何謂Phishing?

Phishing,又稱為網路釣魚,是一種有心人士透過偽裝、假冒真實的網頁,騙取受害者信任,進而達到獲取受害者個人資料、帳號密碼甚至信用卡資訊等行為。受害者可能會收到熟識的友人寄來的email或網址,讓使用者點選email或該網站,並且在受害者進入釣魚網站之後,要求使用者輸入個人的帳號密碼等資訊,就這樣將自己的資訊給了有心人士。

針對網路釣魚,又分為幾種技術—

  1. 假冒網址:針對釣魚網站的網址幾個字元進行修改(1與l、0與O、m與rn…),讓網址看起來容易被誤認為原本的網址,但其實已非使用者所欲前往之網站。例如google.com,有心人士可將其改為www.go0gle.com或www.g00gle.com,乍看之下似乎為正常網站,但實際上卻已落入假網站之陷阱中。
  2. 網頁偽造:釣魚網站的排版、圖案、標示,與原本使用者所欲前往之網站極為相似或相同。因此,使用者若不小心連到假冒的釣魚網站,輸入登入之帳號密碼或個人資料,就會讓有心人士收集到受害者的個人資料。
  3. 電話網釣:雖然稱作『網路釣魚』,但並非所有攻擊手法均需透過電腦完成。有心人士也可能透過電話致電到受害者家中或手機,表示自己是某家公司或銀行等受害者曾使用過的網站,並且告知受害者其帳戶有問題,要求受害者輸入或告知相關資訊。甚至有些電話網釣在撥通後,就會要求使用者鍵入自己之相關資訊,導致其個人資料和敏感資料之洩漏。而這些電話網釣,有些已不似過往會顯示『不明來電』等隱蔽的電話系統,現已有使用假冒的相關資訊,降低受害者的戒心,進而達到更佳的詐騙率。
  4. WiFi免費熱點網釣:在人人都有智慧型手機的時代,到了咖啡廳、活動場地、甚至捷運等大眾運輸工具時,都會有免費的WiFi提供一般民眾連線。此時就會有駭客,開啟名稱相似相似/相同的熱點,例如台北常見的Taipei Free免費公共熱點,有心人士可能會於鄰近台北市的地區、將熱點名稱改為TPE-Free,讓曾經使用該熱點的使用者,毫無戒心地使用了TPE-Free熱點。而此時,當受害者連入該假冒熱點,後續所瀏覽的網頁、填入的資訊、自己的帳號密碼、甚至信用卡資訊等重要資料的傳輸,若沒有經過https的加密,就會經由該熱點傳入網際網路,因此,有心人士只要攔截下使用者寄出之封包,便能查看裡面所有訊息,並且用於其他用途中。

HINT:

釣魚網站可以想做一家黑心公司,想要讓客人去到錯的店家、花費更多的錢去買類似的商品。

因此 (1)店家有可能將路上的路標進行更改,例如將鼎泰豐的名字改為頂太風,並且放置顯眼的路標,讓一般人信以為真並且前往了假冒的頂太風 (連結操控)。

(2)並且在受害者進入店家之後,其裝潢和網路上查到的照片相差無幾,除了價格的差別之外,菜單內容也和其他人士提供的一樣,因此受害者就會輕信這一家是真的鼎泰豐。並且店家可能將價格比真正店家提高之外,還可能要求受害者進行申辦會員卡或餐與優惠活動等,取得受害者資料、好進行後續的詐騙(網頁偽造)。

(3)確認會員資料過後,該假冒店家會在受害者用餐後幾天,致電給消費者,除了進行一般制式化的消費者滿意度調查以確保消費者下次的到訪外,還可能謊稱當初使用者刷的信用卡有問題,請使用者提供相關資料。而真的有前往該假冒店家用餐的使用者往往不疑有他,就將私人相關資訊給了店家,而該店家便可以透過這些資訊做盜用、偽造、甚至轉賣個人資訊等用途賺上一筆 (電話網釣)。

