這則報導李宗瑞影片 千名公僕上鉤,以”「李宗瑞影片,趕快下載呦!”為標題發出測試信,近千名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課,可見人性真是沒有修補程式的漏洞啊!社交工程陷阱( Social Engineering)以好奇心為餌,歷久不衰。
員工點了一封測試信,有這麼嚴重嗎?以下的影片(10分:22秒)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例,標題包含:
“看了這個文章多活 10 年”
“新年度行政機關行事曆”
如果你還影興趣可以看看駭客入侵模擬(20分:20秒)
如果你沒時間看完全文,請先花幾秒鐘,將你的滑鼠移到下面三個看似 “Google “的連結,再看看瀏覽器左下方的真實連結:
(3)click here to go to Google(按這裡去Google)
這就是一般網路釣魚常用的陷阱,如果你沒有使用可以阻擋惡意連結的防毒軟體 ,又常常管不了自己的好奇心,而點選facebook Security 通知信:你的帳號從不明位置登錄,已經被鎖定;朋友推薦的WhatsApp for Facebook版 ,不疑有他立即按滑鼠; 因為看到免費而點選的假星巴克Starbucks 網路問卷…等等,這個簡單小動作,可以降低你成為網路釣魚(Phishing)受害者的機率。
處理網路釣魚威脅四步驟
根據Dark Reading的文章 – 「Study: Phishing Messages Elude Filters, Frequently Hit Untrained Users(研究:網路釣魚(Phishing)郵件避開過濾軟體,經常命中未經訓練的使用者)」,還是有許多人被網路釣魚(Phishing)郵件給攻擊成功了。
該文章總結了在2012年7月舉行的Black Hat USA安全大會上所做的調查。有250個與會者進行了投票,69%的人表示每週都會有網路釣魚(Phishing)郵件進入到使用者的信箱。超過25%的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。
許多網路釣魚(Phishing)郵件並不難被察覺,但如果你不知道該注意什麼,那就很可能會被輕易的釣上。
簡單的說,網路釣魚(Phishing)就是想要透過電子郵件或社群媒體來獲取你個人資料的詐騙。有了你的信用卡號碼、銀行帳戶資料或社群媒體帳號資料,壞蛋們就可以偷走你的錢,並且將網繼續撒向你網路上的其他朋友。
https://www.google.com居然連到 Yahoo!?
防止網路釣魚找上你四步驟
以下是我檢查是否為網路釣魚(Phishing)的清單,以及該做和不能做的事情。有些建議來自Jason Hong(卡內基美隆資工系的助理教授)的文章 – 「The State of Phishing Attacks(關於網路釣魚)」,和微軟Security and Safety Center網站上的「How to Recognize Phishing Email Messages, Links or Phone Calls(如何識別釣魚郵件、連結或電話)」 。
1.點選連結前,先移動滑鼠檢查真實來源
大部分的網路釣魚(Phishing)訊息都希望讓人進入會收集個人資料的惡意網站。現在這些電子郵件或其他形式訊息都是用HTML格式,所以可能會讓你在不知不覺下連到惡意網站。因為每個連結都有可能出現和實際網址不符的文字。
例如,以下連結似乎都指向Google:
(3)click here to go to Google(按這裡去Google)。
上述網址只有第一個連結會將你帶到Google,另外兩個都會將你帶到Yahoo。將滑鼠箭頭停在這些連結上,你可以在左下方瀏覽器狀態列上看到他們的實際網址(通常在瀏覽器或電子郵件軟體視窗的底部)。
