你有沒有曾經接過詐騙電話或收過奇怪的陌生簡訊?如果有的話你是否想過對方是如何得到你的聯絡信息的?
其實這一切都有可能是因為你無意間在釣魚網站上洩露了個人資料造成的,所以這篇文章就與你分享該如何分辨和防範網路釣魚攻擊。
釣魚網站是什麼?
網路釣魚源自於 Phishing 一詞,是一種在網路上以詐騙手段獲得受害人個人資料或帳戶密碼的方式,因為發音和 Fishing 相近故稱為釣魚攻擊。
其實很多時候新聞上報導的信用卡遭盜刷、銀行戶口遭盜竊或者某企業系統遭侵入並不一定是像我們在電影中看到駭客輸入一堆程序碼後攻破防火牆這般技術性的“武力”侵入。
更多時候黑客是以某種方式接觸機構裡的相關人員並從他身上套取登入系統的帳密,然後從內部駭入系統搞破壞和獲得大量的機密信息。
歹徒通常會先了解目標受害者的習性並在網站設下陷阱,利用他們的無知、貪婪和疏忽誘使他們“上鉤”,從而“釣”取他們的敏感資料來達到最終目的,而這些陷阱也叫做釣魚網站。
↑ 老高介绍黑客技术
網路釣魚常見手法?
下面就來說說幾種釣魚的手法,而歹徒又是如何一步步的引導使用者到他們所設下的釣魚網站陷阱:
假冒官網
不法之徒會假冒其他知名機構(比如銀行和信用卡等公司),並製作與他們官網相似的山寨版網頁讓使用者難辨真偽,利用這些機構的良好聲譽來博取使用者信任。
他們甚至會仿冒官網的網址,比如www.yahoo.com 和 www.yαhoo.com, 不仔細看的話你可能很難發現後者所使用的是 alpha 縮寫的代號 “α” 拼成的。
如果你沒注意到網站是假的並且登入了你的用戶名和密碼,那麼歹徒就能截取你的帳密並登入你的真正戶口,若是銀行戶口的話就會被盜個精光了。
惡意廣告
現在網路上充斥著各種廣告,無論是社交媒體或是網頁都可看到大量精美且吸睛的促銷活動,但其中可能就混雜了一些以騙取個人資料為目的釣魚廣告。
這些廣告看似合法且合理,但是詐騙分子就是看準消費者貪小便宜的心理,在你瀏覽網頁的時候就會彈出視窗讓你填寫個人資料就能獲取免費獎品或獎金的誘因。
一旦你填寫了自己的個人名字、電郵信箱或電話號碼他們就能透過這些方式聯絡你並進行各種詐騙手段,你也可以看看以下的短片來了解這一過程。
↑ 釣魚網站行騙過程
釣魚簡訊
在這人手一機的時代,每個人大部分時間都會用手機上網娛樂或網購,而詐騙集團也正是利用這一點來主動攻擊受害者。
比如說在社交媒體上假扮你關注的網紅並向你索取金錢上的幫助,或者同時向多個用戶隨機發出SMS簡訊進行詐騙,當中只要有一兩個上鉤就行了。
簡訊的內容可以是說你從海外網站購買的產品被海關攔下來了,需要你的提供個人資料來進行確認和協調,或者說你的銀行被盜款了需要你馬上登入銀行戶口檢查或更換密碼。
當你因為緊張和擔心失去理性思考照著歹徒的指示提供資料,或點擊信息中的連結到釣魚網站登入你的正式帳密就正中他們下懷了。
釣魚郵件
除了簡訊一些駭客也會透過email來騙取資料,而這也時常在企業間發生,駭客甚至會花心思製作惡意程式來截取公司內部的資訊。
他們會先觀察該公司與其他生意夥伴上的關係來往並截取內部消息,然後假扮其中一方向對方職員發出與近期交易相關的郵件來降低他們的防備。
當收件人不以為意地點開信件內容,並點擊郵件中的連結或下載附件(比如交易票據或通知的PDF檔案),這就會觸發駭客設下的惡意程式自動下載和安裝到裝置上。
這些程式會在背景偷偷運作,下載電腦裡的資料和記錄你在電腦上的各種行為,包括登入機密檔案或系統時使用的帳戶和密碼然後回傳給駭客,這樣他們就能輕鬆駭入公司的伺服器了。
如何防範釣魚攻擊?
