小弟現在是看到email的標題是英文
已經快要是直覺反應把它砍掉
所以遇到一些有不寫信件標題的朋友
都很怕不小心把他們的mail當成病毒或廣告信給砍了:-P
Posted by wahaha
at 2006年10月2日 01:39
饒有趣味,哈哈,發掘了一些平日一看到便劈掉的東西
Posted by 小奧
at 2006年10月2日 02:49
unsolicited mail, delete right out, don't hesitate.
Posted by aikune
at 2006年10月2日 09:10
Cool!
Posted by andy
at 2006年10月2日 18:43
超有趣的! 哈哈~~
Posted by Ed
at 2006年10月2日 23:05
我也收到了PayPal的提醒信,不過沒仔細看就刪掉了,之後又收了三次,還是沒看就刪,看到這篇文章突然想起這件事。
Seth Godin's blog就講到他也收到一封phishing的信件:
Criminals
http://sethgodin.typepad.com/seths_blog/2006/10/criminals.html
Seth Godin's blog就講到他也收到一封phishing的信件:
Criminals
http://sethgodin.typepad.com/seths_blog/2006/10/criminals.html
Posted by 容顏
at 2006年10月11日 22:15
請問我的奇摩剛剛被綁架了要怎麼辦?Orz
好像是假網址,怎麼點都是一個網站叫做
wsearch.com
Posted by hussard
at 2008年06月11日 11:26
![[Syndicate this site]](http://blog.roodo.com/_img/rss.gif "Syndicate RSS feed"){kind=small}
![[Syndicate this site]](http://blog.roodo.com/_img/atom.gif "Syndicate ATOM feed"){kind=small}
