如何利用複製網站和SSL憑證來詐騙及如何破解的技術(上)
網路上的詐騙事件好像從不曾中斷,有些是利用廣告,有些是利用Email,有些則是網站
,不管使用什麼方式,其目的都是為了騙取受害者的資料,可能是網路銀行的密碼,可能
是重要的資料,也可能是商品或金錢,作者最近光是收到citibank及paypal的炸騙廣告信就
將
近每天一封,根據網路調查報告,在2003年美國就有超過200萬人受騙,而詐騙損失更
高達
24億美元,至於台灣這兩年也發生了數起網路銀行帳號被竊案,損失也超過數百萬至
數千
萬,現在的網路使用者已經都對可疑的Email或不實的廣
告有所警戒了,但為什麼被
詐騙的
新聞還是那麼多,之前有些廣告說他們有超便宜的商品,騙消費者去匯款,結果有
許多貪小
便宜的消費者被騙,而有些Email說您的網路銀行密碼被盜要您去更換密碼,這都
是炸騙者
慣用的技倆,現在已經有更新的方式,請您一定要特別注意。
案例一,亞虎購物網(假設此為知名購物網)
首先,我們說明一下詐騙的經過,一開始您可能會先收到Email或簡訊,可能是亞虎購物網
促銷,東西非常的便宜,但是一定要用線上刷卡才能購買,這時您如果心動了,到網站上
面作購物的動作,一開始您還怕怕的,但是後來您會看到有一個頁面說他們有使用了目前
市場上最知名的網際xx廠商所提供的ssl安全認證,保證購物是安全的,他會說您瀏覽器右
下角出現一個鎖頭型狀的小圖就是在安全狀態,於是您安心的買了,或許某些人還會點點
看那個認證標章,點了發現也顯示正常,嗯,心情很好的等東西來,結果三天後東西來了
,消費者好高興,再看看有什好東西可以買,買了幾樣東西後,這次卻等不到東西來了,
下個月發現信用卡已經被刷爆了。
犯罪方法:
不法之徒先去國外申請一個類似的網址,就像之前的微軟事件,微軟的網址為
www.microsoft.com,而有不法之徒去申請了www.micros0ft.com的網址,有發現什麼不一
樣嗎? 對了,就是英文字o變成數字0了,那麼說來yahoo也可以變成yah00囉,pchome
也可以是
pch0me了,也許您會說怎麼可能會認不出來,那麼我們用大寫來看呢?WWW.
MICROS0FT.COM,您真的會去辨識差那麼一點點的大小嗎?您說您跟本不會打錯,那麼有
人貼到留言
板或BBS上呢?只是點一下就連過去了,整個網站頁面和本尊一模一樣,但是
其中一篇廣告
或商品卻是假的,讓您貪小便宜去輸入卡號,然後去真的網路購物買一個
寄給您,這樣可
以避免您起疑,畢竟好不容易有個傻子,寄個東西給您拖延您一下,他
們才有時間去買更
多東西,到這裡您也許有幾個問題想問:
1.Q.那個怪網址你不會犯這種錯的。
A.那也有變通的方法,不法份子可以自己去國外請一個,國外申請網址不用公司執照證明
,他說他是亞虎,提供亞虎的資料,他也可以有一個登記所有人為亞虎的網域名稱,他只
要有付錢就行。
2.Q. 那個假網站不是有SSL安全認證了嗎,怎麼還會是假的。
A.嗯,首先呢網際XX的標章複製是很簡單的事(其他大部份的廠商也是),只要從亞虎那邊
複製一個貼過來不就行了,再來,如果有客戶會檢查鎖頭是否出現,只要去申請GeoTrust
的SSL憑證即可,GeoTrust 的SSL申請只要提供CSR和公司名稱即可,他的系統會自動去查
Domain的登記資料,只要公司名稱一樣就核發憑證,剛說過了國外是不檢查公司執照或營
利事業登記證的,所以呢,憑證會在5到15分鐘左右自動發到當初Domain註冊登記的信箱或
指定的信箱,所以呢,他們擁有了屬於亞虎的網址和憑證了,但是,他們不是真的亞虎,
這時候您連到他們的假網站時,也出現了安全鎖頭,嗯,的確傳輸過程很安全,您的卡號
到不法之徒手中前是在加密狀態的,不會被同業偷截走,但這是安全的認證嗎?
3.Q. 他們不會打電話去真正的網站查嗎?
A.他們不需要去換電話號碼,因為我想有人真的會打電話去問的機率
太低了,何況如果您
一
訂東西三天內就到,您也不會起疑的。