雖然我們無法根絕犯罪集團的存在,但是我們還是能做好以下幾個事項降低自身被詐騙的機會:
不要隨意點開連結
無論是收到來自誰的簡訊或郵件,儘管事情再緊急或貼切也不要點開信息中提供的連結,建議自己在瀏覽器上手動輸入正確的網址登入會更安全。
如果是常使訪問的網站也能收藏Bookmark書籤方便以後使用,就可以避免誤連歹徒設下的釣魚網站,如有緊急事件就撥打官方服務電話確認。
查看網站的安全性
上網時多注意網址前面是否有安全的鎖頭圖案
,這代表該網站有安裝SSL安全憑證,可強化訊息在傳輸過程中某種程度的安全性。
而沒有SSL的網站會在瀏覽器網址欄中會顯示為不安全
,如果是在Google Chrome 瀏覽甚至會出現像以下的警告畫面:
不要輕易填寫資料
通常知名企業是不會透過 e-mail 或簡訊的方式來詢問使用者的個人資訊(如名稱或帳密),而是讓你自行前往官網或撥打他們的專線了解更多詳情。
如果碰到信件裡提供不知名的外部連結就要提高警惕,而且連上的網站還以各種好康優惠來引誘你留下個人資料就更要留意該網站的真實性,並詳知同意留下的資料後的用途和影響。
定期檢查帳號紀錄
時常檢查個人重要的銀行、金流和交易戶口也非常重要,確認是否有任何未經授權的交易記錄,如發現除自已以外進行的可以交易且馬上聯絡相關機構查明。
這有可能是詐騙集團的正式幹案前的試探動作,因此任何帳號都盡可能啟用雙重認證 (2FA)來提高登入的難度防止帳戶被侵入。
小心查看電郵來源
收到任何電子郵件時記得要查看發信人的地址是否有拼錯,發信時間是否合理還有信件內容的語法是否順暢。
詐騙集團有可能是來自其他國家,利用假冒的信箱來發件,因為時差關係可能發件的時間是在大半夜,或者透過軟體翻譯成當地使用的語言也會導致語法稍微有些奇怪。
畢竟專業的公司在發信前都會先檢查有無錯誤,但是犯罪者可能就沒時間這樣做,不過隨著釣魚郵件的改進這些錯誤也可能會更難發現,所以盡量多讀兩遍看看有沒有可以的地方。
如覺得可疑千萬別點擊信中的任何連結或下載附件,也不要做任何回覆,馬上將信件列入黑名單避免在收到同樣的信件。
安裝安全防護軟體
儘管提高了自身的危機意識,但有時候百密總有一疏,尤其是當工作忙的焦頭爛額時可能就會沒那麼多心力注意到一些細節而讓歹徒有機可乘。
尤其是惡意程式的侵襲更是難以察覺,因此除了具備充足的資訊安全觀念,建議可以在裝置上安裝防毒軟體或防火牆來維護安全。
比如說安裝VPN就能隱匿你的個人隱私,同時還能阻擋廣告和偵測到可疑的惡意軟體,防止你的資訊被洩露到暗網上。
VPN是什麼?
VPN(Virtual Private Network)中文又名為虛擬私人網路,除了可以更換IP 地址來翻牆和跨區,另外一個功能就是保護你的網路隱私安全。
每當你上網時網路電信商(ISP)和網站都可以得知你的IP 地址還有瀏覽記錄,這樣就能判斷你來自哪裡或者瀏覽過什麼網站。
透過VPN 上網更換IP 地址後它們就無法知道你的真實地址,甚至誤以為你來自其他國家來達到翻牆的目的,同時還能加密你的網路數據,如下:
這樣網站和電信商就無法破解被加密過的網路信息並透露給政府或是販賣給其他機構,最重要的是還能杜絕被釣魚網站攻擊竊取你的個人資料來做不法用途。
你可能有興趣…
VPN 推薦
Surfshark 和 NordVPN 是其中 2 家比較知名的付費VPN,或者你也可以在網上下載其他的免費VPN來試用看看。
你可以從手機上的App Store 或Play 商店搜尋到各種免費的VPN,足以應付一般的翻牆需求來瀏覽國外的網站或是跨區下載應用等。
不過免費的VPN通常一個帳號只能在一台裝置上使用,而且可翻牆的國家選擇和伺服器比較少,常常會因為太多人使用而難以連結,建議多下載幾個不同的來交替使用。
畢竟免費的VPN連線品質比較不穩定,有時候可能會突然斷線,因此比較不適合用來串流Netflix 看影片或玩國外遊戲的伺服器。
如有需要可以升級訂閱付費版解鎖更多可翻牆的國家和伺服器,串流的速度也會比較快和穩定,還有阻擋廣告等進階功能,你也可以點擊下方按鈕查看更多:
