網路犯罪分子利用 HTTP 標頭進行大規模網路釣魚攻擊竊取個資

光盾資訊的研究員發現,網路釣魚活動正在濫用 HTTP 標頭中的重新整理條目來傳送偽造的電子郵件登入頁面。

「惡意連結會指示瀏覽器自動重新整理或重新載入網頁,無需用戶互動。」

在這個攻擊手法中,攻擊者用的是「Refresh headers and meta tags」。有兩種方式可以實現,功能上是相同的:使用 meta refresh 標籤和 HTTP refresh 標頭。

使用 meta 標籤的形式如下:

<meta http-equiv="refresh" content="10;url=https://hacking_site.com">

同等效果的 HTTP 標頭形式如下:

Refresh: 10;url=https://hacking_site.com

這兩種方式都會指示瀏覽器等待 10 秒後重定向到指定的 URL。這些方法有合法的用途,比如將用戶從啟動畫面重定向到內容頁面,或強制定期刷新不斷更新內容的頁面,然而,問題就出現在當駭客能夠在合法網站中,插入這些標籤或標頭時。

感染鏈的起點是一封包含連結的電子郵件,當用戶點擊連結到一個合法網站後,便會觸發重定向到由攻擊者控制的憑證竊取頁面(例如:hacking_site.com)。為了讓網路釣魚攻擊看起來更具合法性,這些惡意的網頁郵件登入頁面還會預先填入收件人的電子郵件地址。

目前已知來自越南的駭客團體(Storm-1152)大量使用此方法竊取個資(https://thehackernews.com/2023/12/microsoft-takes-legal-action-to-crack.html)。在開信時,大家必須注意多個面向,不要任意開啟連結,才能確保資訊安全。