跳至主內容

瀏覽器的反釣魚網站功能如何幫助阻擋釣魚攻擊

過去四年HKCERT平均每年處理約8,900宗本地的網絡保安事故,當中在2021年釣魚攻擊更佔所有事故總數的48% [1],即使綜觀全球,釣魚攻擊亦佔保安事故總數的36% [2]

 

發佈日期: 2022年09月15日 2376 觀看次數

簡介

釣魚攻擊數量繁多的原因是它是一種成本低但卻非常有效的攻擊,而且變化多端,現今技術可讓黑客容易建立仿真度高的假電郵及網站騙取用戶。 除直接騙取用戶的個人敏感資料外,如成功得到機構的系統(如VPN或SaaS)登入帳戶,更可繼而嘗試取得系統內的敏感資料或進行橫向移動 (意指攻擊者從入口點移動至網絡其餘部份的過程 [3]),入侵其他內部系統。

 

 

用戶如何防範釣魚網站

除了加強用戶的安全意識 (例如分辨可疑電郵及網址, 積極主動匯報可疑網址)外,一般防毒軟件及瀏覽器都會提供反釣魚網站功能,助用戶及機構減少存取可疑網站。

 

 

反釣魚網站功能及引擎

瀏覽器是連接網站的橋樑,其分辨釣魚網址的功能,亦是其中一個重要的防禦機制。常用的瀏覽器都附有反釣魚網站功能,當瀏覽器嘗試存取網頁時,反釣魚網站引擎會先將網址及釣魚網站數據庫內的資料進行比對及分析,如分析結果顯示為安全的話,用戶可以正常存取該網頁。相反,若分析結果顯示為不安全,則會彈出警告頁面以防用戶瀏覽。

 

因此,數據庫內的資料完整性及更新速度,對瀏覽器分辨釣魚網站有著重大影響。部份瀏覽器開發商會採用由其他開發商所建立的反釣魚網站引擎服務,以下是常用瀏覽器的比較:

 

ChromeEdgeSafariBraveFirefox
反釣魚功能
反釣魚引擎Google Safe Browsing [4]Microsoft Defender SmartScreen [5]Google Safe Browsing [6]Google Safe Browsing [7]Google Safe Browsing [8]

 

由上表可見反釣魚網站引擎主要分為2個陣營:Google Safe Browsing和Microsoft Defender SmartScreen。以下是當這2款引擎判斷到釣魚網站時所顯示的警告樣板。

 

 

Google Safe Browsing

Google Safe Browsing

 

 

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen

 

 

 

近年釣魚攻擊趨勢

釣魚攻擊手法一直在演變,由以往騙取用戶登入資料到近期流行的騙取網頁Cookie,甚至利用人工智能客戶服務套取用戶提供敏感資料等。

 

雖然攻擊技術不斷推陳出新,但都離不開利用相似的域名去魚目混珠。由於註冊域名的成本低兼手續簡單,因此釣魚網站的數量在近年都有上升趨勢。

 

根據網絡釣魚資訊機構OpenPhish的資料顯示,每日有約千個新的釣魚網站出現[9],瀏覽器能及時地辨別對保障用戶十分有幫助,有見及此,HKCERT分析及測試了本地用戶常用的瀏覽器,看看眾多瀏覽器的反釣魚網站效能。

 

 

測試目的

目的是針對一般用戶在瀏覽器預設保安設定情況下進行測試,記錄不同瀏覽器在桌面電腦及智能電話中對新近發現的釣魚網址的封阻效能。

 

 

測試方法

連續14工作天 (由七月十一日至七月廿八日),每天抽樣存取當日發佈的最新釣魚網址。網址由OpenPhish提供,該機構會每十二小時更新一次可疑網址。

 

 

測試環境及瀏覽器

由於常用的瀏覽器所使用的反釣魚網站引擎主要分為2款,所以會在每款引擎中選取其中一個瀏覽器,於桌面及智能電話平台上進行測試。

 

