HKCert
保安博錄

香港網絡被利用寄存超過 22,000 條釣魚網址

發布日期: 13 / 01 / 2016
最後更新: 13 / 01 / 2016

HKCERT 於 2015 年處理共 1,931 釣魚網站寄存個案,佔所有保安事故 40%。與去年 594 宗同類個案相比,增幅為 233%。個案激增的主因,源於針對中國內地銀行的大型釣魚活動,利用了位於香港的寄存服務。

 

 

圖 1:2014 及 2015 年釣魚網站個案比較 

 

新型釣魚手法令個案激增

騙徒使用新的犯案手法是導致個案激增的主要原因:

  1. 這些釣魚網站主要針對中國內地的銀行用戶。根據報導,用戶收到詐騙短訊或電郵,然後被誘騙瀏覽釣魚網站。

     
    圖 2:針對建設銀行及工商銀行釣魚網站的例子
     
  2. 這些詐騙訊息所載的釣魚網址,大量寄存於香港 IP 地址。據我們分析,2015 年約有 22,576 條釣魚網址使用了香港 IP 地址。
  3. 這些釣魚連結的域名,都由隨機組合的字母組成。由域名登記到實際用於放置釣魚網站只需一天。
  4. 由於騙徒找到方法登記大量域名,就算每個域名只運作幾天,他們仍能維持釣魚活動進行。大多數域名都會在一周內停止運作。

 

引起全球監管機構關注

是次釣魚活動針對中國內地各主要銀行如建設銀行、工商銀行、招商銀行、農業銀行等,涉及機構之廣泛及長時間進行,引起了很多監管機構的關注。我們一直收到 CNCERT/CC(中國)、中國人民銀行及受影響銀行的保安服務代理的釣魚網址報告,就連中國境外機構如 JPCERT/CC(日本)及 US-CERT(美國)亦偵測到相關網址並轉介予我們處理。

 

虛假登記資料有利網絡寄存被利用

難以有效杜絕相關釣魚活動主要有以下兩個原因:

  • 當我們嘗試聯絡 ISP 關閉釣魚網站,卻未能從公眾 WHOIS 記錄取得有效聯絡;就算取得聯絡,這些 ISP 實際位於內地,只是租用了香港的網絡,通常回應得很慢。其實半年前當我們處理一些暴力破解攻擊事故,已遇到類似難題,涉事的網絡用了虛假的聯絡資料登記。
  • 要處理如此多釣魚域名,耗費了我們大量資源。我們留意到這些域名的登記人聯絡資料及域名登記商均來自中國內地,因此我們已向 CNCERT/CC 及 CNNIC 就此問題尋求協助。

 

對香港的影響

釣魚活動並非針對香港用戶,那麼對香港用戶有什麼影響?

 

給使用者的建議

 

假如你正尋找或使用了寄存服務,請特別注意以下事項:

  • 假如你的網站或電郵伺服器寄存於這些被利用的網絡,有可能會被列入黑名單(如這個例子)。瀏覽器如 Chrome 及 Firefox 本身亦會攔截黑名單內的網站。當用戶到訪你的網站,很可能會看到以下畫面:



    圖 3:Google Chrome 攔截釣魚網站的例子
     
  • 假如本地或外地執法部門或監管機構決定對這些涉及釣魚活動的網絡服務商採取行動,被利用的網絡很可能會被關閉。這表示你寄存的網站或電郵伺務器會被迫停止運作,嚴重影響你的日常業務。
  • 假如你的網絡供應商未有對被利用的情況作清理,這意味着供應商管理出現問題。由於你的網站或電郵伺服器與騙徒的寄存空間並沒有防火牆阻隔,他們可以直接攻擊你的設施。

 

給網絡服務商的建議

  • 當收到 HKCERT 或品牌保安服務代理的通知,請儘快關閉釣魚網站。
  • 請找出那些客戶濫用你的網絡,或將他們列作黑名單。
  • 如有任何疑問,請電郵 [email protected] 或致電 +852-81056060 聯絡 HKCERT。