2008年8月21日 星期四

夾帶惡意附件檔案的釣魚郵件出現了

郵件主旨:Record in debit of account
夾帶附件的釣魚郵件出現了...我還一直在想啥時會出現哩!釣魚郵件如下圖:

之前老師不是有講,網頁連結跟附加檔案都是餌!你有沒有在聽!丟筆...

好!我們平心靜氣,還是要看一下附件檔案(注意:開啟附件或點選連結都是危險動作),壓縮檔案夾一個執行檔(.exe),相當傳統的手法。

把檔案丟到VirusTotal上的結果:24/36 (66.67%)

看一下郵件標頭(Header):


結論:
1.郵件內容都是英文,沒有網頁連結。所以沒有其他手法,有的還會夾個連結,連結到釣魚網站。
2.夾帶檔案就壓縮檔,解壓縮後是執行檔,純騙術,沒有看到漏洞攻擊的手法。手法還不夠細膩,如果解壓後的圖示,換成資料夾圖示應該會唬到更多人...
3.整個手法之前在yahoo信箱很常出現,可以到這舉報討論版看看,因為網路拍賣的關係,在取得相關買賣人的郵件信箱後(目前yahoo雖然把相關信箱隱蔽,但還是有不少人大剌剌得把郵件信箱貼出來),寄出一些夾帶自動解壓縮且執行的檔案,來誘騙相關人去點選、執行。
4.比較需要注意的是,如.rar, .pdf, .doc, .ppt...等,其中Office文件檔案經常被利用來夾帶惡意攻擊碼的,目前國外釣魚郵件還沒利用這類的文件漏洞攻擊,但遲早會利用的;反到是我政府單位經常受到這類郵件攻擊,可以參考最近的新聞政府單位發布的消息,所以務必切記危險動作。
5.我的預感:夾帶文件檔案的應用程式漏洞攻擊,快出現了,而且會利用0-day漏洞,成功機率才會大幅提升。

沒有留言: