來自 台北市
磅數 1594.9磅
發文 1281
註冊 2003/2/4 上
量級 超重量級
★★★★★
|
你被電子郵件「釣」到了嗎? 文╱柯宏叡
你被電子郵件「釣」到了嗎?
近年詐騙事件頻仍,透過簡訊、電話進行詐騙的方法至今還是時有耳聞。而隨著電子郵件使用者的增加,現在又出現了另一種詐騙手法,稱之為「網路釣魚」(Phishing,由Fishing一字衍生而成)。
這是一種可能會危及個人及機關單位資訊安全的攻擊手法。網路釣魚已是當前世界上蔓延最快的一種詐騙行為。儘管一般使用者是最明顯的受害者,但傷害範圍擴散得卻很廣,嚴重到連機關單位的都可能因此受創。
根據研究機構調查,釣魚詐騙者使用新手法騙取敏感個人資料的案例日漸增加。美國光是一年內就已有200萬成年人被「釣」,銀行與消費者的直接損失高達數十億美元。據專家估計,網路釣魚每天在全球各地更可造成多達100萬美元的財物損失。
在國內,刑事局偵九隊也曾破獲利用網路釣魚手法,竊取網友銀行戶頭金錢的犯罪事件。這些詐騙者常見的手法如下:
偽裝知名網站
釣魚詐騙者偽裝知名網站寄發的電子郵件,要求確認個人信用卡號或是帳號與密碼,經由郵件內偽造連結指引連至假的網站網頁,而且為了讓詐騙電子郵件看來更真實,詐騙者會在其中放置網站的商標,或看起來可以連至正當網站的連結,但這個連結事實上會連結到假的網站,或顯示和正當網站幾乎一樣的視窗。例如電子郵件中出現的連結是https://sign.ebay.com/,但事實上是連結到http://222.225.23.83 。使用者只要一時不察,個人機密資料立即一併遭竊。
根據防治網路釣魚工作小組(Anti-Phishing Working Group, APWG)的調查發現,金融服務業在這些詐騙案中首當其衝,而花旗銀行(Citibank)又名列攻擊名單上的榜首。網路公司如AOL、eBay與線上付款公司Paypal,也常遭到冒名頂替。
下載修補程式
詐騙者偽裝知名公司,假意提醒使用者修補漏洞,藉以拐騙使用者存取信件中的網頁連結,或是開啟附加檔案,讓使用者在不知不覺中被植入後門程式。詐騙者再利用後門程式側錄使用者按鍵,以取得使用者的網路登入名稱和密碼,再回傳給詐騙者,使詐騙者能主動取得敏感資料。
偽裝為熟人
詐騙者會利用常見的名字如:淑芬、X君等來寄發信件,要求電子郵件帳號確認以方便聯絡,或是引起使用者好奇,進而回信確認。常見的信件標題有:「你寄錯信了哦」、「有沒有收到我寄的資料啊?」、「你到底是誰」。而只要使用者一回信,詐騙者即可得到正確可用的電子郵件位址。
一回信成千古恨
或許有的人會認為電子郵件帳號被騙沒關係,因為很少用。但我們若從詐騙者角度來看,被「釣」的受害者會留下那些資料:信用卡資料:信用卡號碼、有效日期等。個人資料:姓名、電話、地址等。個人的帳號/密碼:電子郵件的帳號,或是網站要求輸入帳號與密碼。來源地點:透過網路連線連結網站,就可在網站紀錄中得知連線的來源IP。
接下來,我們再逐步分析這些資料:
一般使用者多是在辦公室或家裡上網,逆向追查連線來源的話,就可以得知所屬的網際網路服務商,或是那個機關單位的網路。
得知所屬網路的話,就可推測使用者也多半在這些地方擁有電子郵件帳號或是相關的帳號與密碼。而一般使用者又為了避免記憶太多組的密碼,就會傾向使用同一組的帳號與密碼。因此,就可推測使用者在網站上所留下的帳號與密碼會與他所屬單位的帳號/密碼相同或相似。
使用者也多會傾向於使用自己的姓名、生日、身分證字號做為帳號或密碼,因此從使用者所留下來的帳號也可推測出部分使用者的個人資料。
運用使用者的姓名、身分證字號、生日、電子郵件做為關鍵字,利用網路搜尋引擎就可再深入得知這個使用者的資料或是所屬單位的資料。
由以上所得到的資訊,就已經可以得知使用者大致上的情況。有了帳號與密碼就可偷窺使用者的資料,得到更深入的訊息。或者,以該使用者的帳號與密碼來對該單位進行另一波的攻擊與資訊竊取。而若是使用者又不小心的留下信用卡資料的話,配合之前所獲得的資料,便足以進行信用卡盜刷或詐欺的行為了。
防範要訣
網路釣魚造成的問題很多,而且非常難以處理,並不是花大錢購買最新的設備就可解決。現有網路防護設備可以辨識出大部分的病毒與垃圾郵件,但對於詐騙信件也多只是透過位址反查去判斷,很難辨識出詐騙信件。在另一方面,也有些組織提出建立黑名單,但是黑名單的建立曠日廢時,而且許多詐騙網站都會在60天內不再使用,不僅讓受害者求助無門,也讓黑名單的功用大減。儘管如此,我們還是可以注意以下幾個重點:
絕對不要點擊郵件的鏈結網址或回覆郵件。若要確認電子郵件資訊,可以通過撥打銀行或網站的客服電話諮詢,或是自行鍵入網站的網址。而任何威脅會停用使用者帳號或信用卡的訊息,更需要進一步透過電話查證。
留意網址。知名網站的網址一向相當簡潔,不會在網址中插入一堆文、數字或是使用古怪的組合,例如:遇到micr0soft或是yahooo的網址就要多加小心。進行網路上的交易時,應檢查安全性憑證, 在 Internet Explorer 中的檢查方法則是檢查狀態列中的黃色鎖定圖示。而網址也多會是https:// 而非以http:// 做為開頭。
養成良好的電腦使用習慣,不要開啟來路不明的電子郵件,或是不常往來友人的文件。電腦一定要安裝防毒軟體,並經常更新病毒特徵碼和與修補作業系統漏洞,並將敏感資訊另外加密保護。可能的話,再記得使用反間諜軟體與個人防火牆。
使用網站服務時,選擇使用網路憑證及約定帳戶方式進行轉帳交易,不要在網咖、公用電腦上和不明的地下網站做線上交易或轉帳。
若是真的不小心中計的話,就要立即更換所有的密碼,並通知相關單位。
近年來,愈來愈多人進入了網路這個世界,且電子郵件也愈來愈多,即使不常上網,也是會冒出一堆信件。在一堆的信件找尋所需的資訊本就不易,而如今更有一堆網路攻擊者、詐騙者來攪局。網路安全更是牽一髮動全身,安全與否只看最脆弱的一點。一個使用者的不小心,就會引發連鎖性的影響。
從「網路釣魚」來看,這一詞雖新,但骨子裡還是詐欺,也確實是一種犯罪行為。但專攻人性弱點方式,與日益精細的手法讓我們不得不提高警覺。因此,不論做為警察人員還是一般民眾,對於各種資訊取得與使用還是應該多加小心。(作者服務於彰化縣警察局資訊室)
|
顯示全部圖片1
顯示全部圖片2
回本版列表
)
版權所有 All Rights Reserved