小心來歷不明的賬單通知電郵

你有沒有想過開啟一封沒有網址連結和附件的電郵，也可能存在電腦安全風險？

近日，HKCERT 收到某互聯網公司報告，多名 Yahoo 電郵用戶舉報收到一封互聯網服務逾期賬單通知電郵，偽冒由[email protected] 發出。我們發現收件人都不是該互聯網公司的客戶，而電郵內的客戶名稱亦不是收件人。這封電郵表面上沒有網址連結，也沒有附件檔案，一般都誤以為是錯誤傳送的電郵。但我們分析電郵HTML原始碼後，發現內容其實隱藏了一個黑客的網址連結，開啟了這封電郵的用戶可能會被導向至一個 Yahoo 電郵的釣魚網站和在背後被收集電腦上的操作系統和軟件版本資訊並傳送到黑客的伺服器。

圖一：惡意電郵樣本

看不見的惡意網址連結

根據我們獲得的資料，這次惡意電郵主要針對 Yahoo 電郵用戶，因此我們特意登記一個 Yahoo 電郵帳戶 ([email protected]) 來測試這封惡意電郵對用戶的影響。由於這封電郵以 HTML 格式編寫，我們需要檢視內容原始碼才知道有沒有隱藏的程式碼。經分析後，我們發現在內容末段有一段設定為隱藏的程式碼會連結到一個位於香港的黑客伺服器，IP地址 180.x.x.x。我們已經向香港警察報告這個黑客伺服器。

圖二：電郵內發現隱藏的惡意網址連結

在我們測試的環境下 (Windows XP SP3 + IE8和 Windows 7 SP1 + IE10)，這段惡意連結的程式碼都無法自動執行。之後，我們將這個惡意網址直接在瀏覽器上執行，嘗試了解這個惡意網址的目的。我們發現這個網址會將訪客導向至該黑客伺服器內的Yahoo電郵釣魚網址 "yah.asp"，並且在 Yahoo ID預先輸入收件人的電郵地址，企圖誤導訪客輸入帳戶密碼。

圖三：Yahoo電郵釣魚網站

除此之外，我們發現訪客會在背後連結該黑客伺服器內的另一個網址 "monitor.asp"，這個網址會收集訪客電腦上的操作系統及軟件版本資訊，包括Office、Adobe Reader和保安軟件等。

圖四：收集訪客電腦上的操作系統及軟件版本資訊

收集所得的資訊會連同訪客的電郵和IP地址一併傳送到該伺服器內的另一個網址 "detect.asp"。我們相信黑客會將收集所得的資訊存儲，了解用戶電腦上有安全漏洞的操作系統或軟件，然後特製個別電郵內容，對用戶的電腦進行針對性攻擊。目前，我們的測試電郵帳戶暫時並沒有收到任何可疑電郵。

圖五：上傳收集所得的資訊到黑客伺服器

藉著今次事故，我們希望再一次提醒用戶不要開啟來歷不明的電郵，即使你沒有主動開啟電郵內網址連結或附件，黑客可能利用有漏洞的瀏覽器或電郵軟件令電腦自動開啟隱藏的網址連結。

如果你曾經開啟了上述來歷不明電郵的用戶，HKCERT 有以下建議：

• 若你懷疑自己曾經在上述的釣魚網站輸入 Yahoo 電郵密碼，建議立即從另一部安全電腦或手機變更你的帳戶密碼。
• 若你已安裝保安軟件，請更新保安定義並為電腦執行完整掃瞄。
• 若你沒有安裝保安軟件，請到以下微軟網站下載免費的惡意程式檢查工具 "Microsoft Safety Scanner" (http://www.microsoft.com/security/scanner/zh-tw/default.aspx)，然後開啟下載的檔案並依照指示執行一次完整掃瞄。

對於一般用戶，要保護你的電腦安全，HKCERT 有以下建議：

• 不要開啟來歷不明的網址和電郵。
• 安裝保安軟件並保持更新。
• 保持操作系統和軟件的更新。
• 不要關閉瀏覽器的保安功能及調低安全性等級。