一封假冒 Facebook 安全中心:“12 小時內不驗證帳號,將被永久停權”訊息“受害人重登入遭盜刷!!
點色情影片,還拖臉書朋友下水! 看FB好友私訊推薦影片,竟被木馬附身!
網路釣魚(Phishing),不再只是個人帳號密碼被盜而已:
●一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊,登上媒體版面
●最近大舉入侵台灣的勒索軟體 Ransomware也經常使用類似的社交工程(social engineering )信件手法,達到綁架電腦的目的。比如勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件
一位使用者在社群網站上瀏覽最新動態時看到一則有關熱門話題的「獨家」影片。使用者點了一下影片連結,然後彈出一個視窗要求使用者再次登入其社群網站帳號,不然就是在該網站上註冊其電子郵件帳號和其他資訊才能觀看這段獨家影片。在使用者登入之後,又再轉到另一個網頁,結果就看到 (或沒看到) 所謂的獨家影片,之後,使用者關了這個視窗,然後繼續上網。
這樣的情節在今日非常普遍,不論是網站、貼文或是電子郵件,都會出現一些有趣或重要話題且內容「獨家」的連結,但點進去之後卻是一連串要求使用者註冊或登入的網頁,不然就是奇怪的問卷調查、討厭的彈出視窗以及應用程式或工具的下載網頁。
任何平常有上網習慣的人,都有機會遇到這類連結和網頁,而且若您曾經為了看到這些內容而提供過您的帳號資訊或個人資訊,那您最好趕緊更換密碼,因為您很可能已經是網路釣魚(Phishing)的受害者。
您是否曾經發生網路帳號被人盜用?或者曾經有朋友說你為何寄了奇怪的電子郵件給他?或者發現「自己」竟然在社群網站上張貼了一些奇怪的內容或垃圾連結,但卻一頭霧水自己怎會貼這些東西?這些情況很可能都要追溯到上次您點進一連串奇怪網頁最後卻什麼也沒看到的那件事。
網路釣魚(Phishing)一直是網路詐騙犯罪集團慣用的一種手段,專門誘騙使用者交出自己的個人資訊,例如:帳號登入資訊、信用卡卡號和銀行帳號、身分證號碼,以及其他重要資料。這也算是一種身分竊盜,至少是過去經常得逞的一種方法,歹徒會利用一個幾可亂真的網頁或電子郵件來假冒人們信賴的一些機構,例如線上支付機構或銀行,誘騙不知情的使用者提供自己的資訊。
[延伸閱讀:10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!]
假冒的電子郵件或網站會要求使用者點選某個連結來更新其個人資料或進行某些交易。此連結會將使用者帶到一個假冒的網站來輸入其個人資料或金融帳號資訊,如此就能取得這些資料。網路釣魚(Phishing)有各種形態,如:魚叉式網路釣魚、視訊網路釣魚、簡訊網路釣魚等等。魚叉式網路釣魚是專門騙取特定對象的資訊,例如某大型機構的員工,其最終目標是竊取該公司的機密,因此也是「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)慣用的手法。視訊網路釣魚就如同電話網路釣魚一樣,是歹徒經常用來取得使用者資料的一種社交工程(social engineering )手法,而簡訊網路釣魚則是以簡訊為管道的類似手法。
[延伸閱讀:最新LINE詐騙簡訊一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…
您應小心的九個社群媒體威脅 (9 Social Media Threats You Need to Be Aware Of)]
光是知道網路釣魚(Phishing)還不夠,還要了解它的運作方式及手法,這樣才能加以防範。使用者有很多方式可能掉入網路釣魚(Phishing)的陷阱中。一些常見的手法包括利用電子郵件、網站、即時通訊、社群媒體、遭木馬程式感染的主機、篡改連結、鍵盤側錄程式、挾持連線階段、篡改系統設定、插入內容,以及搜尋結果網路釣魚、電話網路釣魚、惡意程式網路釣魚等等,這些網路釣魚技巧可大致分成幾類。
此外,網路釣魚也是社交工程(social engineering )常用的工具。當人們對網路詐騙還不熟悉時,許多人就因而成為這類網路威脅的受害者。還記奈及利亞 (419) 詐騙信嗎?很多人都收到了這個惡名昭彰的電子郵件,而且不幸地,很多人也都掉入了這個陷阱,將自己的個人資料和金融資訊奉送給歹徒。以下是最常見的三種網路釣魚手法:
1.電子郵件 – 網路釣魚(Phishing)最常見的手法之一就是利用電子郵件。它經常謊稱各種緊急或悲慘的狀況。網路釣魚電子郵件通常冒充來自正當的機構。為了力求逼真,歹徒會偽造標誌、簽名和內容,並使用讓人容易上當的郵件主旨。這些郵件的內容都很吸引人,經常提供一些好康、獎品、報酬等等來吸引使用者註冊或提供帳號登入資訊,進而取得使用者的個人資料或網路帳號密碼。
[延伸閱讀:最多人誤點的 FB 詐騙公告]
2.網站 – 典型的網路釣魚(Phishing)網站會使用與正牌網站幾可亂真的網頁內容和類似的網域名稱、表格、彈出視窗,甚至是假冒其 IP 位址。網路犯罪集團會使用與正牌網站相同的表格來蒐集訪客的資訊。此外,歹徒還會利用程序碼 (Script) 或 HTML 指令在網址列顯示假冒的網址。
[延伸閱讀:搜尋” LINE”,跳出假冒 LINE 網路釣魚詐騙網站,意圖盜帳號密碼!]
