帳號
密碼




 

 

目前位置:首頁/教育局電子報/資通安全/教育局電子報第112期

資通安全
釣魚網站老面孔 變化萬千繼續釣
瀏覽數:112
桃園市仁和國小 鄧達鈞 2017-03-18
用LINE傳送

釣魚網站沉寂多時,最近以舊瓶裝新酒方式重出江湖,盜取使用者的帳號與密碼,影響個人金融消費機制,行動支付逐漸普及,所影響範圍也越來越廣!

  自網路普及以來,帳號密碼就成為駭客覬覦的目標,為什麼人人可免費申請的帳號這麼值錢呢?因為每個帳號背後都有其特定社交人脈、信用卡號或電信小額付款等可利用的謀利工具,而損失從幾千元到數百萬都有可能,尤其人際關係就跟粽子一樣,拉起粽繩就能得到一整串粽子,帳號被盜用後,同事、親人甚至鄰居都可能被影響,尤其社群軟體推波助瀾,駭客利用社交工程方式進行全面入侵,牽連甚廣不可不慎!

  其實釣魚網站詐騙原理非常簡單,有心人士針對熱門網站進行複製並建立相同的網站,利用這個假網站來誘騙使用者輸入帳號與密碼,但使用者不會平白無故看到這個假網站,為了引誘使用者進入陷阱,犯罪者便開始大規模散佈誘餌,例如廣發電子郵件、發送假廣告、在搜尋引擎網站購買假關鍵字、或在免費遊戲或影片中夾帶訊息等手法,利用人性的弱點進行犯罪。


  然而,近年防詐意識抬頭,一般使用者已不會隨意點選信件與廣告,此也造成釣魚網站沉寂一時,但近日發現釣魚網站出現新手法,例如使用者收到蘋果APP商店(APPLE APP STORE)信件通知(如上圖與下圖二),內容主要是通知使用者已購買某APP軟體與費用,如果要取消則需點選附件PDF的網址即可(如圖三)。進入該網站後與真實蘋果網站無異,但其實只要仔細觀察網址,就會發現網址內容相當怪異,且除了帳號區(APPLE ID)可輸入資料外,其餘連結執行後,便又會轉換到帳號輸入的頁面。為了了解釣魚網站的內容,我們使用電腦教室電腦可還原的主機進行測試,任意輸入某假帳號後,假網站便會顯示帳號已因安全因素遭鎖定,需輸入個人資料以便解除鎖定,而這些個人資料包含生日或各式私人問題。而真正的網站通常在輸入錯誤的帳號與密碼時,不但會有重新輸入的畫面,更會出現忘記密碼的選項(如圖四),以協助使用者進入。
  
  而警戒心較低的使用者一旦進入假網站,多數會在不察覺或失去戒心的狀況下輸入帳號與密碼,有心人士便可用你的帳號進入真正的網站,倘若帳號又同時綁訂信用卡卡號,有心人士便可進行金融犯罪,網路盜刷則是最常見的手法,而且通常在收到帳單的時候才會發現帳號遭盜用,發現後也為時已晚。在可遇見的未來,行動支付勢必日益普遍,不管是Apple pay還是Android Pay,雖然多有指紋辨識等安全系統,但帳號密碼的保護還是相當重要,以下提供防治措施供您參考:
圖二:詐騙網站顯示的鎖定畫面
圖三:詐騙信件的附件內容

一、留意可疑信件通知:
  詐騙信件現在都做的很精緻,會使用知名公司LOGO與頁面佈景,讓使用者一看就知道是某某廠商,但其實都只是複製的詐騙信件,使用者須多方檢證,避免一時不察遭詐騙而不自覺。

二、驗證網址資訊:
  檢查詐騙信件或簡訊所連結的網址(如圖五),可在瀏覽器上方網址列查看,通常網址會有公司英文名稱,但也有釣魚網站利用數字「1」替換英文「l」,例如「apple」寫作「app1e」一般人很難看出其差異,但錯誤的網址卻會引導您至詐騙網站。

三、將信箱分類使用:
  建議至少擁有兩個以上信箱,多數網站在申請會員時都需要留下帳號,若該網站防護力不佳,個人資料若遭入侵盜用,很容易收到詐騙信件,而且這些信件都會跟你的網路活動有相關,例如若在A公司網路購物,你會收到假的A公司寄出的詐騙信,被害人多因疏忽而遭詐騙。因此建議以不同的信箱進行各類網路活動,避免同一信箱統包所有網路服務,減少個資外洩機率。
圖四:正常網站會有密碼提示等訊息
圖五:詐騙信件中顯示的錯誤官網網址
  人類行為越來越與網路脫不了干係,網路公司掌握使用者所有行蹤,簡便的行動支付不但能促進營業額的提升,更讓人們覺得方便,但其背後所帶來的資安隱憂不可不慎,網路公司追求利潤最大化的同時也應兼顧資訊安全的重要性,在今日的網路環境下,絕對需要使用者提高資安意識,安全且妥善的使用網路,才能在享受科技與便利的生活品質。
回頂端
發行人:鄭文燦 總編輯:高安邦 主編:陳秀惠 編輯顧問:徐水柯、吳德業
桃園市政府教育局電子報. 系統管理維護/周俊宏