年終購物季正如火如荼展開，如同往常一樣，網路犯罪集團早已盯上全球瘋狂購物的消費者。

不過這並非什麼網路詐騙或網路犯罪最新趨勢。多年來，每到年終，消費者遭到詐騙的案件數量便邁入高峰。從  2008 年起，趨勢科技即開始追蹤專門騙取消費者信用卡資料與其他寶貴資訊的網站和垃圾郵件。年終購物潮期間，這類網站數量的增加完全在預料之內，但消費者只需了解歹徒的詐騙手法如何運作，就能保障自身安全。

四種引誘標題,就是要你點進去

今日，使用者已經越來越能分辨垃圾郵件，但網路犯罪集團也不是省油的燈，其社交工程（social engineering ）技巧越來越細膩。許多社交工程誘餌看起來幾可亂真，甚至會精心仿冒一些使用者平常不加思索就會點進去的電子郵件或訊息。

最近我們經常看到歹徒利用下列四種標題來引誘使用者上當：

1. 網購訂單或包裹相關的標題
2. 帳單或發票
3. 旅遊好康或優惠
4. 虛構的促銷或假日特賣

以下是一個網路犯罪集團利用這類標題的範例：這封典型的垃圾郵件看起來很像一封郵局寄來的信件，裡面隨附了一個看似平常的連結，但該連結卻是指向專門散布惡意程式的網站： 繼續閱讀

安全研究人員在黑色星期五這週披露了阿里巴巴所擁有網路購物服務AliExpress.com(全球速賣通)的一個漏洞，這家公司在全球擁有超過1億的客戶。該網路購物網站被發現一個開放式重新導向（open redirect）漏洞，讓攻擊者能夠展示假優惠券給購物者，以騙取敏感資料。AliExpress在被通知的兩天內採取了行動並加以修復。

受駭者一旦執行包含惡意Javascript程式碼的AliExpress網頁連結，主畫面上會跳出假優惠券視窗來要求客戶提供信用卡資料。攻擊者控制了這個假視窗，使得信用卡資料直接送給攻擊者而非購物網站。

替此漏洞找出攻擊方法的安全研究人員指出，AliExpress只用了簡單的方法來阻止這類攻擊。這方法會檢查請求的referer標頭。如果referer沒有設定或不正確，請求會被伺服器拒絕。referer是用來標識請求來源網頁地址的HTTP標頭。

為了繞過AliExrpress的檢查網址來源的保護機制，研究人員送出會由許可且受信賴AliExpress網址導向的惡意連結。為了測試成功，研究人員找出AliExpress內會重新導向第二個AliExpress內連結的連結，讓惡意連結可以加以取代。研究人員將所選擇連結作成了短網址，好讓其看起來不會可疑。點擊這連結的客戶會被送到一個AliExpress登入畫面，接著會將JavaScript注入頁面並發出假優惠券。

防範網路釣魚攻擊

隨著購物季節的到來，攻擊者可能會趁這機會來利用網路釣魚攻擊賺一筆。如果你懷疑自己成為了網路釣魚騙局的受害者，請立刻變更所有帳號的密碼和個人識別碼。

以下是其他如何發現和防止網路釣魚詐騙的九個建議：

1. 將購物網站加入書籤。避免用搜尋引擎來找優惠。將你的搜尋結果限制在受信任且安全的購物網站，這能夠減少你連到詐騙網站的機會。
2. 記得要檢查連結。在點入內嵌的連結前先將游標移到上面來確認網址是否正常。
3. 詐騙郵件通常包含制式的問候語。同時收件者也可能只用使用者的郵件地址而沒有加上他/她的名稱，這是一個警訊。
4. 注意不良的文法或拼寫錯誤。正常郵件不會出現明顯的錯誤。
5. 識別設計完善的電子郵件。錯誤或不當的標誌和版面設計也可以看出郵件並非來自可信來源。
6. 當網站要求輸入密碼時要小心謹慎。切勿將密碼或敏感資訊交給不受信任或第三方網站。
7. 小心那些要求採取緊急行動的郵件或網站。有些郵件會包括緊急的行動要求，如點入某些連結或給出個人資料。
8. 提防各種誇張得不真實的好康優惠。有一種說法是：“如果事情看起來好得太不真實，那可能就不是真的”，這同樣也適用於網路購物。小心那些用非常低價格提供的商品。
9. 定期檢查信用卡帳單。注意未經授權的交易。

繼續閱讀

IT 主管在公司安全計劃中有許多必須考量的因素，其中最重要的因素包括最新的威脅。掌握最急迫 IT 防護痛點的相關知識，管理員即可預先確保其組織的關鍵任務技術資產受到妥善保護。

根據黑帽 (Black Hat) 在 2017 年的調查「即將出現的網路威脅樣貌」，網路釣魚是安全專業人士當今所面臨最大且最耗時的挑戰之一。

網路釣魚已成為一連串潛在網路攻擊策略的起始點,包含勒索病毒

黑帽參與者調查 (Black Hat Attendee Survey) 包括總計 580 位網路安全專家，徹底觀察產業的最大疑慮。研究人員發現有 50% 的 IT 主管最擔心的威脅，是針對其公司進行的攻擊中所使用的網路釣魚、社交網路入侵及其他形式的社交工程。此比率較 2016 年增加 4%，使網路釣魚成為企業安全中最普遍的威脅。

有關網路釣魚與社交工程的疑慮是整個調查結果中共通的主題，同時發現：

• 35% 的受訪者認為網路釣魚是最耗時的威脅，較去年增加 10%。這與準確評量公司目前的安全狀況與風險層級有關。
• 38% 的公司提及終端使用者遭到網路釣魚與社交工程攻擊的愚弄而上鉤，這是整體 IT 安全中最脆弱的一環。
• 19% 的公司將社交工程與網路釣魚評定為過去一年中出現的最嚴重網路安全威脅，僅次於勒索軟體的崛起。

更令人擔憂的事實是，網路釣魚已成為一連串潛在網路攻擊策略的起始點。網路釣魚電子郵件不僅可包含傳統的惡意連結或附件，網路釣魚郵件也能成為勒索病毒 Ransomware (勒索軟體/綁架病毒)感染、商業電子郵件入侵及高度進階目標式攻擊的溫床。 繼續閱讀