為模擬普遍用戶的真實使用情況,所有測試的瀏覽器均是使用預設的保安設定,測試結果以作為第一層防禦的瀏覽器能否封阻釣魚網站為準。

 

Windows 10 21H2MacOS 12.4Android 11iOS 15.5

Chrome
(Version 103)

Edge

(Vesion 103)

 

 

測試結果

 

WindowsiOSAndroidMacOS
瀏覽器ChromeEdgeChromeEdgeChromeEdgeChromeEdge
封阻最新釣魚網頁的成功率70.30%40.60%72.30%31.70%70.30%0.99%62.40%38.60%

 

一、 測試結果顯示Chrome在所有平台中封阻釣魚網頁的成功率都較Edge 為高。

 

二、 相同瀏覽器於測試的作業系統中有不同表現,原因或與軟件商如何實行反釣魚網站引擎有關。

 

三、 Edge 的反釣魚網站功能在Android中辨別率最低。HKCERT就此曾查詢Microsoft,獲回覆表示問題會於往後推出的新SDK版本中得到解決。 Microsoft又指HKCERT的測試是建基於Microsoft Defender Smartscreen的預設設定,如使用Microsoft的建議設定,測試結果可能不同,並建議用戶如有任何查詢,可與它們聯絡。

 

四、 另外,HKCERT亦抽樣對其他瀏覽器於Android的表現進行測試,發現其他瀏覽器的反釣魚效能在不同的智能電話品牌(如Samsung、Sony等)上的效能都未能與桌面版一致,甚至得出較低的辨別率。

 

 

建議及總結

HKCERT 建議Chrome用戶啟用瀏覽器內的Enhanced Protection以提高攔截釣魚網頁的成功率,用戶可參考以下網址開啟Enhanced Protection:

 

https://support.google.com/chrome/answer/9890866?hl=en&co=GENIE.Platform%3DAndroid

 

另外,由於瀏覽器的反釣魚網站功能需要時間收集及分析釣魚網址,所以瀏覽器對新註冊的釣魚網站的辨別率會相對較低。HKCERT提醒用戶:

 

  • 留意網址的英文串法,小心檢查有否錯誤或可疑之處,並核實該網站真偽;
  • 切勿假設使用HTTPS 協定的網站必是真實可信網站,釣魚網站亦可使用 HTTPS 協定;
  • 不要隨意打開任何連結或附件,並於提供個人資料前三思;
  • 不要透過電子郵件提供的連結或未知網站來登入帳號,可善用瀏覽器的書籤功能來儲存任何帳號登入的網址。

總而言之,反釣魚網站功能只能減少用戶存取釣魚網頁的機會,增強自身安全意識配合反釣魚網站功能才是對抗釣魚攻擊的上策。在現實中作一個例子,反釣魚網站功能像口罩,可以隔絕大部份病毒(釣魚攻擊)入侵,但當病毒通過口罩後,最終都是要靠自身的抵抗力(用戶安全意識)去保護免受病毒入侵。

 

 

參考資料

  1. https://www.hkcert.org/press-centre/cyber-attacks-become-more-complex-and-diversified-phishing-attacks-reach-new-high-hkcert-calls-on-public-to-raise-awareness-of-information-security
  2. https://www.phishingbox.com/resources/phishing-facts
  3. https://www.cloudflare.com/learning/security/glossary/what-is-lateral-movement/
  4. https://safebrowsing.google.com/
  5. https://support.microsoft.com/en-us/microsoft-edge/how-can-smartscreen-help-protect-me-in-microsoft-edge-1c9a874a-6826-be5e-45b1-67fa445a74c8
  6. https://www.apple.com/legal/privacy/data/en/safari/
  7. https://brave.com/privacy/browser/
  8. https://support.mozilla.org/en-US/kb/safe-browsing-firefox-focus
  9. https://openphish.com