什麼是網路釣魚?
我們經常收到這類郵件「您的密碼已過期。請按此處立即更改。」提醒密碼變更。多數人會毫不猶豫按下郵件上的連結,幾乎信任並聽從郵件的指示。這就是網路釣魚攻擊如此有效和危險的原因。網路釣魚攻擊嘗試使用電子郵件、訊息等形式來與受害者連絡。這些訊息看起來像是正常的通訊內容,但其中包含偽造資訊,駭客得以藉此竊取受害者的敏感性資訊。
內容
網路釣魚是什麼?
網路釣魚是一種網路詐騙手法,它利用假訊息、網站和社交工程對個人和企業騙取資訊或金錢。主要是藉由博取人們的信任度來影響其判斷。網路釣魚從網際網路誕生之初就已存在,目前仍然是最普遍的網路攻擊形式之一:去年所有資料外洩事件中有 32% 與網路釣魚有關。
攻擊者通常會使用網路釣魚手法取得金錢,就如同詐騙集團欺騙某人進行銀行轉帳一樣簡單。但有些網路罪犯會利用惡意軟體取得更多個人或公司的相關資訊,而這些資訊可能會在網路上販售。電子郵件是最普遍的網路釣魚形式,也就是電子郵件網路釣魚。有些郵件經過徹底研究和偽裝,內容幾可亂真,很難發現是假的。
若要了解更多資訊,請參考以下內容,了解更多關於網路釣魚攻擊的相關資訊:
如何識別網路釣魚攻擊
- 催促您做某事。多數網路釣魚攻擊依賴於人們對錯過機會的恐懼,迫使他們做出有問題的決定。一個只在短期提供的誘人優惠,可能會導致某品牌的鐵粉在電子郵件或簡訊中按下連結,而不會停下查看這是否有問題。
- 試著嚇唬您。以恐懼為誘餌的詐騙資訊通常是這樣的:有人試圖登入您的帳戶、您的密碼被更改,或者您的帳戶因為可疑活動而即將被删除。由於您需要儘快作出反應,因此會立即按下提供服務的連結。這些事件相當常見,因此許多人不假思索就立即按下連結想要保護帳戶。
- 注意附件。企業不太可能發送電子報、提醒電子郵件或其他帶有附件的資訊:他們沒有理由這樣做。千萬別下載並打開附件,否則會有感染惡意軟體的風險。
- 看起來不像是該寄件人寄來的郵件。如果該特定服務以前從未與您連絡,向您發送過關於更改密碼的警示,或者發送看似很棒而不真實的特殊優惠,那麼很可能是偽造寄件人發送的郵件。
- 郵件內容看起來很糟糕。內容是否存在語法錯誤、錯字、文字中奇怪且不同的字體、模糊的標誌或根本沒有標誌,或隨意放置大寫字母?資訊的整體基調是否不協調?這些都代表可能是網路釣魚騙局。
不同類型的網路釣魚
魚叉式網路釣魚(Spear phishing)
專門針對特定個人的網路釣魚攻擊稱為「魚叉式網路釣魚」。攻擊者在發送網路釣魚電子郵件之前會先研究目標。這些目標通常來自公共帳戶的資訊、他們曾經參與的資料外洩,以及駭客能找到的關於受害者公司的任何相關資訊。有了這些資訊,網路罪犯可以假裝是值得信賴的人:例如同事、老友,或者受害者常用服務的客服人員。
網路捕鯨(Whaling)
網路捕鯨是魚叉式網路釣魚的另一種形式,攻擊者假冒是公司的執行長、董事會成員、大股東等高階主管或高層人員。這些人難以模仿,因此網路罪犯必須投入更多心力來增加可信度。然而,由於高階主管在公司中有較大的影響力,因此受害者被騙後通常能得到較高的獲益。而且員工在轉帳或提供機密資訊時不會詢問太多問題。
複製型釣魚攻擊(Clone phishing)
攻擊者需使用某種方法來密切監視受害者的收件匣,以便進行這種類型的網路釣魚。攻擊者會接收受害者最近收到的電子郵件(最好有連結或附件)並進行複製。大部分內容保持不變,但附件中包含惡意程式碼或連結重新導向到假網站。
