這則報導李宗瑞影片 千名公僕上鉤,以”「李宗瑞影片,趕快下載呦!”為標題發出測試信,近千名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課,可見人性真是沒有修補程式的漏洞啊!社交工程陷阱( Social Engineering)以好奇心為餌,歷久不衰。
員工點了一封測試信,有這麼嚴重嗎?以下的影片(10分:22秒)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例,標題包含:
“看了這個文章多活 10 年”
“新年度行政機關行事曆”
如果你還影興趣可以看看駭客入侵模擬(20分:20秒)
如果你沒時間看完全文,請先花幾秒鐘,將你的滑鼠移到下面三個看似 “Google “的連結,再看看瀏覽器左下方的真實連結:
(3)click here to go to Google(按這裡去Google)
這就是一般網路釣魚常用的陷阱,如果你沒有使用可以阻擋惡意連結的防毒軟體 ,又常常管不了自己的好奇心,而點選facebook Security 通知信:你的帳號從不明位置登錄,已經被鎖定;朋友推薦的WhatsApp for Facebook版 ,不疑有他立即按滑鼠; 因為看到免費而點選的假星巴克Starbucks 網路問卷…等等,這個簡單小動作,可以降低你成為網路釣魚(Phishing)受害者的機率。
處理網路釣魚威脅四步驟
根據Dark Reading的文章 – 「Study: Phishing Messages Elude Filters, Frequently Hit Untrained Users(研究:網路釣魚(Phishing)郵件避開過濾軟體,經常命中未經訓練的使用者)」,還是有許多人被網路釣魚(Phishing)郵件給攻擊成功了。
該文章總結了在2012年7月舉行的Black Hat USA安全大會上所做的調查。有250個與會者進行了投票,69%的人表示每週都會有網路釣魚(Phishing)郵件進入到使用者的信箱。超過25%的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。
許多網路釣魚(Phishing)郵件並不難被察覺,但如果你不知道該注意什麼,那就很可能會被輕易的釣上。
簡單的說,網路釣魚(Phishing)就是想要透過電子郵件或社群媒體來獲取你個人資料的詐騙。有了你的信用卡號碼、銀行帳戶資料或社群媒體帳號資料,壞蛋們就可以偷走你的錢,並且將網繼續撒向你網路上的其他朋友。
https://www.google.com居然連到 Yahoo!?
防止網路釣魚找上你四步驟
以下是我檢查是否為網路釣魚(Phishing)的清單,以及該做和不能做的事情。有些建議來自Jason Hong(卡內基美隆資工系的助理教授)的文章 – 「The State of Phishing Attacks(關於網路釣魚)」,和微軟Security and Safety Center網站上的「How to Recognize Phishing Email Messages, Links or Phone Calls(如何識別釣魚郵件、連結或電話)」 。
1.點選連結前,先移動滑鼠檢查真實來源
大部分的網路釣魚(Phishing)訊息都希望讓人進入會收集個人資料的惡意網站。現在這些電子郵件或其他形式訊息都是用HTML格式,所以可能會讓你在不知不覺下連到惡意網站。因為每個連結都有可能出現和實際網址不符的文字。
例如,以下連結似乎都指向Google:
(3)click here to go to Google(按這裡去Google)。
上述網址只有第一個連結會將你帶到Google,另外兩個都會將你帶到Yahoo。將滑鼠箭頭停在這些連結上,你可以在左下方瀏覽器狀態列上看到他們的實際網址(通常在瀏覽器或電子郵件軟體視窗的底部)。
你可以用同樣的方式在大多數支援HTML的電子郵件軟體內來檢查網址連結。有了這方法,你可以檢查要連上的是不是可信任或認識的網站。如果你不認得這網站,或它用的是像bit.ly的短網址,或這寄送連結的來源是你沒有接觸過的,那就不要去點。
2.收到要求提供個人資料的電子郵件要小心,即使信中有該公司的商標
如果你收到一封要求你提供任何個人資料的郵件,即使裡面有正常公司的圖示和標識,有很大的機會那是封詐騙郵件。大多數公司會要求你直接到他們的網站登入來進行交易。如果你收到這樣一封電子郵件,那最好直接聯繫該公司以確認真偽。而且不要使用電子郵件內的聯絡人資料,請到公司官方網站與他們聯繫。
3.小心那些威脅要錢的電子郵件或其他訊息。
不要被那些威脅說除你把錢給他們,不然就要採取法律行動的郵件所騙,或是試圖說服你去捐錢給從未聽過的可疑慈善事業。如果你真的擔心這威脅是否真實或這慈善單位是否合法,請連絡該單位以驗證其合法性,並且直接和他們交易。不要因為緊張就忘記小心了。
4.檢查郵件內是否有拼寫錯誤和語法錯誤。
有信譽的公司不會希望看起來不專業,所以當你收到寫得錯字連篇或是不通順的郵件時就有可能是假的。
網路釣魚郵件案例
網路釣魚攻擊不斷地發展,變得更複雜更易騙人。在我們的部落格文章 – 「Blackhole Exploit Kit Transforms Phishing(Blackhole漏洞攻擊包將網路釣魚變不同了)」內,趨勢科技在2012年所收集到的網路釣魚郵件看起來就像是真實公司所寄出的正常電子郵件。下面一個例子:
小編註:網路釣魚(Phishing)最社交工程陷阱( Social Engineering),像這個 有人從不明位置存取我的facebook,要驗證帳號解除鎖定卻被網路釣魚! 更是讓不少人上當!
