研究人員揭露以回信當誘餌的新釣魚手法

隨著企業及資安廠商的宣導，使用者已知道要留心陌生電子郵件信箱寄來的郵件。但研究人員發現利用回信來發送信件的新式釣魚手法，效果相當驚人。

資安研究人員Craig Hays描述該公司一名員工中了釣魚郵件後，開始在公司網路散發大量垃圾信件，顯示用戶郵件帳號被劫持，不久後其他人也傳出帳號被劫持。公司的安全團隊發現所有遭劫持的郵件，都被別人在地球上其他角落幾乎同一時間存取。然而初步調查並未發現有任何人接到陌生人寄來的信件。

比對登入時戳和電子郵件時戳顯示，所有釣魚郵件都非來自陌生帳號，而是針對真實信件的回覆。駭客在回覆信件中加入釣魚連結，而使用者看到熟人回覆信件，於是不疑有他而點入連結中招。

研究人員分析這新式釣魚信件的運作方式。只要有任何一個人郵件帳號被入侵，駭客就可以在遠端伺服器上跑機器人程式來接收其登入帳密，然後登入其帳號，檢視受害者最近幾天內收到的信件。他再針對每組郵件對話串進行回覆（即以Re:開頭為主旨的信件），再加上釣魚網頁的連結，邀請他們連結網站下載文件或點選資訊，以竊取其他受害人的帳密。為了擴大受害範圍，攻擊者還使用了「Reply All」確保沒有漏網之魚。

由於所有人都是近期內有過聯絡，且利用Re:為主旨的郵件，因此收信者不太可能發現異常。研究人員指出，結合回覆最近信件、社交工程手法以及機器人，可以大幅提高帳密資訊的蒐集效率，最重要是一般使用者幾乎難以防範。而在研究人員公司的案例中，要不是駭客太過心急，一蒐集到帳密就發大量釣魚信，也不會引起注意。

研究人員指出，這波釣魚攻擊手法固然新，但是只要所有用戶帳號都設定多因素驗證（multi-factor authentication，MFA），就能避免連上釣魚網站後被騙走帳號資訊。