(4)除此之外,該假冒店家可以告知消費者店裡有促銷活動,邀請消費者再次前往該店家用餐,並且在消費者前來之後,紀錄下消費者和友人的對話,便可以取得受害者談話中提到的個人訊息,例如交友狀況、生日、學歷、公司等資訊,甚至可以透過店家的誘導話術,取得更加隱密的其餘資訊,讓店家可以以此延伸詐騙該受害者相關人士,甚至販賣給其餘對個資有興趣之有心人士 (WiFi免費熱點網釣)。

釣魚網站

在數種網路釣魚手法中,最為常見的非「網頁偽造」莫屬。亦即透過上述的技術,先製作出一假冒的相似網址,網站內不論是其色彩、放入之圖片、相關可使用之功能均與真正的網站相差無幾。甚至有些釣魚網站僅偽造首頁/登入頁,當受害者於假冒的首頁/登入頁鍵入私人資訊並登入後,釣魚網頁會將使用者導入真正的網頁,導致使用者因後續均使用真正網頁進行相關運作,因此對於被詐騙的事實毫無察覺。

當駭客架設釣魚網站後,接著可透過Email、通訊軟體、社群媒體等方式進行散播,通知所有目標受害者宣傳釣魚網頁、誘使受害者點擊進入釣魚網站並登錄相關之個人資訊。此時,不僅僅因為受害者鍵入了自己的私人資料而導致個資的外洩,同時極有可能當受害者點擊了該網站,就使得電腦進行了惡意軟體的自動下載,使得電腦因此感染了惡意病毒等威脅。

對於一般人而言,釣魚網站的最簡單辨識方式可能是網址列上的鎖頭,有鎖頭代表著該網站的連線過程是有進行加密的,但是不代表這個網站是安全的。根據Phishlab於2018/12月的統計指出,大約有49%的釣魚網站一樣是有使用https進行加密。因此使用者也可以將滑鼠移到鎖頭上檢視,若該網站使用的憑證為公開且安全的,瀏覽器會告知使用者該網站的憑證是公開且安全的憑證,若顯示為不安全的憑證就有可能是釣魚網站,建議可經由google搜尋後進入該網站之官網,較容易避免進入釣魚網站。網站的安全性。

除此之外,有些有心人士本身還會自行偽造看似正常的網址列圖片,放置在網頁的頂端。即便該網站是假冒的釣魚網站,如此一來,其不僅是擁有看起來正常的鎖頭,該網站更是擁有一切正常的網址顯示。尤其是透過手機瀏覽網頁的使用者,由於手機本身有自動隱藏網址列的特性,因此對於有心人士而言,要偽造出一個讓使用者看的假網址列是非常簡單且不易被發現的事情。對於一般使用者看來,就跟正常網站並無二致,導致使用者將自己的個人資訊洩漏給釣魚網站。

小心防範釣魚網站

由於網路的發展逐漸往「簡單」、「方便」的方向發展,為了減少使用者的麻煩,網際網路上的協定和設計越來越簡潔,導致越來越容易產生的詐騙釣魚漏洞。但對於一般使用者而言,信任於網際網路給予的便利性,反而會疏於防範可能的危險,尤其是這些以假亂真的釣魚網站。因此,一般使用者須注意以下幾點,以防範落入釣魚網站的陷阱中。

1. 注意網域名稱:
對一般使用者而言,最先能夠、也最需要注意的便是網址列上列出的網域名稱(網址)。雖然有心人士常常會用讓人容易產生混淆的網址,讓使用者在不注意的情況下落入陷阱,例如www.twcert.org.tw轉為www.twecrt.org.tw或www.tw-cert.org.tw等極為相近的網址。建議可以將常用的網站存成我的最愛,或是自己於網址列中輸入常用網址,都可以減少遇上釣魚網站的風險。

