基於 JavaScript 的重新導向攻擊(redirect attack)相當嚴重,因為它可以在未經你同意,甚至你毫無察覺的情況下,強制讓你的瀏覽器(無論是手機或桌面端)導向其他網站。令人擔憂的是,你的瀏覽器可能會被導向惡意網站。這類攻擊透過在合法網頁中注入或操控 JavaScript 程式碼達成目的。在你察覺之前,你手機或電腦上的瀏覽器就可能讓你成為釣魚詐騙、間諜軟體、鍵盤側錄(記錄按鍵輸入)和木馬程式的受害者。
這類攻擊的目標是竊取你使用的密碼,使攻擊者得以存取你的銀行與金融應用程式。這些基於 JavaScript 的重新導向攻擊是透過可縮放向量圖形(SVG)檔案傳遞的。這些 SVG 檔案通常被視為無害的圖片檔,但它們可以嵌入程式碼元素,用來將手機或桌面瀏覽器重新導向到危險網站。重新導向的目標網址由攻擊者決定。
為了提高目標使用者點開包含 SVG 檔案電子郵件的機率(觸發竊取個人資訊的流程),攻擊者會利用偽造郵件與冒名手法傳遞這些檔案。據資安解決方案公司 Ontinue 表示,最初的入侵是透過釣魚攻擊實現,這些攻擊使用偽造或冒充的郵件寄件者。攻擊者會直接以附件的方式傳送惡意 SVG,或是透過連結到一個外部託管、看似無害的圖片。
據 Ontinue 的說法,這些電子郵件使用弱或無效的郵件驗證網域,讓攻擊者可以假冒值得信任的品牌或個人寄送郵件,誘使潛在受害者開啟信件。郵件中會包含「行動呼籲」(call to action),企圖讓收件者開啟圖片檔案,或在手機或電腦瀏覽器中預覽。一旦圖片被渲染,SVG 會靜默執行嵌入的 JavaScript 程式碼。JavaScript 一旦執行成功,瀏覽器就會在沒有任何使用者互動的情況下被重新導向。
務必警覺那些強迫你「立刻查看圖片檔案」的電子郵件。如果一封郵件看起來像是來自你平常往來的公司,請留意拼字錯誤,或撥打你自己從網路上查到的官方電話確認。請注意,Google 上顯示的部分商業電話號碼是來自群眾貢獻,有可能被惡意人士操控,不完全可靠。
(首圖來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
