• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:486

趨勢科技偵測到一波新的 Apple ID 網路釣魚攻擊，利用社交工程技巧假藉可能必須終止服務的名義強迫使用者提供個人資料。

網路釣魚電子郵件假冒 Apple 的名義，通知收信人因為帳號出現異常活動而被鎖住，點選郵件內的連結來更新付款資料。可疑的是，郵件甚至連沒有使用 Apple 產品的使用者也會發送。帳戶可疑活動與要求更新付款資料不應有所關聯。

且郵件內提供的連結也指向非 Apple 的網域。寄件人甚至是已被列入黑名單的惡意來源，郵件中會有「Update Your Payment Details」(更新您的付款資料) 按鈕，然而是指向以下網址：

http://avtive1s.beget.tech/limited/apple-couzin/apple%20couzin/Uu4gX/login.php?sslmode=true&access_token=1SGMm8LG43m4qPGE7D8Q00qCRZ2hwIVyBBkYK6FP91UzQBe
YemPenfQeeTwLCrjd3EcNKRDUTxuJ8IIm

當點選按鈕時，就會連上一個網址很明顯不是指向 Apple，但外觀卻極似 Apple 網站的假冒網站，網站上所使用的影像背景甚至跟正版的 Apple 網站一樣。

趨勢嘗試以假Apple ID登入該網站，卻仍然顯示會帳號已被鎖住的訊息，並出現「Unlock Account Now」(立即解鎖帳號) 按鈕，發現該連結是用以蒐集使用者資料的惡意網站，該網站內含基本的輸入資料檢查，比絕大多數網路釣魚網站都來得精緻而逼真，網址如下：

http://avtive1s[.]beget[.]tech/limited/apple-couzin/apple%20couzin/Uu4gX/process.php?access_token=1SGMm8LG43m4qPGE7D8Q00qCRZ2hwIVyBBkYK6FP91UzQBeYemPenfQeeTw
LCrjd3EcNKRDUTxuJ8IIm

在所有個人資料和帳號資訊都填妥之後，網站會告訴使用者他們將被登出以確保安全。接著，使用者會被重導到真正的 Apple 網站。

惡意網站使用 AES 加密來反制資安廠商網站信譽評等的爬網動作，且採用的加密有別於一般保護整個連線階段的 HTTPS 加密。其「login.php」、「process.php」和「verified.php」等檔案當中的程式碼都會使用 JavaScript 呼叫 AES 加密。

以下是趨勢科技網路釣魚郵件可能有的特徵：

◎其提供的網址並不屬於其郵件所假冒的對象。
◎通常會要求提供機密資訊，例如信用卡號碼和密碼。
◎會有拼字和文法上的錯誤。
◎會捏造一個需要立即採取行動的理由，例如：如果不回應的話會刪除帳號或終止服務。
◎電子郵件中的措辭口氣與其假冒的對象或公司形象不符。
◎副本 (CC) 收件人上有許多不知名的人。
◎使用者須小心注意任何經由電子郵件發送的連結，尤其是用來登入 Apple ID、Google 帳號、PayPal、社群網站以及其他敏感網站的連結。

●TWCERT/CC建議，接獲任何與帳戶或資料變更有關之信件，務必確認來源真實性，如需更改資料，盡量使用官網變更服務，避免使用電郵提供之連結，以免遭有心人士利用。

參考連結：

https://blog.trendmicro.com.tw/?p=55522
https://blog.trendmicro.com/trendlabs-security-intelligence/new-phishing-scam-uses-aes-encryption-and-goes-after-apple-ids/