【2014年4月28日 台北訊】賽門鐵克近期檢測到有網路釣魚者利用「Heartbleed」弱點的網路釣魚方式。釣魚攻擊者會利用線上服務當陷阱, 並假裝提醒使用者小心「Heartbleed」的弱點, 來竊取用戶資料。
「Heartbleed」弱點影響的版本遍及OpenSSL 1.01.到1.0.1f。目前OpenSSL已釋出OpenSSL 1.0.1g修補該弱點。Symantec’s security advisory 解釋了更多相關的細節並提供了相關的補救措施。
垃圾郵件發送者與網路釣魚者知道利用新聞趨勢與熱門話題來掩飾他們的攻擊行為。以網路釣魚郵件來說,網路釣魚者通常會引用有關現在熱門的網路安全的問題來掩蓋並合法化他們的攻擊陷阱。這些電子郵件會吸引收件人點選陷阱並洩漏重要資訊。
舉例來說,網路釣魚者會寄出下述這類的電子郵件
本案例中可以看到一些有趣的破綻:
• 此釣魚信件利用網路熱門話題「Heartbleed」詐騙用戶,利用恐懼話題來引誘用戶點擊受攻擊的連結網頁。
• 注意字句間不尋常用法(例如 “has initiate”)。通常網絡釣魚者會試圖利用一些新的話題來吸引用戶。但由於攻擊者是在短時間內快速的的發出一個新的網絡釣魚活動,因此往往就會寫出一些奇怪的用詞。
• 此郵件雖然聲稱是從一個線上安全提醒,但卻包含了一個連結到外的「登錄」的頁面引導用戶進入一個被攻擊入侵的國外網頁中。通常建議不要隨便點選網路或郵件上的不明連結。
關於賽門鐵克
作為全球領先的安全、備份及可用性解決方案供應商,賽門鐵克公司始終致力於保護全球的信息。賽門鐵克的創新產品和服務能夠保護處於各種環境下的人和訊息-無論是小巧的移動設備,龐大的企業數據中心,還是雲端系統。賽門鐵克在保護數據、身份及交互方面,享譽世界的專業技術和經驗能夠讓人們在網路世界滿懷信心。欲瞭解更多相關信息,歡迎訪問賽門鐵克公司網站:https://www.symantec.com/zh/tw/ |