訛稱瀏覽太多鹹網要罰款 假警察網站釣魚攻擊呃信用卡資料
2022年4月5日週二 上午9:10·1 分鐘文章
進入假網站後會見到網址和機構標誌,與真香港警察網站無異。
香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)近日收到一宗涉及假冒香港警察網站的釣魚攻擊,指有關人士瀏覽得太多色情網站,要求其提供信用卡資料來繳交數千港元罰款,若不遵從就會刪除有關人士裝置內的所有檔案。HKCERT已聯絡相關服務供應商移除相關網站,呼籲市民要提高警覺。
HKCERT指,進入相關假網站後會見到網址和機構標誌,與真香港警察網站無異。經分析後發現,該假網站是採用近期再興起的Browser in the Browser(BitB)嵌入式瀏覽器攻擊,所見到的網址列、工具列和索引標籤只是黑客利用JPG方式製作出來,當瀏覽器進入全屏幕模式時,真網址列會被隱藏,這樣整個外觀就會跟平時上香港警察網站一樣。
其實這類釣魚網站有數個識別位,例如按下ESC就會退出全屏幕模式顯示真正的網址,假網址列上的網址是不可以修改的,用任何瀏覽器都只會顯示Chrome外觀,以及不可以在手機上瀏覽。
HKCERT已聯絡相關服務供應商移除這個網站,但相信這類釣魚攻擊會持續演變,故建議市民留意網站連結的串法,因假網站是不可以使用該機構的網址 (例如攻擊者只能利用hkcert.co去假冒hkcert.com);點擊任何連結前必須考慮連結的真偽和傳送者是否可信;只在可信的設備下進行信用卡付款;確認是否付款到可信的機構等。 |
