如何利用複製網站和SSL憑證來詐騙及如何破解的技術(上)

網路上的詐騙事件好像從不曾中斷，有些是利用廣告，有些是利用Email，有些則是網站
，不管使用什麼方式，其目的都是為了騙取受害者的資料，可能是網路銀行的密碼，可能
是重要的資料，也可能是商品或金錢，作者最近光是收到citibank及paypal的炸騙廣告信就
將 近每天一封，根據網路調查報告，在2003年美國就有超過200萬人受騙，而詐騙損失更
高達 24億美元，至於台灣這兩年也發生了數起網路銀行帳號被竊案，損失也超過數百萬至
數千 萬，現在的網路使用者已經都對可疑的Email或不實的廣 告有所警戒了，但為什麼被
詐騙的 新聞還是那麼多，之前有些廣告說他們有超便宜的商品，騙消費者去匯款，結果有
許多貪小 便宜的消費者被騙，而有些Email說您的網路銀行密碼被盜要您去更換密碼，這都
是炸騙者 慣用的技倆，現在已經有更新的方式，請您一定要特別注意。

案例一，亞虎購物網(假設此為知名購物網)

首先，我們說明一下詐騙的經過，一開始您可能會先收到Email或簡訊，可能是亞虎購物網
促銷，東西非常的便宜，但是一定要用線上刷卡才能購買，這時您如果心動了，到網站上
面作購物的動作，一開始您還怕怕的，但是後來您會看到有一個頁面說他們有使用了目前
市場上最知名的網際xx廠商所提供的ssl安全認證，保證購物是安全的，他會說您瀏覽器右
下角出現一個鎖頭型狀的小圖就是在安全狀態，於是您安心的買了，或許某些人還會點點
看那個認證標章，點了發現也顯示正常，嗯，心情很好的等東西來，結果三天後東西來了
，消費者好高興，再看看有什好東西可以買，買了幾樣東西後，這次卻等不到東西來了，
下個月發現信用卡已經被刷爆了。

犯罪方法：
不法之徒先去國外申請一個類似的網址，就像之前的微軟事件，微軟的網址為
www.microsoft.com，而有不法之徒去申請了www.micros0ft.com的網址，有發現什麼不一
樣嗎? 對了，就是英文字o變成數字0了，那麼說來yahoo也可以變成yah00囉，pchome
也可以是 pch0me了，也許您會說怎麼可能會認不出來，那麼我們用大寫來看呢?WWW.
MICROS0FT.COM，您真的會去辨識差那麼一點點的大小嗎?您說您跟本不會打錯，那麼有
人貼到留言 板或BBS上呢?只是點一下就連過去了，整個網站頁面和本尊一模一樣，但是
其中一篇廣告 或商品卻是假的，讓您貪小便宜去輸入卡號，然後去真的網路購物買一個
寄給您，這樣可 以避免您起疑，畢竟好不容易有個傻子，寄個東西給您拖延您一下，他
們才有時間去買更 多東西，到這裡您也許有幾個問題想問：

1.Q.那個怪網址你不會犯這種錯的。
A.那也有變通的方法，不法份子可以自己去國外請一個，國外申請網址不用公司執照證明
，他說他是亞虎，提供亞虎的資料，他也可以有一個登記所有人為亞虎的網域名稱，他只
要有付錢就行。

2.Q. 那個假網站不是有SSL安全認證了嗎，怎麼還會是假的。
A.嗯，首先呢網際XX的標章複製是很簡單的事(其他大部份的廠商也是)，只要從亞虎那邊
複製一個貼過來不就行了，再來，如果有客戶會檢查鎖頭是否出現，只要去申請GeoTrust
的SSL憑證即可，GeoTrust 的SSL申請只要提供CSR和公司名稱即可，他的系統會自動去查
Domain的登記資料，只要公司名稱一樣就核發憑證，剛說過了國外是不檢查公司執照或營
利事業登記證的，所以呢，憑證會在5到15分鐘左右自動發到當初Domain註冊登記的信箱或
指定的信箱，所以呢，他們擁有了屬於亞虎的網址和憑證了，但是，他們不是真的亞虎，
這時候您連到他們的假網站時，也出現了安全鎖頭，嗯，的確傳輸過程很安全，您的卡號
到不法之徒手中前是在加密狀態的，不會被同業偷截走，但這是安全的認證嗎?

3.Q. 他們不會打電話去真正的網站查嗎?
A.他們不需要去換電話號碼，因為我想有人真的會打電話去問的機率 太低了，何況如果您
一 訂東西三天內就到，您也不會起疑的。

請看中篇