甚麼是網絡釣魚?您又有甚麼應對措施?
「您的密碼已過期,點擊這裏更改密碼。」實不相瞞,大部分網絡用戶在點擊這條鏈接前都不會再三思考。雖然我們時常收到類似的可疑電郵,但是我們通常都會自然而然地點擊這些來歷不明的鏈接,因此釣魚攻擊十分危險且通常奏效。
目錄
目錄
甚麼是網絡釣魚?
網絡釣魚是一種網上詐騙方法,黑客會冒充受人信賴的個人或組織,誘騙受害人提供如密碼、財務資訊或個人識別碼(PIN)等個人詳細信息。黑客為達到目的,可能會向您發送看似來自合法來源的欺詐電郵、短訊或社交媒體訊息。
釣魚詐騙為達到目的通常會利用受害人的情感,影響受害人的判斷力。其實網絡釣魚詐騙自網絡出現以來就一直存在,至今依然是最普遍的網絡攻擊形式之一:光是 2022 年就有超過 2.25 億次電郵網絡釣魚攻擊。
黑客一般而言會用網絡釣魚進行錢財詐騙,網絡釣魚其實同誘騙他人進行銀行轉帳一樣簡單。不過,部分網絡犯罪分子會用惡意軟件非法獲取有關個人或公司的信息,並在網上出售相關資料。電郵是網絡釣魚最常用的方式,如果黑客肯花心思潤色詐騙電郵同研究受害人的背景資料,就好難辨別電郵真假。
網絡釣魚是如何運作的?
犯罪分子會用五花八門的方法誘騙您透露自己的個人敏感資訊或存取您的裝置,他們為存取您的電腦或手機,可能會用 URL 網絡釣魚引誘您點擊鏈接或下載受惡意軟件或間諜軟件感染的附件;他們也可能試圖讓您在看似合法,但實際上由他們控制的虛假網站上輸入敏感資訊。
當您收到不尋常的個人資訊請求,被要求點擊鏈接或下載來歷不明的附件時,請務必保持警惕。
以下是詐騙分子常用的釣魚手段:
- 社交工程。社交工程攻擊依靠人際互動來誘騙受害人放下戒心或洩露敏感資料,透過心理操縱誘使受害人做出可能不符合其最佳利益的行為。
- 鏈接操控。這類型的資料外洩攻擊會透過刻意偽裝的惡意連結來欺騙或誤導用戶,從而導致受害人最終可能會點擊他們本來不會點擊的鏈接。
- 過濾器規避。這種方法可以繞過或避開過濾器,防止過濾器阻止或限制存取網絡上某些內容。
網絡釣魚的危害
由於網絡釣魚通常都會成功,犯罪分子只需動動手指即可獲得可觀經濟收益,危險的網絡釣魚攻擊數量每年都在急劇增加。
我們在下面一起仔細看看網絡釣魚攻擊的危害:
- 身份盜竊。如果罪犯能以網絡釣魚獲取您的個人信息,他們就可以利用相關資料來竊取您的個人身分並進行財務詐騙。
- 錢財損失。罪犯會以網絡釣魚欺騙您,獲取您的銀行帳戶或信用卡資料,並利用失竊資料竊取金錢或進行未經授權的購買。
- 聲譽受損。如果罪犯能以網絡釣魚獲取敏感訊息,他們可能會利用相關資料做出損害公司或個人聲譽的事情。
- 丟失敏感資料。罪犯也可能用網絡釣魚以您或組織為攻擊目標,竊取商業機密或知識產權等敏感資料。
- 安裝惡意軟件。部分罪犯會以網絡釣魚攻擊誘騙受害人下載惡意軟件,然後利用這些惡意軟件來存取他們的裝置並竊取資料。
留意網絡釣魚風險並謹慎上網。切勿點擊惡意網站的鏈接或從未經證實的來源下載附件。記得使用強大而獨特的密碼,並時刻保持警惕。
如何辨識網絡釣魚攻擊?