新的郵件會將內容進行變更。例如,如果原始郵件中有發票,攻擊者可能會更改詳細資訊,讓受害者匯款給他們。然後,他們會使用假的寄件人電子郵寄地址或建立一個與原始郵件地址非常相似的新郵件地址。一個每天收到大量類似電子郵件的人很可能不經考慮就下載附件和付款。
網路釣魚簡訊和網路釣魚電話(Smishing and vishing)
許多網路釣魚攻擊也會透過電話進行:網路釣魚簡訊是基於 SMS 的網路釣魚,網路釣魚電話(又稱電話網釣)則涉及電話撥打。
網路釣魚簡訊導致受害者按下簡訊上的連結,連上假網站。在最近發生的聯邦快遞/亞馬遜的網路釣魚攻擊中,駭客利用受害者的真實姓名,並告知他們需要為聯邦快遞包裹設定遞送偏好。人們經常收到類似的簡訊,尤其在耶誕節前後,因此您可能不會覺得奇怪。如果您按下簡訊上的連結,最終會被重新導向到假冒的亞馬遜網站,並被要求輸入信用卡詳細資訊以申請免費獎勵。這導致受害者每月的帳單多了 98.95 美元。
網路釣魚電話的工作原理有些差異。它在很大程度上依賴於社交工程,創造壓力環境,迫使人們不假思索地行動。攻擊者經常試圖恐嚇受害者,聲稱他們的信用卡被盜用、忘記支付罰款等。不幸的是,這種手法很容易成功。當人們的情緒影響到他們的判斷時,就容易無意間洩露網路銀行的詳細資訊和其他個人資訊。
如何保護自己免受網路釣魚的威脅
- 使用垃圾郵件篩選器。避免網路釣魚電子郵件的最好方法是防止這些郵件進入收件匣。這能避免您意外打開帶有惡意連結和附件的電子郵件。
- 取得瀏覽器篩選器。垃圾郵件篩選器不一定有效,網路釣魚相關手法也越來越複雜。即使是有經驗的網際網路使用者也可能被騙而按下惡意連結。在這種情況下,NordVPN 的威脅防護 Pro 功能就是專門為此而設計的。當您試圖開啟某個網站時,威脅防護 Pro 會在已知惡意網站清單中尋找。若該網站屬於已知惡意網站,將顯示警告並阻擋連線。
- 學會識別。只要稍加留意,就可以輕易發現網路釣魚郵件。即使是小的改變也必須懷疑:如果經理總是在郵件上寫「謝謝」,某封郵件上卻寫了正式的問候語,最好再與他們確認。當涉及到公司機密和巨額資金時,務必格外謹慎。
- 手動輸入網址。許多人收到一封電子郵件,上面寫著「有人試圖登入您的帳戶。」雖然完全可能確實發生類似事件,但這也是一種常見的駭客手法。當您不確定電子郵件是否可信時,不要按下郵件中的任何內容。請打開一個新的瀏覽器視窗,搜尋這個有問題的網站,查看是否確實是假網站。
- 檢查網站正確性。如果是網路釣魚簡訊,當收到簡訊上的某個短址時,很難判斷其真假。如果您必須進入該連結,請在仔細檢查該連結是否導向正確網站之前,不要按下任何連結、下載任何檔案或輸入個人資訊。網站上是否有有效的 TLS 證書?如果沒有,任何大型網站都無法成功運行,因此請始終在網址列前方尋找「https」,並在旁邊尋找一個小掛鎖圖示。網址上有拼錯的單字嗎?網站上的排版、顏色和影像是否與該品牌的期望相符?如果您有任何疑問,請離開該網站,並先連絡向您發送該訊息的服務機構。
- 無論發生什麼事,請保持冷靜。如果您接到某個有疑慮銀行員工的深夜電話,告知您的帳戶上發現了奇怪的活動,該怎麼辦?告訴他們封鎖一切,儘快親自到銀行。在任何情況下,都不要透過電話或網路向任何人提供使用者名稱和密碼。您收到訊息通知您得了大獎?很好,但先停下來想想您最近是否參加過任何抽獎。在任何有壓力的情況下,請務必保持頭腦清醒並用常識判斷。