假冒系統服務的負責人向公司人員發送系統登入的催促信件;
宅配業者的不在府通知單的簡訊,誘導收件者前往釣魚詐騙網站;
偽裝成大型的網購業者,「如沒有印象請按取消」,企圖讓使用者開啟網址連結的訂單確認;
謊稱要進行市調,利用謝禮當成誘餌進而盜取信用卡資訊;
要脅寄送「散佈觀看成人影片的視頻」的假郵件,企圖讓收件者誤認為真實信件進而威脅索取遮口費;
詐騙信件中,將原始郵件地址(From:)偽裝成收件者自己的郵件地址
以上網路詐騙手法,你遇過哪幾個? 駭客的犯罪手法日漸巧妙化。其中又以煽動使用者內心空隙的網路詐騙手法特別顯著。為了不被騙取資訊及金錢,請了解最新的犯罪手法並徹底實施6項對策:
- ˇ請留意煽動(操控)內心不安的手法
- ˇ請留意偽裝成著名的網路服務及大型企業的手法
- ˇ請留意假冒公司高階主管或廠商的詐騙郵件
- ˇ針對網路詐騙的6項有效對策
請留意煽動(操控)內心不安的手法
近年來,利用社交工程從網路使用者身上騙取資訊及金錢的手法等的被害事件是越來越顯著。社交工程(Social engineering),是伺機利用人們好奇或恐懼心理,讓對方進行詐騙行為的一種手法。
比如偽裝成金融機構或網路服務等的郵件及簡訊等通知:「貴用戶您的密碼有效期限將近」「一旦於時間內未重新開啟帳號的話帳號將失效」,並利用簡訊內的惡意連結誘導用戶進入網路釣魚(Phishing)網站,企圖騙取信用卡資訊等典型詐騙手法。
其他還包含,用語音讀出「發現病毒」等的詐騙資安警告文,或是出現在瀏覽器上,或是唆使用戶打電話給偽裝的客服支援中心的手段,我們稱之為技術支援詐騙。
參考:小心假 WannaCry(想哭)勒索病毒趁火打劫 !跳出中毒視窗,撥打技術支援電話,12500元台幣飛了!
這類的詐騙資安警示的手段,利用「系統損壞」等假警告文誘導用戶進入非法網站,企圖利用修復系統及清除病毒等的名目,讓受害者進行安裝假防毒軟體( Fake AV)等的手法。
參考:《技術支援詐騙》假防毒軟體充斥社群媒體,誘騙點入釣魚網站
無論是哪種手法都是企圖煽動使用者內心的不安,在慌張之際左右使用者的判斷力。
參考:“Adobe Flash 版本太舊需要更新?”按下後卻中了勒索病毒►遠離6 種更新通知陷阱
比煽動使用者更令人感到不安的惡質手法就是網路恐嚇手段。比如要脅寄送「散佈觀看成人影片的視頻」的假郵件,企圖讓收件者誤認為真實信件進而威脅索取遮口費的sextortion(性勒索)手法。在這些勒索信件中,將原始郵件地址(From:)偽裝成收件者自己的郵件地址,或者讓收件者認為曾在某些網路服務上實際使用過的密碼寫在標題或內文中,使其相信恐嚇內容。
留意偽裝成著名的網路服務及大型企業的手法
網路犯罪者,也會趁機讓收件者在無意識下卸下心防相信著名的企業及網路服務。例如,近來也發現到利用寄送實際存在的宅配業者的不在府通知單的簡訊,誘導收件者前往釣魚詐騙網站或是散佈非法應用程式的網站的手法。偽裝成大型的網購業者,「如沒有印象請按取消」等的號召語,企圖讓使用者開啟網址連結的訂單確認。其次,謊稱要進行市調,利用謝禮當成誘餌進而盜取信用卡資訊。即便是著名的大企業也請不要太過於相信,在輸入認證及結帳資訊前,敬請務必確認其真偽。
參考:《資安漫畫》假市調真詐騙,當心個資被轉賣
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
請留意假冒公司高階主管或廠商的詐騙郵件
近年來,在業務系統上使用雲端服務的公司持續增加,其中信件系統就是代表例子之一。以使用雲端信件服務的法人而言,作為使用者的員工因為釣魚詐騙被騙取認證資訊的被害案件也發生過。一旦認證資訊遭盜取的話,不僅僅帳號遭惡意使用,由於信件的往來內容等完全曝露其中,極可能會被利用在往後的詐騙或是其他的網路攻擊當中。
