网络欺诈者的手法日渐细密,甚至在发动攻击前,深入了解潜在受害人的详细背景。
电脑安全专家最近发布的报告指出,利用电邮地址作为密码提示和注册识别码的网站,已成为欺诈者取得民众详细个人信息的渠道。
根据报告的描述,欺诈者通过网站的注册和密码提示工具,自动输入数万个电邮地址。由于许多电子商务网站会回复特定的信息给已注册的电邮帐号,攻击者便可借此确定哪些地址是有效的。
利用从数个不同网站收集的信息,恶徒便可针对特定的收件人,量身制作欺诈电邮,让网络使用者更难分辨这些信件究竟是一般的垃圾还是骗局。此外,专家表示,量身制作的信息也容易逃过垃圾邮件过滤器的侦测。
反钓鱼诈骗工作小组(Anti-Phishing Working Group)主席Dave Jevans 说:“钓鱼攻击最近变得更个人化和准确化。”这类欺诈相关的信息,现在会包含收件人的姓名或电邮地址,或甚至含有更多关于收件人的个人信息。
钓鱼是一种盛行的在线欺诈,歹徒试图窃取受害者的帐号、密码和信用卡号等敏感信息,然后对外出售或盗用身份。这类骗局通常利用垃圾电邮和伪装成合法网站的欺诈网页。
欺诈者通常以自行编列、购买或在线收集等方法,准备大量的电邮地址。注册或密码提示攻击的窍门在于网站的回应。许多商务网站会回覆特定的信息,如“这个地址已被注册”,以便申请人更改帐号,但攻击者却可借此辨别哪些帐号有效。
安全专家Eran Reshef 表示,电邮地址与网站配对之后,网络罪犯便可取得真正使用者的性别、性取向、政治立场、居住地区、嗜好和消费过的网络商店等详细个人信息。
Rashef说:“想像某个人知道你所有注册过的网站,再想想那代表什么。集合所有这类信息,你可以一份创造非常详尽的个人侧写,不只是片段的信息。”
因此,这类攻击的成功率也较高,因为当中所含的准确信息,会让不知情的收件人以为那是合法的邮件。举例来说,一封假冒银行或信用卡公司的信件,可能指出收信人确实使用过的网络商店名称。
安全专家发现,美国大多数受欢迎的网站都能让欺诈者进行“恶意的个资收集”。此外,许多小型网站,包括网络商店、运动团队网站、政治组织和其他团体的网站也相当容易被利用。
不过,该安全专家的研究显示,恶意的个资收集尚未大幅扩散。Reshef说,某些网站经营者–例如大型银行企业–似乎已注意到这个问题。这些网站都不让使用者以电邮地址注册帐号,并要求额外信息才会发出注册或密码提示,或采取其他安全措施。
eBay也是以实际行动阻挡注册与密码提示攻击的商业网站之一。eBay的全球隐私权标准资深顾问Scott Shipman 表示,早在钓鱼诈骗肆虐之前,该站便停止接受电邮地址作为使用者帐号,并在注册与密码提示过程中,采取其他保护措施。
Shipman说:“这一切都是专门防范未授权的信息揭露,不管是多么细微的信息,例如某个电邮地址或使用者帐号是否为本站的有效帐号。” 以eBay为例,不论特定电邮帐号是否曾在该站注册,使用者帐号的提示功能均发出一样的回应。Shipman说:“错误信息的用字遣词让人无法分辨这个帐号是否有效。”
Shipman 认为,设计一个不会泄漏使用者信息的网站,是所有网站经营者的责任。他表示:“这是何谓最佳经营行为的典范。”
恶意的个资收集只是钓鱼诈骗信息日益准确化的方式之一。本月稍早,安全研究人员曾提报,遭窃的消费者信息被用来盗领特定银行个人帐户内的存款。
反钓鱼诈骗工作小组的Jevans表示,安全专家的研究显示一股新兴的钓鱼欺诈威胁。他赞成在线组织应采取行动,消除注册与密码提示功能的安全弱点。他说:“我认为这项研究是真的,你绝对可以改写网站的这项功能,或许也应该这么做。”
个资收集如何进行?
以下条列出网络恶徒如何建立潜在受害者的个人侧写,以提高欺诈犯罪的成功率。
攻击者用购买、网络收集工具、自行编造或其他方式,准备大量电邮地址。
编写一段script程序,自动执行将所有电邮在不同网站登入的程序,以便收取回覆。
网站的回覆让攻击者确认个别电邮地址是否有效,再将这些信息汇编成详尽的文件。
制作完成的个人文件用来量身定作欺诈电邮。
如何阻挡攻击?
唯有网站企业对注册与未注册电邮发出不同的回覆,“恶意个资收集”手段才有可能奏效。
当网站允许电邮地址作为注册帐号,且没有要求难以捏造的个人细节信息,如信用卡号以为验证,其注册功能才有可能被恶徒利用。
其他安全措施,如要求新登记者解答图像问题,也能防范这类攻击。
除电邮地址之外,提示功能若还要求其他个人信息,恶徒便难以利用。
网站所提出的图像式问题,也能有效制止这类欺诈手段。