幾乎不大可能只看一眼就可以弄清楚這郵件的真假,因為裡面沒有任何前面所提到的明顯釣魚內容。許多這類釣魚郵件包含將毫不懷疑的使用者導到有惡意軟體的網站連結,讓網路犯罪份子可以控制受害者的電腦。在大多數情況下,這種新型網路釣魚郵件和正常版本郵件的唯一分別就是它們所包含的連結。
處理這類郵件的方法之一,就是不要點任何連結,而是直接上這郵件聲稱來源的公司網站。這時候你就可以查證是否有這封偽造電子郵件所聲稱的問題了。
更多關於網路釣魚的資訊
如果你想了解更多關於網路釣魚的資料,可以參考PhishTank,在那提供了關於網路釣魚的資料和數據。他們的網站上有提供查詢服務讓你到資料庫內搜尋你認為可能是釣魚網站的網址。如果沒有找到,你可以提交網址讓PhishTank進行評估。當你發現釣魚網站,可以經由加入PhishTank的資料庫來幫助別人避免被騙。PhishTank還有一個很棒的常見問題網頁,可以回答許多關於網路釣魚的問題。
不要落入網路釣魚的陷阱內。要小心謹慎來保護自己免受網路釣魚的威脅。
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan
@原文出處:Dealing with Phishy Messages
◎延伸閱讀
從李宗瑞偷拍女星名模事件,談網路偷拍案例(同場加映:電腦送修之前該做的事)
「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)
連不上 Facebook 嗎?避免被停權,請確認—假 Facebook詐騙等你上鉤
Facebook 網址鬧三胞?做完中文心理測驗 當心簡訊費暴增(每則100台幣)
Twitter詐騙: 打開麥當勞禮品卡“#mcdonalds gift card”,成人網站在裡面?!
再辣都得把滑鼠HOLD 住【這個男人摸了一千個女孩的乳房 】【周韋彤 ~ Mystique 】【全智賢撕裙性感廣告】勿點!! PC-cillin簡單的紅綠色標示就能夠標出
[爸爸看到女兒在….]你忍不住點了嗎?
誤觸日本成人網站 代價七萬日幣
好毒喔~點進來看看,哪些大人物被下毒(含 lady Gaga 金日成)
【看更多詐騙案例與相關設定教學】
【該怎麼預防誤觸臉書地雷區?】
每天最愛上Facebook 臉書 社群網站看朋友張貼、分享的圖文連結,但怎知是否暗藏惡意網址?PC-cillin 2012 雲端版創新推出社群網路防護,特別針對Facebook, Twitter, MySpace 等社群網路提供主動式病毒防護,能以不同顏色標示社群網路上網址的安全性,並可即時封鎖危險網頁,讓您安心瀏覽臉書、推特,盡情享受安全的社群網路生活。
【立即下載試用PC-clin 雲端版 臉書地雷區 bye bye~】
不用再駭怕!!試用PC-cillin 雲端版 即刻掃描塗鴉牆,紅綠色標示一目了然,地雷區bye bye~
每天最愛上Facebook 臉書 社群網站看朋友張貼、分享的圖文連結,但怎知是否暗藏惡意網址?PC-cillin 雲端版創新推出社群網路防護,特別針對Facebook, Twitter, MySpace 等社群網路提供主動式病毒防護,能以不同顏色標示社群網路上網址的安全性,並可即時封鎖危險網頁,讓您安心瀏覽臉書、推特,盡情享受安全的社群網路生活。
◎ 歡迎加入趨勢科技社群網站