以覬覦法人的雲端服務的認證資訊的釣魚詐騙手段來看,假冒系統服務的負責人向公司人員發送再次登入的催促信件,並誘導至釣魚詐騙網站,或是從公司員工那兒詢問信件的認證資訊進而竊取認證資訊。
像這樣的被盜的業務郵件的帳號,也有作為變臉詐騙攻擊或稱為商務電子郵件入侵,簡稱 BEC)的準備階段被惡意使用的案例。商務電子郵件入侵是以盜取業務郵件為起因,冒充經營幹部及客戶等,騙取金錢及特定資訊的網路犯罪。假扮成公司執行長(CEO)利用郵件,指示匯款至犯罪者的帳號也是典型的手法之一。
也有利用假冒來往廠商發送假請款單,並請求變更匯款地址的模式手法。
商務電子郵件入侵的成功與否,取決於如何取得目標公司人員的信任。為此,網路犯罪者通過窺視業務郵件收集攻擊目標企業客戶資料及交易狀況、人際關係等收集一些能夠利用在社交工程的資訊。在此製作並發送可信度極高的的假郵件,藉此從公司人員手中巧妙地騙取金錢及資訊。在收集可利用的社交工程的資訊的同時,也可利用公開在Facebook 或是 Linkedln等社群網站
參考:新型 BEC 變臉詐騙手法,竄改薪資自動轉帳路徑
變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大!
針對網路詐騙的6項有效的對應對策
1.了解網路詐騙的手法
請藉由了解資安等的相關團體及資安軟體的開發廠商所經營的部落格及網站來檢查最新的注意警告資訊。也可藉著訂閱其電子報,即時收到警告訊息,比如資安趨勢部落格。
2.不輕易地開啟URL連結及附屬的附檔
即便寄件人是著名的企業或是網路服務,也須留意郵件或是簡訊內的URL連結或是附檔文件。可進入企業的官網確認是否有相關的詐騙事件警訊,或是前往此企業團體的客服窗口進行確認。
3.在網路上輸入個人資訊時須謹慎
在網站上輸入個人資訊前,請先確認是否為正規網站。特別是經由郵件社群網站、簡訊、網路廣告等才能到達的網站,請適時地懷疑它是釣魚詐騙網站或是詐騙網站。尤其最近,網址的開頭是「https://」,即便對應的網站有出現「鑰標誌」的SSL(將資訊進行加密後郵寄,防止通訊內容遭惡意第三方偷窺的一種結構),也有可能是釣魚詐騙網站等的惡意網站。請不要太過於相信鑰標誌,請不要疏於進行確認。
參考:「https 」開頭的一頁式詐騙廣告夾帶在
Yahoo 首頁熱門新聞中!
4.請勿無條件的信任朋友所發送的郵件
偽裝成朋友或是公司內部、客戶的相關人員、知名企業的郵件或是簡訊,是多數網路犯罪者作為諞取收件人經常使用的手段之一。如果收到與以往措辭不盡相同,或是與平時所指示的內容有差異、煽動內心不安等的內容的郵件的話,請慎重地判斷其真偽。一旦感到可疑的話,請使用電話等的手段進行確認。確認完畢後請不要向收到的簡訊內所記載的聯絡方式做確認,而是向過去曾往來過的履歷或是正確的通訊錄等進行確認。
參考:《BEC 詐騙 》一封信丟了工作,還被雇主索賠 400 多萬台幣
5.請留意簡訊的公開範圍及上傳社群網路內容
在Facebook 及 Linkedln等的社群網站上公開資訊時,因為網路犯罪者也能夠得到這些資訊內容。所以請定期地重新檢視其公開範圍及內容。另外,也請遵從公司內所規定的社群網站的使用規定吧。
6.請保持作業系統集防毒軟體/資安軟體等的最新狀態
一旦資安漏洞(資訊安全的漏洞)遭濫用的話,不旦會被誘導至非法網站也會有感染病毒的危險性。為了避開這些風險,最好的方式就是將作業系統及軟體、應用程式保持在最新狀態。如果OS及軟體的開發廠商提供更新程式的話,請立即進行安裝。但是,因為法人有自行一套的系統管理者的更新時機的指示,此時請遵從工作單位的規定。
PC-cillin 雲端版30天防毒軟體免費下載,整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 歡迎試用!守護您的電腦、、手機、平板防護一次到位,Windows、Mac、Android、iOS跨平台防護 》即刻免費下載試用
