不要被騙了！帶你分析Google 會員抽獎詐騙網頁 - 傑瑞窩在這

回答問題就能抽哀鳳7欸！ googlephish - 不要被騙了！帶你分析Google 會員抽獎詐騙網頁. 往下滑你會看到好多中獎人的 ... 跳至主要內容科技Google大小事Security網路安全教學Cloud雲端服務Resource資源分享WordPress架站密技Windows疑難雜症筆記Program程式筆記Reading閱讀筆記Activity活動紀錄Talk經驗雜談玩樂Travel旅遊札記Food美食推薦Event活動體驗Movie影集心得關於這個抽獎頁面真的滿厲害，幾乎無處不在，使用免費好康的網站，很容易就會遇到，比如說免費Youtube轉MP3、使用免費空間下載檔案、免費線上看影集之類的。

人家說免錢的最貴，通常這些網頁裡都會隱藏髒東西，騙你點惡意連結、騙流量或是夾帶著釣魚訊息，想要偷你的個人資料！小心囉，天下沒有白吃的午餐，想要iPhone存錢買比較實在看到這個答題抽獎的頁面，你有沒有心動了一下？回答問題就能抽哀鳳7欸！往下滑你會看到好多中獎人的評論，好像煞有其事？仔細看就覺得是英翻中，用字遣詞有些怪怪你該有的危機意識詐騙網站防不慎防，不要以為你有裝防毒軟體，或是使用有惡意網站阻擋功能的瀏覽器(比如GoogleChrome提供 SafeBrowsering)，就覺得安全囉！現有的防護機制還是以黑名單為主，當瀏覽器或防毒軟體發現你瀏覽的網站有問題時，會給你一個大大的警告，阻止你繼續瀏覽。

可是新的詐騙網站上線後，通常要經過一段時間才會被資安單位發現並加入黑名單，這之中的空窗期就變得相當危險，壞人可能透過電子郵件的方式散播，用很聳動的標題騙你打開，或是在你瀏覽網頁時彈出新視窗，比如「恭喜中大獎」之類的畫面。

基本上，瀏覽器有阻擋跳窗功能，或是安裝AdBlock阻擋廣告，危害就減小許多。

當然如果你是高高手，停止瀏覽器執行JavaScript，必要時在一個一個執行，這樣會更安全。

但你需要有深入的資安知識，建立自己的黑白名單。

神農嚐百草？讓我們實際玩看看我們就來回答問題囉，看看會發生什麼事！第一題很簡單哈哈，答案是LarryPage，其他兩位是微軟與臉書創辦人。

隨便刷完三題簡題後，他也隨便給你一個驗證動畫，哇！我就中獎啦！根本太神了，接著又是一連串的騙局…選擇iPhone7之後，進入到一個填問卷抽獎頁面(奇怪？剛剛不是回答完了嗎)，這個「大贏家」頁面也是滿多人會遇到，總之前面就是先試水溫，你有被騙的潛力，再讓你來這裡輸入個人資料。

這個網頁背後有表單驗證，輸入錯誤會跳出警告，弄得煞有其事。

不過聰明的人看的這個Layout應該就關掉了吧接下來就叫你輸入電話、地址啦，中獎要寄去你家的嘛。

填2017年生可是不行的喔，他有做驗證檢查，下方居然還夾帶個學英文廣告成功送出後，應該沒多久就會收到釣魚信件了(更進一步的騙你xd)可以參考我在另一篇做的實驗，信件中煞有其事的要請你點連結，提升贏得大獎的機會填問卷送手機？當心「瀏覽器意見調查」詐騙網頁從這個例子來看網站的設計釣魚或詐騙網站就是要和真正的網頁很像，博取你的信任，騙你輸入個人資料。

可是長得一樣很容易被偵測工具抓到，所以說網站的設計者，會用一些方法讓頁面很像卻又不太像，一方面躲過偵測，一方面又要讓你信以為真。

搞不好頁面稍微更動，你還以為是介面升級換新了呢！這個例子原先使用正常的GoogleLogo，後來才換成有禮物的Logo，前端樣式仿造GoogleMaterialDesign，明顯看出是手刻的版面，沒有響應式設計。

你會想說為什麼不套用現成的前端套件，把頁面弄好看？我的理解是，有資安意識的人，本來就會提防釣魚，而這種散布式的釣魚網站，目標鎖定在資安意識薄弱的人。

頁面長得像不像沒有那麼必要，他們受騙的機率本身就很高，與其花時間調整網頁，倒不如多造幾個假網頁，多入侵幾個網站比較實在。

仔細看一下網頁原始碼(網頁上按右鍵->檢視網頁原始碼)，你會發現上面的倒數計時啦，抽獎什麼的程式碼都是寫死的，跟本沒有和後端伺服器溝通，還有一堆重複的程式片段，把時間轉成中文，其實可以包成函式接著我們來看看網址(為了怕大家好奇心作祟，我先用xxx屏蔽網域名稱)。

很明顯包含Base64編碼過的字串…還原一下看看他藏什麼東西雖然有一些ID與編碼不知道是啥，但主要就是記錄著受騙人的基本訊息，比如時間、網路資訊(比如用的是台灣固網)、點擊進來的來源網站等等，之後與個人資料做對應。