3.社群網站 – 由於人們經常利用社群網站來分享熱門話題,因此網路犯罪集團喜歡在社群網站上尋找獵物。他們會利用一些吸引人或熱門的內容來引誘使用者到某個網站上註冊、下載東西或者登入自己的社群網站帳號。
[延伸閱讀:網路犯罪揭密 ─ 第一篇:網路釣魚的風險 (Cybercrime Exposed Part 1: The Security Risks of Phishing)]
如何防範網路釣魚詐騙
讓我們回顧一下前面所說的情節。現在,您已經知道網路釣魚一開始都是因為使用者點選了電子郵件或社群網站貼文內的「釣魚」連結,因此,最聰明的作法就是,盡可能避開「可疑的」電子郵件和網站。不論您是忙著追蹤熱門話題、上網購物,或者只是到處瀏覽打發時間,您最好避開一些看起來就很可疑的連結和電子郵件。它們有什麼徵兆?請記住,防範網路釣魚就像玩打地鼠遊戲一樣,有些人會以為隨機亂打一通就能提高命中率。但地鼠有那麼多洞可以鑽,所以被打到的機率其實不高。因此,我們在下面提供一些教您辨認網路釣魚(Phishing)四個小秘訣:
1.向您要求個人資訊的網站或金融機構 – 小心任何向您要求提供個人資訊的機構 (包括政府機關在內),因為他們很少會這麼做,除非您真的是在註冊些什麼。不過,若郵件內容一開頭對您的稱呼是使用真實姓名,而非稱呼您「會員」,那這封信有可能是真的。不過,還是小心為妙,而且務必先和該機構確認之後再採取行動。
2.內容有錯字的郵件或網頁 – 企業大都很看重自己的名譽,因此網站和信件內容在發布之前一定會經過審閱。所以這是一個分辨正常網站和網路釣魚(Phishing)網站的簡易技巧。
3.令人心生畏懼或緊張的標題 – 網路犯罪集團會利用恐嚇的技巧和情緒性的字眼來吸引使用者注意。請避開這類訊息,立刻將它們刪除。
如:“【瘋傳】「失蹤的馬航真的在印度降落了!!」「馬航 370 五分鐘短片」病毒在裡面!!「失蹤馬航客機找到了!」成新詐騙主題
4.電子郵件與社群網站貼文當中的「可疑」連結 – 除非受過訓練,否則一般人很難分辨惡意連結。不過,一個最簡單的分辨方法就是,如果該連結點進去之後會要求您輸入帳號登入資訊,那通常就是網路釣魚(Phishing),而這也是社群網站上最常見的一種網路釣魚(Phishing)手法。請確認連結前往的地方,並且只從已知的來源接收內容。
⊙原文出處:Gone Phishing: How Phishing Leads to Hacked Accounts and Identity Theft
PC
-cillin 2015雲端版防毒軟體榮獲 AV-TEST 年度「最佳防護獎」,領先28 款家用防毒軟體以不同顏色主動預警並封鎖惡意連結,防止您的上網裝置感染病毒、惡意程式,讓您不論瀏覽網站、社群網路、電子郵件或即時通訊都能安心!
▶即刻免費下載
⊙延伸閱讀:如何防範網路釣魚:調出您自己的趨勢科技 PC-cillin 設定
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載