[資安小常識] 玩線上遊戲也要小心釣魚攻擊

  • Article

作者:Leo Yeh、Vavrin Chen

 

最近暑假到了,小朋友們開始玩線上遊戲,想必您不會想辛辛苦苦賺來的遊戲幣和取得的裝備被竊取,所以本期的資安小常識將教您如何識別釣魚網站進行有效的預防。 ( 註:原文請參考 釣魚不只針對銀行 (英文) 之文章 )

當人們想到釣魚 (這是欺騙使用者分享他們機敏資訊給第三方的攻擊手法) ,經常會想到釣魚是與銀行相關或與電子郵件相關,請參考 [資安小常識] 四大重點, 教您如何辨識可疑的釣魚郵件內容

根據微軟最新第十二期資訊安全情報報告 (英文) 中在探討釣魚網站的統計圖表中可以得知釣魚網站基本上分成五大領域,分別是財經網站、社群網路、線上服務、遊戲和電子化商業行銷進行分析,如圖一。

圖一、釣魚網站百分比統計圖表 ( 2011年8月 ~ 2011年12月 )。
 

案例探討

一般來說線上遊戲釣魚網站經常會承諾遊戲是免費的,因為他們不須交付所承諾的任何內容,如圖二,此線上遊戲釣魚網站就承諾提供兩個免費的遊戲。

圖二、遊戲網站類似交付承諾的釣魚攻擊手法會被偵測為 PWS:HTML/Phish.BF. 。
 

釣魚網站也可能會告訴使用者他們的帳號已經被暫停,或者存在潛在威脅,然後會儲存驗證相關的資訊,像是 Facebook 的遊戲開發商 Zynga 也曾出現過類似的釣魚攻擊手法,如圖三和圖四,釣魚網站就告知使用者他們需要提供所需內容才能符合該網站的服務條款。

圖三、類似於遊戲商威脅帳號的釣魚攻擊手法網站會被偵測為 PWS:HTML/Phish.BC.
 

圖四、類似於遊戲商威脅帳號的釣魚攻擊手法網站會被偵測為 PWS:HTML/Phish.BE. 。

線上遊戲釣魚網站也會嘗試製作成很看起來跟真的一樣的登入頁面,誘騙使用者很自然的輸入他們的個人資訊,如圖五。

圖五、類似仿冒登入頁面釣魚攻擊手法的遊戲網站會被偵測為 PWS:HTML/Phish.BB or .BD. 。
 

此外,除了上述所提到的三種不同類型的釣魚網站包含:

  1. 提供免費遊戲的申請網頁。
  2. 誘騙使用者更改資訊的網頁。
  3. 以假亂真的登入網頁。

事實上還有更多網站會直接提供現成的釣魚攻擊手法,如圖六。

圖六、提供進行釣魚攻擊服務的網站 惡意使用者會利用該網站散佈釣魚網頁的 URL 給受害者。
 

當受害者輸入相關個人資訊後,所儲存的個人資訊就會被盜取,接著惡意使用者就可以登錄網站查看他們已經收集到的個人資訊,更進一步,惡意使用者還能透過收集到的個人資訊,用受害者者的身份登入該遊戲,此時受害者辛辛苦苦賺來的遊戲幣和取得的裝備就會被竊取了。

 

如何自我保護

首先可以透過 IE9 瀏覽器的SmartScreen 篩選工具保護使用者遠離釣魚網站攻擊,相關的內容請參考 SmartScreen 篩選工具:常見問題集

圖七、SmartScreen 篩選工具影片
 

您也可以透過幾個簡單步驟來識別釣魚網站:

  1. 網站提供完全免費或者價格相對便宜的承諾。
  2. 威脅關閉您的個人帳戶和危言聳聽的內容。
  3. 乍看之下起來好像是很真實的交易。
    ( 註:『真實交易』是指透過電信業者的名義告知你的帳單有問題,需要你輸入某些資料來協助處理,或者網路拍賣網站要求登入個人帳戶免費送好禮的情況。 )

更多詳細資訊請參考電子郵件和網絡詐騙:如何保護自己 (英文) 。

 

結論

由於現在的網路或線上遊戲大多是採取會員制,因此類似的釣魚案例真的層出不窮,所以要如何找到安全可信賴的網站,再提供遊戲帳號相關的機敏資訊防止被釣魚,除了有效使用瀏覽器的保護工具之外,在瀏覽網站時要更加的小心,避免在來路不明的網站中提供遊戲帳號相關的機敏資訊,導致辛辛苦苦賺來的遊戲幣和取得的裝備被竊取啦。

 

參考資料