在這個網路詐騙層出不窮的時代,駭客的手法越來越多變,也越來越真實,還會設計新的釣魚攻擊陷阱,讓人一不小心就中招。最近,一種叫做”FileFix”的釣魚攻擊方式正悄悄流行起來,整個攻擊設計得很自然流暢,特別針對像我們這些每天都在收Email、下載或是分享檔案的族群做攻擊。
想像一下,當你上班坐在座位上專心處理案子,突然Email或是通訊軟體跳出一則通知。標題內容大概是”某某同事需要跟你共享一個專案檔案”或是”公司有新的一些政策需要確認或是更新個人資料”等等的標題。這些看似很普通或常常看見的標題內容,會很容易的讓人降低戒心,因為點進去內容不會把你引導到別的網站或是需要你輸入帳號密碼,只需要照著內容去做一些例行性的動作。例如:複製裡面的路徑,去檔案瀏覽器裡面尋找檔案。這是一個再正常不過的一個動作,但只要在網站前端的技術上做一些手腳,就可以讓你實際上看到和實際上複製的是不一樣的內容,在沒有注意到的情況下複製貼上執行造成電腦被”駭”的風險。
以下就來說明FileFix釣魚攻擊的整個手法及流程。
製作幾可亂真的通知內容
製作一個請求對方複製內容並貼上執行的通知內容,裡面會有一個可以複製內容的功能及瀏覽器打開上傳檔案的功能(執行複製內容的地方),例如:分享檔案路徑給他人的通知。
分享檔案路徑給他人的通知
利用網站前端技術替換已知複製的內容
在通知的內容可以看到第一點就是要先複製檔案路徑,可以看到要複製路徑內容為:C:\company\internal-secure\filedrive\HRPolicy.docx進到html檔案去看也沒有問題。
但是在html檔裡面可以看到在點擊COPY後實際上複製的內容為:Powershell.exe -c ping example.com # C:\\company\\internal-secure\\filedrive\\HRPolicy.docx
進到html檔後發現點擊COPY後複製的內容確實與所見的內容不同
以下為點擊COPY後實際複製的內容
開啟瀏覽器檔案上傳視窗執行複製內容
點擊Open File Explorer 按鈕會開啟瀏覽器的檔案上傳視窗
接下來會請你按下CTRL + L 熱鍵,跳到上方的檔案總管的地址列 貼上剛剛複製的執行指令並按下Enter來執行指令,這樣就完成整個FileFix釣魚攻擊的整個流程。
跑出以下執行畫面,發現貼在檔案總管的地址列上的指令確實可以被執行。
原本貼上去的指令是在執行尋找檔案,但實際上卻變成執行ping的執行指令,因為駭客在網頁動了手腳,讓你看到複製的內容與實際上複製的內容不一樣,被替換掉了。如果替換的是惡意的執行指令,就會有被”駭”的風險,不得不多加注意。
防範FileFix釣魚攻擊建議:
● 確認通知訊息的真實性,若是同事寄出檔案共用或是其他內容的通知信,先連絡對方是否有此件事情再作後續動作。
● 多一步確認,若從網頁上複製下來的資訊,可以貼到記事本上再確認一次複製貼上的內容與網頁上的是否一致。
● 檔案總管的地址列其實也是一個可以執行命令的地方,貼上去的執行內容需要再確認是否異常,最好能避免在上面貼上指令執行。
● 定期員工資安訓練,舉辦模擬釣魚測試或請外部資安專家安排訓練課程 讓員工學習辨識釣魚攻擊。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:https://mrd0x.com/filefix-clickfix-alternative/
