網路釣魚 - ［▌▣］

網路釣魚

Phishing Kit

Phishing as a Service

2025-05-12 大フィッシング攻撃時代における攻撃手法と自衛手段の考察 | blog.jxck.io

樂天證券的雙重驗證只有90種可能性，且沒有重試限制

因此只要突破密碼防護，雙重驗證等同毫無意義

密碼洩漏的三大常見路徑

1. 在釣魚網站輸入密碼

釣魚網站可透過如密碼管理器機械式進行檢查，或從如書籤等固定管道存取網站

2. 其他網站或當事網站洩漏密碼

網站洩漏可使用如Have I Been Pwned?進行檢查

對策是所有網站都使用不同的密碼，但如此記憶就會變得困難，因此理想還是回到密碼管理器

3. 感染malware/info stealer而遭竊取

info stealer最常見的是竊取瀏覽器儲存的密碼與cookie，並拿到暗網的市場上交易

雖然瀏覽器會將這些敏感資訊置於OS提供的安全處，但仍然難以完全預防

如果遭到病毒感染，密碼管理器就也不一定能作為對策

頂多能夠透過自動輸入，防止被keylogger竊取

最後的安全威脅終究還是使用者

如果看了詭異的網站、下載詭異的執行檔、完全無視所有系統的警告，安裝任何軟體都沒有幫助

就這個層面上而言的保護使用者，或許iPhone是更好的選擇

現況只能透過App Store安裝應用程式、所有的應用程式都有通過審查

即使應用程式有問題，也能請求Apple處理

當然不是就完全沒有問題，但比起安裝防毒軟體的Windows電腦更能確保安全性

平台可採取的措施

不應該只是提供雙重驗證，還要能確實肩負起二階段的安全性、保護使用者資產的責任

雙重驗證的理想形式是讓使用者產生一私鑰，並儲存對應的公鑰於平台上

即所謂的FIDO2形式

而平台提供以此為標準的API，並將金鑰儲存在系統內的安全處保管

在存取金鑰時，還可追加解鎖必須的Touch/Face ID一類的間接式的「生物辨識技術」作為第三要素

因為生物資訊無法輕易重新產生，以及隱私等等的因素，不會直接儲存在平台上用於驗證，而是用在裝置上

將此實作為統一規格的，就是Passkey

目前的問題點是尚未普及與復原

金融機關則還有認識你的客戶，在復原部分就可設定得更加嚴謹

即使不實作Passkey，也還有許多如

登入通知

重要操作次數限制

偵測異常存取

對應Cookie的Web Application Firewall

OWASP に Cookie Theft 対策 Cheat Sheet を執筆した | blog.jxck.io

等等可說是必須實作的功能

使用者可採取的措施

第一步還是密碼管理器做為驗證管理的基本

雖然有過LastPass的事例，沒有Google/Apple/1Password就絕對不會洩漏的保證

但密碼管理器的安全性，絕對強過一般人耗費心思的驗證管理方式

現在的「密碼管理器」做的也不只是「幫你記住密碼」，例如1Password還有

防止猜測攻擊

指定複雜度、長度，產生安全的密碼

存有不安全的密碼時會警告

洩漏對策

有重複使用的密碼時會警告

平台發生洩漏狀況時會通知

多重要素驗證

可讀取畫面上的QR Code登錄TOTP

可登錄Passkey

可顯示未登錄Passkey的平台

可用Touch/Face ID解鎖1Password

釣魚攻擊對策

可自動填入產生密碼、TOTP的網站

可使用Passkey自動登入

其他

自動填入不會被Keylogger竊取

可管理SSH Key或Wifi SSID等所有機密資訊

可儲存信用卡資訊，在付費頁面時自動填入

於本地端加密，即使是1Password的公司也無法竊取

只需確保Secret Key和Master Password

至少就此案例，安裝「密碼管理器」的效果會高於安裝多個「防毒軟體」

假瀏覽器擴充功能

2025-01-03 Beware! Fake EditThisCookie Extension Steals User Data

2025-08-21 10万回インストールされたChrome拡張機能の「FreeVPN」がこっそりユーザーの画面のスクリーンショットを撮り外部サーバーに送信していることが判明 - GIGAZINE

「授權使用Cookie」

2025-08-20 Cookieを許可したらアカウント情報が流出!? パスワード自動入力を悪用した攻撃に注意 - PC Watch

Steam

2023-10-16 Steamでゲームのアップデートにマルウェアが仕込まれる事態が発生、対策のためSMS認証を必須にするとSteamが発表 - GIGAZINE

2025-02-18 Steamで1週間配信されていた無料ゲームに「パスワードを盗み取るマルウェア」が仕込まれていたことが判明 - GIGAZINE

2025-02-21 Steamで1週間無料配信されていたゲームに，クレジットカード番号などの情報を盗むマルウェアが潜んでいたことが発覚

Discord

https://www.youtube.com/watch?v=Jz-3goOPj9o

2024-05-13

1. 執行可疑程式

2024-03-19 PSA: PROTECT YOUR EMAILS AND DISCORD TOKENS/The vunerabilities of 2FA and Phone numbers. – Discord

2024-04-11 Documentation of my experience with a hijacked account SOLVED – Discord

「請幫我測試我正在開發的遊戲」騙局

2023-11-16 Discussion MY CURRENT EXPERIENCE WITH HACKED DISCORD ACCOUNT : r/discordapp