Volumedata這串資料，是由前一個頁面搜集並重新導向來這個頁面的，假若你把volumedata從網址砍掉，會發現抽不了獎品，畢竟還是有做防護，要蒐集資料嘛。

接著我們使用TamperChrome這個套件，擋住Request送出，觀察會送什麼東西出去。

原本以為只會送個人資料，結果還會送剛剛的禮物選擇，是不是順便做市場調查啊哈哈所以，如我我填了問卷，個資外洩怎麼辦？既然資料已經送出去了，就追不回來了呀，請記得這次的教訓，以後在網路上填寫個人資料要小心、小心、再小心(很重要所以說三次)你肯定會覺得緊張，覺得懊惱，哀呀，當初如果小心求證的話，也不會落到如此下場。

真的沒有辦法嗎？有沒有甚麼補救措施？那些外洩的資料會不會造成甚麼問題？就讓我們來看看，遇到以下情況你可以怎麼處理如果你提供了姓名、電話、住址你可能會遇到：這類網站基本上會跟一些企業合作，你的個人資料可能會被用於電話或網路行銷。

因此過沒多久，你會接到行銷電話、或是收到廣告信件你可以這樣做：不要隨意開啟來路不明的電子郵件，也多多注意陌生電話，你可以安裝來電辨識App(例如WhosCall)，避免被二次釣魚。

畢竟資料外洩就是外洩了，如果你有把你的任何密碼設置跟姓名、電話、住址有關，請你趕快更換相關密碼，以免密碼被駭客用暴力法破解出來如果你提供了信用卡號你可能會遇到：在不安全的網站購物很危險，你的信用卡可能會被不當扣款，甚至是盜刷。

你可以這樣做：遇到這種情況，最好的方法是立刻撥打電話至你的發卡銀行，要求作廢換新卡，以避免卡片日後遭盜刷。

如果你已經被盜刷了，趕快跟銀行確認一下被刷了那些款項，看看有沒有辦法追討回來如果你還是擔心你可以寄信給該網站，要求刪除你的個人資料，或是撥打165反詐騙專線尋求更進一步的協助機器學習這麼夯，有辦法改善詐騙問題嗎？在研究上，騙人的網站我們會進一步分成：釣魚網站與詐騙網站，前者是模仿真正的網頁，騙你輸入帳號密碼信用卡之類的資訊：而後者則多半是恭喜你中大獎之類的騙局。

雖然不該把釣魚與詐騙網站混為一談，但本質上都是要騙你的資料，這裏我們就不細分他們的差別，先看一篇新聞吧轉移式學習搭配領域知識，用AI防範針對性攻擊因為釣魚與詐騙網站生命週期短，傳統的黑名單更新跟不上變化的頻率，讓機器學習規則來預防是必然的趨勢。

如同文中提到，在機器學習上，必須要有標籤(Label)，機器透過釣魚與不是釣魚兩種標籤，去學習釣魚網站應該長怎麼樣，有什麼組成，有什麼規則，下次看到類似的，就知道這個也是釣魚網頁。

而為了要有標籤，除了人工肉眼標注之外，需要透過自動學習的方法來提升涵蓋率，或是使用轉移式學習，把其他領域的訓練成果套用過來，解決沒有標籤的問題目前釣魚網站偵測(PhishingDetection)套用機器學習，已經達到非常高的準確率99.9%(參考這篇論文)，但是實驗數據與資料集有關，網站的變化太多，就我所知，應用上仍以黑名單為主。

這是個諜對諜的過程，網站製造者會不斷的換網域名稱，找新的主機架設釣魚網頁，用一些方法規避偵測，想要準確的預防，還有很多挑戰後記2018/10原本這篇文章只是要帶大家分析詐騙網站，但從網友的回應來看，災情比我想像的嚴重…有很多人問我不小心洩漏個資該怎麼辦，也有網友填了信用卡號，結果被連續扣款。

但說真的，這種攻擊手法很難阻擋，因為他的網頁主機、網域名稱不斷地在變換，而且是大量的利用漏洞去挾持正常主機，把正常網頁導向他的抽獎網站，我能做的，就是寫下這篇文章，提醒路過此處的你，要小心謹慎，不要因為免費好康而因小失大記住，在網路的世界中，沒有絕對的安全，多堆累積些資安意識吧！Jerry樂於分享的軟體工程師，曾在新創與大型科技公司實習，獲得黑客松競賽冠軍，擔任資安研討會講者。

長期熱衷於資訊安全、雲端服務、網路行銷等領域，希望將科技知識分享給更多人。

內容轉載請來信：[email protected]則留言谢谢您的文章。

故意給假資料混淆xdd現在進一步告知中獎要支付1~2美元及限時,還要填信用卡資料。

一好奇亂填亂答還說答對了！還好你精明！那些華麗的效果、限時、遊戲都是騙人的留言導覽←較舊的留言發表回應取消回覆粉絲專頁粉絲專頁近期文章檔案誤刪救星！資料救援軟體EaseUSDataRecoveryWizard13.3安裝與實測台北內湖｜碧山巖步道、白石湖吊橋、同心池、夫妻樹建立自己的COVID-19儀表板，透過GoogleCloud搞定整條資料管線分析Google與Apple的移動趨勢報告：COVID-19CommunityMobilityReports看懂Coursera的收費方式，如何免費旁聽課程？如何申請助學金？贊助