Luke a Pro

Luke Sun

Developer & Marketer

🇺🇦
EN||
© 2015–2026 Luke Sun.
All rights reserved.

釣魚攻擊

| , 2 minutes reading.

1. 定義

釣魚 (Phishing) 是一種社會工程攻擊,攻擊者偽裝成可信任的實體,欺騙受害者洩露敏感資訊(憑證、財務資料、個人資訊)或執行有害操作(點擊惡意連結、下載惡意軟體)。

與針對軟體漏洞的技術性攻擊不同,釣魚攻擊針對的是人的因素——利用信任、緊迫感、恐懼或好奇心。

2. 技術原理

釣魚攻擊通常涉及多個技術組件:

常見釣魚途徑:

  1. 郵件釣魚: 冒充銀行、科技公司或雇主發送大量郵件。
  2. 魚叉式釣魚: 使用關於特定受害者的個人資訊進行針對性攻擊。
  3. 鯨釣: 針對高價值個人(高階主管、名人)的魚叉式釣魚。
  4. 簡訊釣魚 (Smishing): 透過簡訊進行釣魚。
  5. 語音釣魚 (Vishing): 透過語音電話進行釣魚。

技術欺騙方法:

  • 網域欺騙: 使用相似網域(g00gle.commicrosoft-security.com)。
  • 郵件標頭竄改: 偽造「寄件者」地址使其看起來合法。
  • 同形字攻擊: 使用看起來像 ASCII 的 Unicode 字元(使用西里爾字母 ‘а’ 的 аpple.com)。
  • URL 混淆: 使用短連結服務或誤導性錨文字隱藏惡意 URL。
  • 憑證收集頁面: 在攻擊者控制的網域上託管的合法登入頁面的像素級複製。

3. 攻擊流程

sequenceDiagram
    participant Attacker as 攻擊者
    participant Victim as 受害者
    participant FakeSite as 偽造登入頁面
    participant RealSite as 真實服務

    Attacker->>Victim: 發送釣魚郵件<br/>您的帳號將被暫停

    Note over Victim: 郵件看起來來自<br/>合法服務

    Victim->>FakeSite: 點擊連結並輸入憑證

    FakeSite->>Attacker: 擷取使用者名稱和密碼

    FakeSite-->>Victim: 重新導向到真實網站<br/>受害者未察覺被竊

    Attacker->>RealSite: 使用竊取的憑證登入

    RealSite-->>Attacker: 授權存取受害者帳號

4. 真實案例:Google Docs 釣魚 (2017)

目標: 全球 Gmail 用戶。 漏洞類別: OAuth 權杖釣魚 / 第三方應用程式濫用。

攻擊過程: 2017 年 5 月,一場高度複雜的釣魚攻擊在 Gmail 中迅速傳播。與傳統釣魚不同:

  1. 受害者收到一封看起來像是來自已知聯絡人的 Google Docs 共享邀請郵件。
  2. 點擊「在 Docs 中開啟」會重新導向到合法的 Google OAuth 頁面
  3. OAuth 提示要求用戶向一個名為「Google Docs」的應用程式(實為偽造的第三方應用程式)授予權限。
  4. 一旦授權,惡意應用程式就獲得了對受害者郵件和聯絡人的存取權限。
  5. 它立即向所有聯絡人發送相同的釣魚郵件,形成病毒式傳播。

為何如此有效:

  • 使用合法的 Google 基礎設施(OAuth)。
  • 惡意應用程式被命名為「Google Docs」以顯得官方。
  • 來自已知聯絡人(已被攻陷的帳號)。
  • 沒有傳統的「偽造登入頁面」可供偵測。

影響: 在 Google 停用惡意應用程式之前的一小時內,數百萬用戶成為攻擊目標。這迫使 Google 實施更嚴格的 OAuth 應用程式驗證政策。

5. 深度防禦策略

A. 郵件認證 (SPF、DKIM、DMARC)

在協定層面防止郵件欺騙。

  • SPF(寄件者原則框架): 指定哪些伺服器可以代表您的網域發送郵件。
  • DKIM(網域金鑰識別郵件): 對郵件進行加密簽章以驗證真實性。
  • DMARC(基於網域的郵件認證): 告訴接收伺服器如何處理未通過 SPF/DKIM 的郵件。
# 範例 DNS 記錄
example.com. TXT "v=spf1 include:_spf.google.com -all"
example.com. TXT "v=DMARC1; p=reject; rua=mailto:[email protected]"

B. 多因素認證 (MFA)

即使憑證被釣魚,攻擊者也無法在沒有第二因素的情況下存取帳號。

  • 硬體金鑰 (FIDO2/WebAuthn): 具有抗釣魚能力,因為它們會驗證來源網域。
  • TOTP 應用程式: 比簡訊更好,但仍容易受到即時釣魚代理的攻擊。
  • 推播通知: 可能被「MFA 疲勞」攻擊繞過,但仍增加了阻力。

C. 安全意識培訓

技術控制無法阻止用戶主動輸入憑證。

  • 模擬釣魚: 定期進行假釣魚活動以測試和教育員工。
  • 報告機制: 郵件用戶端中易於使用的一鍵「報告釣魚」按鈕。
  • 即時培訓: 當用戶未能識別模擬攻擊時立即進行教育。

D. 郵件過濾和連結保護

  • URL 重寫: 透過安全掃描器代理所有被點擊的連結。
  • 附件沙箱: 在隔離環境中引爆可疑檔案。
  • 冒充偵測: 基於 AI 的偵測,識別冒充高階主管的郵件。

E. 瀏覽器和 DNS 保護

  • 安全瀏覽 API: 瀏覽器會警告用戶已知的釣魚網站(Google Safe Browsing)。
  • DNS 過濾: 在網路層面阻止對已知惡意網域的存取。
  • 密碼管理器: 僅在合法網域上自動填入,幫助用戶偵測偽造網站。

6. 參考資料