2. 不亂點擊來路不明的連結:
一般使用者,在收到標題看起來聳動、吸引人,甚至看起來相識的人所寄之電子郵件或訊息時,都會因好奇心而點擊訊息中的網址連結。然而,這些通常標明「特價」、「贈品」、「公務聯繫」等訊息,多半都是利用人們的好奇心,引誘人點擊之後,蒐集個人資料之外,更有可能會讓電腦感染上惡意程式。由於email的寄件者是非常容易偽造的,因此看似正常的公務email訊息,也有可能是駭客假冒的釣魚信件,例如收到了tw-cert@cert.org.tw的訊息,或許看起來正常,但tw-cert@cert.org.tw不代表真的是由cert的人所發出的郵件,也曾經發生過有心人士透過假冒供應商的email寄信給公司業務承辦人員,要求承辦人員進行付款等作業並提供匯款帳戶作業。而處理該事件的承辦人未仔細進行比對,因而將應付款項匯款置假帳戶中,直到合作廠商前來請款,承辦人才發現遭受有心人士詐騙。

3. 仔細觀察網站:
對於常用的網站,一般使用者就算沒有真的仔細觀察過,多少也會對該網站有所記憶。因此進入一網站時,可以先觀察該網站的狀況,查看是否有圖片或是字體等,和原本的網站是不同的,留心是否進入了釣魚網站,提高警覺。

4. 檢閱網站的安全鎖頭:
檢閱網址列上的網址旁是否有鎖頭。若沒有鎖頭、甚至出現了『不安全』字樣時,使用者就必須要特別注意,是否有可能落入釣魚網站。然而,正如前述所說,即便該網站有鎖頭,也不代表能夠完全信任該網站,因為鎖頭僅代表該網站有使用HTTPS,而目前約有一半左右的釣魚網站同樣有使用HTTPS,即便獲得了SSL憑證,也必須要小心進入了錯誤的釣魚網頁。

5. 安裝防毒軟體、定期更新系統:
除了以上的防範方式之外,本中心也建議使用者在電腦中安裝可信的防毒軟體或防火牆,許多防毒軟體同時都有內建惡意網頁、釣魚網頁的黑名單,當使用者連線到釣魚網頁時,防毒軟體會在瀏覽器上提出警告,同時,由於電腦系統的更新通常都是用以提升電腦的功能和防護力,因此建議定期更新電腦或手機系統,以取得最新、較為安全的作業系統,以免上了釣魚網站的當,讓電腦感染了惡意病毒,影響電腦正常的運作。

6. 定期更新瀏覽器:
現在主要的瀏覽器都有提供黑名單的功能,當使用者連線到有人通報的釣魚網站或惡意網頁時,都會再次提示使用者所連線之網頁為有問題之網頁,並再次確認是否要進行連線。

參考資料:

DNS (下)

網域名稱系統安全擴充(DNSSEC)

經歷上述的資安問題,為了解決使用者無法辨識收到的資訊是否有遭到竄改,因此,網際網路中,出現了「網域名稱系統安全擴充 (Domain Name System Security Extensions, DNSSEC)」。

在DNSSEC中,為了確保網路DNS的使用安全,使用了兩項相關技術:數位簽章以及DNS延伸安全協定(Extension Mechanisms for DNS, EDNS)。

DNSSEC與數位簽章

數位簽章

此協議主要是確保DNS 權威主機中的資料都是未經有心人士竄改之資料。當DNS權威主機收到請求後,在回覆訊息中,會放入含憑證之RRSIG。此時,DNSSEC並不會直接傳遞明文之資訊,會透過加密密鑰對發送之DNS訊息透過雜湊函式(hash function) 進行雜湊運算,經雜湊後之文件稱作「雜湊摘要 (Digest)」。並將此雜湊摘要(明文經雜湊後產生之雜湊值),以DNS權威主機之金鑰進行加密,此時,權威主機將訊息明文及加密後之雜湊摘要同時傳給DNS伺服器。

DNS伺服器收到後,會透過DNS權威主機金鑰(DNSKEY)進行解密。同時,為了確認該金鑰確實屬於此網域所有,因此將位於上一層之DNS權威主機中之DS (Delegation Signer) 進行驗證,確保金鑰沒有被偽裝或竄改。

