相信各位不管是Discord還是Steam都會有一些奇怪的好友邀請和訊息
因為我都只有收到中國的釣魚網站...所以隨意挑一個簡單分析
這裡我大概說明就好,至少讓各位對於偽裝網站及盜取帳密手法有基礎的認知:
以下釣魚網站可以看到有https協議、憑證、CDN
目前越來越多釣魚網站有SSL,畢竟有免費的可以使用
直接查看網站源碼可以發現:
1. 網站有加載奇怪的javascript代碼: jfw0ebp89ikj.js
2. button class為iwbvtmypsk8q,所以點擊登入後的行為是透過javascript觸發
查看jfw0ebp89ikj.js源碼(這裡已經js-beautify美化過了):
發現iwbvtmypsk8q包含在變量c
搜尋c[0],這段代碼是透過點擊登入按鈕觸發調用w()函數
p()內容:
創建url,所以彈出視窗網址實際是https://網址.com/g1qtzpnopi7g.html
w()內容:
建立彈出視窗>偽造視窗標題及圖示>寫入c[1]:g1qtzpnopi7g.html內容
點擊首頁的登入會彈出視窗,這裡就是彈出視窗偽造(Fake Pop-ups),大部分的資訊都是假的
※QRCode是可以掃的(有時效性,隨時間變更),後面會說
舉個例子:
前面有提到網址實際是https://網址.com/g1qtzpnopi7g.html
這裡的網址已經透過文本偽造成官方Steam連結,所以很容易會上當受騙
這裡的https協議是一張圖片
於登入表單輸入帳號及密碼後,點擊登入(不點登入就不會被盜):
由於釣魚網站無法使用這組帳密登入,所以會回覆:請檢查您的帳戶名稱和密碼後再試一次
用F12網路工具可以看到目標釣魚網站POST請求
帳號密碼以明文傳輸至釣魚仔的網站,這就是盜取方式一
新增Steam Guard的部分:
首先釣魚網站是沒辦法知道你的二階段驗證的,除非你給了對方或輸入了
如果沒給二階段驗證碼還被盜,那麼肯定是執行了惡意程式碼,不過這通常容易被防毒軟體發現
所以通常不會騙完帳密再執行惡意程式碼盜取二階段驗證碼
有能力的一開始就執行惡意程式碼一起盜取了
實例:
這裡我創建了一個Steam帳號,並且開啟二階段驗證,正確的輸入帳密資訊
登入後,目標伺服器(釣魚仔)發現該帳密可登入,所以回應了以下錯誤訊息:
一樣,目標伺服器POST請求,傳輸明文帳密給釣魚仔
登入後的幾秒內Email馬上就收到二階段驗證碼通知,不過我刪了他好友,他也沒辦騙到手
盜取方式二: 掃描釣魚網站的QRCode
目標釣魚網站POST請求:
請求內容:
這裡我沒有點擊登入,我不想拿自己的帳號試,所以沒有任何數據傳輸,有興趣可以上github找資料
來看看掃描後,以下是釣魚仔的位址(這裡點擊取消就不會被盜):
我的:
大概就是這樣,只是菜雞一枚,如果我有遇到新的釣魚手法可能會在更新吧
達人