犯罪分子會用好多方法誘使受害者點擊鏈接或下載受感染的檔案,不過,只要您足夠小心,就不會掉下陷阱。下面有幾個辨識網絡釣魚攻擊的方法:
- 營造緊迫感的訊息。大多數網絡釣魚攻擊都是利用受害人的錯失恐懼症,導致他們做出未經深思熟慮的決定。限時優惠可能會誘使某個品牌的死忠粉絲在未檢驗清楚訊息來源的情況下,點擊電郵或短訊中的鏈接。
- 檢查拼寫和語法錯誤。文字中有語法錯誤嗎?訊息的整體語調看起來是否正常?如果訊息錯漏百出,就好可能是潛在的網絡釣魚詐騙。合法的公司和組織的通訊訊息通常句法通順且沒有錯誤。
- 警惕突如其來的附件或鏈接。企業不太可能發送新聞通訊、警報電郵或其他帶有附件的訊息——他們沒有理由這樣做。要提防惡意鏈接,特別是在您意外收到電郵的情況下,切勿下載並開啟它們。
- 對通用問候語保持警覺。惡意電郵通常會以群發的方式發送,並不會稱呼您的名字,而是使用「尊敬的客戶」等通用問候語。
- 確保您認識寄件者。如果某個之前從未聯繫過您的服務發出有關更改密碼的警報,或者向您發送太離譜的特別優惠,好明顯聯繫您的其實是網絡罪犯。
要記住今時今日詐騙犯變得越來越醒目,上述識別方法並不是永遠有效。如果您收到未經請求的電郵、訊息或電話時,無論內容有多吸引,始終都要保持懷疑態度。事實上,您甚至可以採取主動,使用網絡釣魚偵測工具識別訊息。
不同類型的網絡釣魚攻擊
詐騙犯會用各種不同類型的網絡釣魚方式來誘騙受害者洩露他們的個人識別資訊。以下是網絡釣魚的主要類型:
電郵釣魚
電郵釣魚是一種以電郵作為主要欺騙手段的網絡攻擊,其目的是誘騙收件人點擊連結、下載附件或提供個人資訊。
魚叉式網絡釣魚
針對受害人量身定制的攻擊稱為魚叉式網絡釣魚攻擊。黑客在發送網絡釣魚電郵前,會仔細研究目標對象的公眾帳戶資訊、受害人曾經外洩的資料,以及任何其他有關受害人或其公司的資訊。一旦網絡犯罪分子掌握了這些信息,就很容易取得受害人的信賴 —— 黑客可以冒充同事、老友或受害者經常使用的流行服務的代表。
捕鯨攻擊
捕鯨攻擊(Whaling)是魚叉式網絡釣魚的另一種形式,黑客會冒充公司的高級成員:行政總裁、董事會成員、大股東等。由於冒認難度更大,網絡犯罪分子會花更多準備功夫籌劃攻擊。不過,由於公司的高級成員影響力更大,網絡釣魚攻擊的潛在收益通常要大得多,而且公司員工通常不會提出太多問題,就會同意資金轉賬或洩露機密資訊。
克隆網絡釣魚
為了實施這類型的網絡釣魚攻擊,黑客會密切監視受害者的郵箱,並且克隆近期收到的電郵(通常帶有鏈接或附件)。然後重新創建新的電郵,新電郵大部分內容保持不變,但其附件會包含惡意軟件,或者是重定向到虛假網站的鏈接。
語音釣魚
語音釣魚(Vishing)攻擊十分依賴社交工程,刻意營造壓力迫使受害人作出的倉促決定。黑客通常會用各種方法來嚇唬受害者,例如向受害人聲稱有人試圖使用他們的信用卡,或者告訴受害人他們忘記支付罰款。當受害人的情緒影響他們的判斷力時,就會在倉皇的情況下洩露網絡銀行詳細資料和其他個人詳細資料。
短訊釣魚
短訊釣魚(Smishing)亦稱為 SMS 釣魚,黑客會偽裝為聲譽良好的組織向受害人發送 SMS 短訊。短訊可能會要求收件人提供個人資訊或確認帳戶詳細資訊的鏈接。短訊中的鏈接可能會定向至一個偽裝成合法網站,用於竊取受害人個人資訊的釣魚網站。
社交媒體釣魚
社交媒體釣魚(Angler phishing)是一種在社交媒體平台上新出現的網絡釣魚方法。黑客會冒充客戶支援代理,騙取受害者的個人資料或帳號詳細資料。
日曆網絡釣魚
日曆網絡釣魚(Calendar phishing)透過日曆活動邀請來誘騙受害人點擊惡意鏈接。黑客會向受害人發送活動邀請,活動詳細資料中會包含定向至惡意網站或釣魚網站的鏈接,又或者是一個會在受害者裝置上安裝惡意軟件的網站。
遇到網絡釣魚應該怎麼辦?