DNS伺服器確認過後,將加密過之雜湊摘要以權威主機的金鑰解密,以取得完整雜湊摘要。此時若成功解碼,則代表此封包確實為該DNS權威主機所傳遞;否則若該封包非該權威主機傳遞,以該權威主機之金鑰無法解密。同時,再以同樣雜湊函式將明文進行雜湊運算,取得其雜湊摘要。最終,DNS伺服器會將本身運算出之雜湊摘要,和收到的雜湊摘要進行比對,若經他人竄改,即便是肉眼難以辨別之空格,均會造成雜湊數值之大幅變動;若相同則代表未經他人竄改。

如此,DNS伺服器便可透過以上動作確認:(1)該訊息確實為該DNS權威主機發送、(2)訊息未經他人竄改、(3)DNS權威主機無法否認發送此封包。

目前,各大DNS廠商均開始進行DNSSEC之運作,以確保大眾使用之安全性。同時,網際網路名稱與數字位址分配機構(ICANN)也於本月發文公告,敦促全球網域相關產業全面採用DNSSEC。DNSSEC可以完全相容於舊有DNS架構,並且可以大幅避免DNS紀錄被竄改之問題。為了DNS的安全,ICANN正努力進行推廣和執行,希望能及早促成DNSSEC之普及。

👉HINT:DNSSEC可以看做寄送機密信件。傳送者為了保護手中機密文件,因此將內容以中英文鍵盤對照轉換的方法編撰成一般人看不懂的密碼,然後再用帶鎖的盒子鎖起來,和機密文件一起送出去。接收者會將從傳送者那收到的鑰匙將盒子解鎖,代表確實是傳送者所寄。接著將收到的機密信件透過同樣方式編撰成密碼,再和帶鎖盒子中加密文件比對,若相同則代表沒有被任何人修改其中文字。

NSEC

以舊有DNS而言,若使用者查詢之網址並不存在,DNS權威主機僅會回覆使用者「不存在」之訊息。但未添加任何驗證訊息的「不存在」封包,很有可能會被有心人士擷取後,用以對一般使用者在查詢正常網域時,發送該網域不存在之訊息,導致使用者無法取得正確網域資訊及連接該網站。

因此,除了上述DNS訊息外,此機制會替此「不存在」之訊息進行簽章,以保障使用者取得「不存在」訊息,代表此網頁是確實不存在,而非他人偽造該訊息。回應並包含驗證之「不存在」之紀錄,稱作NSEC。

NSEC,全名為Next Secure,主要用以解決負面回應訊息(「不存在」訊息)之問題。此紀錄主要是將該網域下,所有的網域名稱進行排序,並透過兩者網域間之空隙,取得該被查詢網域之前後網域名稱做為紀錄並回傳。

這樣描述有些難以理解,因此舉例而言,若在twcert.org.tw網域下,有a.twcert.org.tw、ma.twcert.org.tw、pop.twcert.org.tw、te.st.twcert.org.tw、let.twcert.org.tw、move.twcert.org.tw等6筆網域名稱,則在該網域下,此些網域名稱會被排序為:

twcert.org.tw

a.twcert.org.tw

let.twcert.org.tw

ma.twcert.org.tw

move.twcert.org.tw

pop.twcert.org.tw

te.st.twcert.org.tw

此時,若使用者查詢love.twcert.org.tw,則使用者會獲得理論上於該查詢網域的前一筆和後一筆,亦即前一筆let.twcert.org.tw以及後一筆之ma.twcert.org.tw,代表兩者之間並無love.twcert.org.tw網域,因此驗證確實該網域並不存在。同時,若該訊息被有心人士擷取,由於有網域之驗證,此訊息也無法用於一般使用者查詢網域之偽造訊息,保障「不存在」之訊息正確性。