2023-08-31 Discordのセキュリティ脅威【前編】：古典的なソーシャルエンジニアリング攻撃 | HashHub Research

2024-01-24 New account hacking method : r/discordapp

利用host Discord Bot

2. 於可疑頁面輸入帳號密碼

即使輸入錯誤的帳號密碼，偽造的前端頁面也會放行使用者？

會誘使使用者輸入二次驗證碼以取得權限？

3. 執行可疑JavaScript程式碼

說服使用者開啟DevTools，或是加至bookmarklet，並輸入、執行程式碼

或是和1.一樣，在電腦上佈署惡意軟體

攻擊者會透過Discord Webhook傳送使用者的token

藉此繞過CSP

4. Discord授權頁面？

Discord API的OAuth2無法取得發送使用者訊息的權限

Discord Developer Portal — Documentation — OAuth2

邀請連結

2025-06-14 Discord Invite Link Hijacking Delivers AsyncRAT and Skuld Stealer Targeting Crypto Wallets

程式碼混淆

VS Code

2025-02-28 VS Codeの人気拡張機能にマルウェア、すぐに削除を - 900万回以上DL | TECH+（テックプラス）

2025-03-16 VS Code Material Theme 不是惡意軟體——安全的線該畫在哪？ - Huli's blog

Node.js

2025-03-01 Web3 のマルウェアが話題なので解析してみた

Polyglot的惡意軟體

1. 執行檔案的程式本身存在可濫用的漏洞

MOV

https://www.youtube.com/watch?v=nTO3TRBW00E

2025-05-22

apac::hoa::CodecConfig::Deserialize

Apple Positional Audio Codec

Higher Order Ambisonics

iPhone 16可原生編碼的格式

如何觸發？播放影片

patch

在舊版中，遞迴檢查的值可能和實際正在操作的陣列不同步？

或是在遞迴結束時的處理不同，新版會再次重新執行？

SkipBits

Memory corruption發生在其他地方

Memory corruption - Wikipedia

APACHOADecoder::DecodeAPACFrame

2. 誘騙使用者透過其他手段執行檔案中的惡意程式碼

PDF

2022-06-01 PDFマルウェアは死んでいない

MP3

https://www.youtube.com/watch?v=25NvCdFSkA4

2025-03-26

這並不是說這個mp3檔案本身是個病毒，而是它包含可被mshta.exe執行的惡意程式碼

Microsoft HTML application

預設用來算繪和顯示HTML

但在Windows電腦本地上，還可執行其他腳本語言，如VBScript或JScript

它會忽略Polyglot中無效的程式碼部分，只執行有效的程式碼

SysinternalsSuite strings

一段PowerShell指令碼，以隱藏視窗、無權限限制執行

將底下的16進位值解碼後，是再另一段PowerShell指令碼

會開啟子程序、下載另一個mp3檔，並執行其中的程式碼

之後會將AppData的Roaming資料夾用curl傳送至伺服器

另一個mp3檔

這則實際上不像第一個檔案是一個聲音檔，而只存有程式碼

上萬行包含無意義垃圾的程式碼

https://any.run/

顯示大量整數之後，發生錯誤

俄文註解

取出其中實際執行的部分，取代回原本亂碼的部分

執行一長串AMSI的字串

另一個PowerShell指令碼

注入程序繞過系統安全檢查

再執行一段程式碼

PureLogStealer

dotPeek

會再載入另一段Assembly

傳送請求至真實的Steam網址，但無法進一步看到詳細的HTTPS內容

reCAPTCHA

https://www.youtube.com/watch?v=vHlxFb8PMPE

2025-03-29

mp3、ogg

2009-04-07 HTAを利用したワンクリックウエアの新たな手口 |

2022-12-02 Microsoftが施したマクロブロックは分水嶺だった　あらためて警戒すべきマルウェア＆ランサムウェアの感染経路とその手口 | ログミーBusiness

2025-04-19 偽reCAPTCHAを軽く解析したらやばいやつだった... - YouTube

2025-03-27 閲覧者自身の操作によりマルウエア感染を狙う攻撃 ClickFix についてまとめてみた - piyolog

阿森 AsSen - YT頻道88了今天起床一堆未接來電還以為發生什麼大事情原來是剪輯師帳號被盜 | Facebook

加密資產

2025-02-22 王景弘 - 轉網路上的評論，其實這也凸顯【數位簽章】這件事情，必須同時顧慮到簽署人對簽章主體的理解，才是完整的簽章。 | Facebook

1. 社交工程

偽裝成外包前同事，請求協審專案報告

提供一個壓縮檔，內含一個偽裝成PDF的惡意程式

2. 惡意軟體植入

INLETDRIFT

會在macOS系統安裝後門，與駭客遠端伺服器保持通訊

開發人員會誤以為是正常文件，繼續轉發給其他成員

3. 挾持多重簽名錢包

攻擊者可監視與攔截團隊在操作Gnosis Safe多重簽名錢包時的交易資料

交易傳送到Ledger硬體錢包簽署時，惡意軟體會偷篡改交易內容

Ledger簽署Gnosis Safe的多簽交易時，存在盲簽問題，團隊無法察覺交易被修改

4. 轉移資金與清理痕跡

智慧合約被轉移到攻擊者手上後，攻擊者會移除系統後門和瀏覽器擴充功能等痕跡

即使使用硬體錢包、多重簽名和前端驗證，仍然有可能遭到攻擊

2025-02-27 Web3開発者をねらったハッキング手口の全て（わたしは全て抜かれました...）

假工商

2025-02-25 ある有名RUSTストリーマーからの案件で、契約書をDLしたら「トロイの木馬」で個人情報が盗まれる被害が増えている模様…犯人垢も乗っ取られている可能性 - Togetter トゥギャッター

2025-02-26 BC立川や小森めと、ksonらまで…配信者間でSNSアカウントの乗っ取り被害が相次ぐ―“案件”を騙った巧妙な手口も | インサイド

https://www.youtube.com/watch?v=QEXghZcanvM

2025-03-12