如果您不幸成為釣魚詐騙的受害者,或者懷疑自己成為詐騙對象,您應該盡快採取行動。我們會在文章下面分享應對網絡釣魚的方法以及您收到網絡釣魚電郵時應該採取的措施。
如果您懷疑受到網絡釣魚攻擊該怎麼辦?
如果您收到要求點擊鏈接或下載附件的電郵或訊息,要保證您知道寄件者身份,確認對方身份無誤後才打開鏈接。
如果您收到熟悉公司的電郵,嘗試用其他方式與他們聯絡。找出公司的電話號碼或官方電郵地址,並詢問該電郵是否由他們發出。
如果您與向您發送訊息的公司沒有任何關係,請查看上面的「如何辨識網絡釣魚攻擊?」段落,找尋網絡釣魚攻擊的痕跡。如果電郵看起來很可疑,請舉報並刪除該電郵。
如果您成為網絡釣魚的受害者該怎麼辦?
即使您十分熟悉最常見的網絡釣魚方式,部分虛假網站依然可能會以假亂真,在您完全不知情的情況下誘使您洩露自己的個人或財務信息。
如果您打開了釣魚電郵的惡意網站並輸入了自己的銀行資料,您必須立即採取行動,聯絡您銀行的客戶支援並報告該事件。他們會防止不法之徒利用您的個人資訊。
如果您已經提供了社會安全號碼、聯絡資訊或家庭住址等個人訊息,請訪問 IdentifyTheft.gov,您可以在該網站找到有用資訊。
如何保護自己免收網絡釣魚攻擊?
- 使用垃圾電郵過濾器。避免網絡釣魚電郵的最佳方法是防止它其進入您的收件箱。過濾器可以防止您意外打開帶有惡意鏈接和附件的電郵。 如果想進一步提高網絡安全,您可以使用反網絡釣魚工具幫助您自動識別和阻止此類內容。
- 使用附件過濾器。NordVPN 的威脅防護 Pro 功能專門保護用戶免受網絡釣魚攻擊。這個安全功能可以讓您安全上網,並保護您免受惡意軟件的侵害。威脅防護 Pro 功能會掃描正在下載的文件,並會在惡意軟件入侵您的裝置前將其封鎖。
- 學會辨識釣魚郵件。您可以透過練習輕鬆學會辨識網絡釣魚電郵。魔鬼就在細節中 —— 如果您的經理總是在電郵結尾處寫「謝謝!」,但有一日他突然在電郵結尾寫了「此致」,您最好與經理核實一下。當電郵涉及到公司機密和大筆資金時,更要加倍小心。
- 時刻更新軟件。如果要保護自己免受安全漏洞和網絡攻擊,確保軟件時刻處於最新版本就至關重要。軟件更新通常會針對最新威脅進行升級。
- 使用密碼管理器。為您每個線上帳戶都建立並儲存一個複雜且獨一無二的密碼。
- 保持警惕。時刻保持懷疑態度,始終驗證任何電郵或網站的真實性。主動以其他方式聯絡郵件發送人以確認郵件真偽。