👉HINT:NSEC可看作將號碼牌按照上面數字排放,例如已經排放了1、2、3、5、6、7、8、10、12,若此時,有一位一號使用者來信要求取得9號號碼牌,負責人卻發覺並無9號號碼牌,因此回信給一號使用者說明並無此號碼牌之狀況。若該信中僅說明沒有9號號碼牌,而無其他驗證資訊,則一號使用者可以在另外的二號使用者要求10號號碼牌時,將那封信偽造成負責人所寄,告訴二號使用者沒有10號號碼牌,導致二號使用者拿不到該號碼牌。而若當初負責人告之一號使用者的信中除了告知沒有9號號碼牌之外,同時也說明前面是8號、後面是10號,確定中間無任何號碼牌,則收到此封信的一號使用者,即便他想欺騙二號使用者,卻會因為裡面的驗證訊息(8號和10號號碼牌資訊)而偽造不成,避免了一次詐騙。

DNSSEC與EDNS

EDNS,又稱為EDNS0,全名為Extension Mechanisms for DNS,譯為DNS延伸安全協定。是DNSSEC中的一項技術,主要用於提升DNS運作之安全性。

有鑒於DNSSEC的建立和發展,其所需之功能訊愈來愈多,若維持以往之DNS形式,所需的功能標示將難以以舊有格式完整表達。因此,在舊有的DNS封包中,延伸出更多的區段,用以支持未來期望表達的特徵值。

例如當初的DNS封包是使用UDP Port 53封包進行傳輸,本身大小限制為512 bytes。若以過往的DNS封包所應傳輸之內容而言是足夠的,但在DNSSEC中,由於增添了數位簽章的部分,其封包大小在包含數位簽章資料後已不足以負荷。而若此時使用EDNS,可以將其封包大小上限大幅增加,可容納4,096 bytes的資料,如此,方可將DNSSEC所需資料內容完整地進行傳輸。

DNS封包

在DNS所傳輸的封包中,分為許多欄位,例如表頭(Header)、查詢區域(Question Section)、回覆區域(Answer Section)、授權區域(Authority Section)以及額外紀錄區域(Additional Records Section)。

表頭主要標示此封包之編號、描述此訊息封包的功能,例如此封包為查詢或是回應用等、以及相關紀錄的數量。查詢區域,則是用以描述問題名稱、型態(是查詢IP位址、名稱伺服器……等等),以及問題類別(是否為IP位址格式)。

回覆區域則是記錄權威主機所回應之資料,例如資源名稱(針對哪一個問題進行回覆)、資源型態(對應查詢區域中的型態)、資源類別(對應查詢區域中的問題類別)、存活時間(封包傳送時存活的時間,若過久未到達目的地則會進行刪除)、資源資料長度(表示資源資料的長度),以及資源資料(詢問回覆之答案)。

第三、授權區域,此區域並非使用者詢問問題之確切答案,而是在DNS詢問中,上層之其他DNS權威主機之資訊,引導DNS伺服器對上層之DNS權威主機進行詢問,直到得到答案為止。

最後,額外記錄區域則是當授權區域有除上述訊息外之額外訊息,方放入額外紀錄區域。

EDNS

對於EDNS,DNS伺服器不一定有支援EDNS,因此,為了標示該伺服器是否有支援EDNS,會在Additional Records Section中,加入一「opt」資訊。此時,若權威伺服器收到該封包,發覺額外紀錄區域有「opt」資訊,則可知使用者之DNS伺服器有支援EDNS,並且於回覆時,也會於額外紀錄區域加上opt資訊進行回覆,代表此為EDNS封包。

但此封包為EDNS封包,卻不一定為DNSSEC封包,必須於EDNS訊息中的「do」區域被設定為1時,方為DNSSEC封包。

支援EDNS後,由於擴展了針對其他的DNS所需功能表達之特徵值欄位,並且亦擴增了封包大小限制,因此,除了DNS訊息傳遞時,可以包含數位簽章之資訊內容外,亦可以包含舊有DNS未能包含之特殊特徵值,讓DNS的運作更加安全。

由於意識到EDNS的重要性,在今年的二月一日,Clouflare、Google、IBM等大型公共DNS業者進行了EDNS的符合性驗證。雖此次驗證僅有一天時間,但同時也是期盼未來EDNS發展的起點。

👉HINT:EDNS就像是一小手拿包,雖然平常放錢包手機已經足夠,但是當外面天氣不好、下雨時,雨傘便放不進去;或者帶著讀到一半的書籍,想去舒適的咖啡廳閱讀,但是A5大小的書籍,一般小型手拿包亦放不下去。因此,可以拿一較大的包,將手拿包放入大包中,並且將雨傘、書籍都排放進去,如此一來,便可容納所需的大部分東西,甚至不需對手拿包進行改造便可。

DNSSEC

透過數位簽章及EDNS的運作,DNSSEC額外確保三項資訊安全項目:

  1. 資料完整性 (Data Integrity):確保收到的資料是完整的,未經有心人士等第三者進行竄改。
  2. 來源可驗證性 (Origin Authenti-cation of DNS Data):確保資訊的寄送者為正確之DNS權威主機/DNS伺服器,而非收到有心人士偽造出之假資訊,被導入錯誤之釣魚網站。
  3. 可驗證之不存在性(Authenti-cated Denial of Existence):確保當使用者收到「該網址/位址不存在」訊息,可透過NSEC進行驗證,驗證該網域確實不存在,而非遭他人竄改。

為了彌補DNS亦遭受有心人士攻擊之問題,開啟了DNSSEC的技術。如此一來,可以大幅減少DNS相關駭侵攻擊,保障使用者的運作安全。在台灣,許多電信業者已紛紛跟進,根據台灣網路資訊中心(TWNIC)之註冊機構資訊,截至目前,中華電信、亞太電信、pchome、新世紀資通、台灣大哥大、Neustar、中華國際通訊網路、Gandi SAS、Key-Systems GmbH等,均已註冊並使用DNSSEC服務。期盼未來有更多相關業者參與及使用DNSSEC,令使用者擁有一個完整且安全的完善網路,不再被不法人士劫持,能真正自由安心地使用網路服務。

資料來源:

  1. http://www.cc.ntu.edu.tw/chinese/epaper/0022/20120920_2206.html
  2. http://www.myhome.net.tw/2011_03/p03.htm
  3. https://www.lijyyh.com/2012/07/dnssec-introduction-to-dnssec.html
  4. https://medium.com/@sj82516/dnssec-%E5%9F%BA%E6%9C%AC%E5%8E%9F%E7%90%86%E4%BB%8B%E7%B4%B9-65841439d0a5
  5. https://blog.longwin.com.tw/2019/01/dnssec-dns-sign-edns-check-2019/
  6. https://blog.twnic.net.tw/2019/01/23/2286/
  7. https://blog.csdn.net/star_xiong/article/details/40429457
  8. http://net.ndhu.edu.tw/~net/DL/20110330.pdf
  9. https://en.wikipedia.org/wiki/Extension_mechanisms_for_DNS
  10. http://dnssec.nctu.edu.tw/images/DNSSEC/DNSSECtech.pdf
  11. http://www.myhome.net.tw/2011_07/p05.htm
  12. https://www.twnic.net.tw/dnservice_company_intro.php

DNS (上)

何為網域名稱系統(DNS)?

有使用過網際網路的使用者,應該對網址(URL)不陌生,例如前往Google,使用者可於搜尋列中輸入「https://www.google.com」,前往Google頁面。但對電腦本身而言,機器所認識的並非一般使用者所見之「https://www.google.com」這個字串,而是IP 172.217.27.132。因此,為了讓電腦知道該網址所對應之IP,網域名稱系統(Domain Name System, DNS)為此而生。

👉HINT:DNS就像是人和電腦之間的翻譯機,因為人很難記憶IP,電腦不認識網址,所以需要經過翻譯機的努力,才能順利連上該網站。

閱讀全文 “DNS (上)”