科技的發展和網路的廣泛使用帶來了許多好處,包括資訊取得更為容易且互聯性更高,但卻也同時帶給使用者一系列的網路安全風險。其中之一就是網路攻擊,其背後的最終目的是竊取身份、金錢,或非法控制他人帳戶和資料檔案。稱作網路釣魚的手法現在已經非常普遍,嚴重到 2022 年的一月到十月之間發生了超過 2.55 億次攻擊,比前一年增加了 61%。
由於此類攻擊不斷上升的頻率以及對個人和公司可能造成的損害,有必要對此類攻擊和其原理有所了解,並知道當受到攻擊後應該如何處理以及其如何防患於未然。
什麼是網路釣魚?
要避免成為網路釣魚的受害者,首先必需先了解什麼是網路釣魚。網路釣魚簡而言之就是一種通常透過電子郵件、簡訊或電話進行的詐騙手段,惡意人士藉此試圖誘騙目標受害者分享登入資訊、憑證或其他個人資訊,然後以此進行非法用途。
國家標準技術研究所(NIST)將網路釣魚定義為「犯罪份子試圖誘騙他人分享資訊或採取某行動,進而使其能夠存取他人帳戶、電腦或甚至網路。」
網路釣魚受害者遭受詐騙並提供其資訊後,網路罪犯通常會使其詳細資訊來獲取金錢利益或進行其他犯罪活動。常見的方式包括使用竊取來的登入憑證存取銀行帳戶、信用卡、電子郵件收件箱、家用網路、社群媒體個人檔案,或甚至美國國稅局(IRS)或社會保險帳戶。如果竊取來的憑證中含有多個帳戶都能使用的同一密碼,網路釣魚者就能夠存取受害者的更多帳戶並造成更多的損害。
網路釣魚者經常會試圖假冒知名公司或人士來增加其詐騙手法的真實感,比如說寄送電子郵件並假冒受害者可能有帳戶的大型公司,其中 Yahoo、DHL、Microsoft、Google、Facebook、Adobe 和 Netflix 其實都是經常受到假冒的品牌。或者,網路釣魚者可能使用網路釣魚訊息假冒受害者的朋友或熟人,並通常會在訊息中附上一個連結,引導受害者造訪假網站,並在該網站中要求受害者提供登入詳細資訊、信用卡資訊、出生日期或身分證字號等敏感資訊。
網路釣魚攻擊的類型
網路罪犯有許多手法能竊取個人資訊,並藉此盜取金錢或冒用身份。在大多數手法中,駭客會假冒合法公司的正式代表,並向網路釣魚受害者騙取可用於金錢利益或身分詐欺的個人詳細資訊。了解此類網路攻擊手法能幫助預防網路釣魚攻擊。以下為駭客進行網路釣魚的一些常見的手法:
- 電子郵件:許多人都是因為惡意電子郵件而成為網路釣魚受害者。網路釣魚的電子郵件通常看起來很正常,似乎真的來自使用者有帳戶的網站,但卻是由駭客所寄出,並想藉此獲取個人資訊。此類電子郵件經常會含有連結,點擊後會要求使用者輸入其登入憑證或其他敏感資訊,駭客取得密碼或信用卡資訊等相關資訊後就能用於不法目的。
- 簡訊:與使用電子郵件進行的網路釣魚相似,簡訊網路釣魚(或稱 smishing)的簡訊中含有似乎來自合法來源的連結,並在點擊後會要求使用者登入帳戶或輸入個人詳細資訊,不同之處僅在於連結的傳送方式為 SMS 或其他簡訊,而非電子郵件。
- 電話:在此手法中,詐騙者會撥打電話給網路釣魚受害者,聲稱其為某合法公司的代表,而該受害者有該公司的帳號。電話釣魚的駭客可能會宣稱帳號發生問題並能幫助解決,藉此詢問個人資訊以確認帳戶的詳細資訊。如果受害者提供此類資訊,詐騙者就可以藉此達成其不法目的。
- 社群媒體:有些駭客會建立假的社群媒體個人檔案以進行詐騙,試圖獲取其他使用者的個人資訊。例如,他們可能會通知網路釣魚受害者獲獎,並需要提供電話號碼、電子郵件地址和身分證字號。或者,他們也可能會聲稱帳戶有安全問題,如果使用者不提供其登入資訊,帳戶將會被封鎖。
請謹記,銀行、電商網站和社群媒體平台等合法公司永遠不會要求帳戶持有人以上述方式提供敏感資訊。如果有任何疑問,最好直接忽略以避免潛在的詐騙,並透過正式管道聯繫合法公司。
如何辨識網路釣魚攻擊
詐騙份子能透過無數方法竊取人們的敏感資訊,例如:電子郵件、簡訊或電話,他們可以使用獲得的資訊對網路釣魚受害者造成重大損害。因此,了解網路釣魚者常用的手法是預防網路釣魚攻擊的第一步。例如,詐騙的電子郵件、簡訊或電話可能會說:
- 帳戶出現可疑的登入嘗試。
- 帳戶的帳單或付款資訊出現問題。
- 需要確認帳戶的個人或財務資訊。
- 需要點擊某個連結才能順利進行付款。
- 填寫連結中所要求的資訊,帳戶擁有者即可獲得退款或款項。
此外,此類訊息或電話中還可能會有網路釣魚的其他跡象,例如:
- 假冒合法公司,而受害者可能有其帳戶,例如:Amazon 或 Apple。
- 在電子郵件中冒用其他公司標誌。
- 在電子郵件地址中使用公司名稱,但非官方格式。
- 無法或不願提供其合法性的確認。
遭受網路釣魚攻擊後該怎麼辦
網路釣魚受害者在其詳細資訊遭受盜用後不用手足無措,受害者能採取許多措施來減少攻擊造成的損害,並阻止他人成為相同詐騙手法的受害者,甚至保護自身避免未來可能的攻擊。以下是可以進行的事項。
找出攻擊的發生原因
在遭受網路釣魚攻擊後,受害者需要找出攻擊的發生原因。為了找出發生原因,受害者應進行調查,查看是否收過釣魚郵件或簡訊等,以確定攻擊可能的目標。檢查防火牆紀錄中是否有任何可疑的 URL 或 IP 地址,並判斷可能已被泄露的資訊和詳細內容。也可查看與遭竊資訊相關的任何帳戶是否出現任何可疑活動。
通報攻擊
對遭受釣魚攻擊後的受害者而言,向官方單位通報也是一個選擇。儘管通報攻擊的成效並不總是明顯可見,但其在很多方面上都很重要。如果一個合法的團體或組織在攻擊中受到假冒,通報攻擊能讓他們得知有詐騙者正在假冒其正式代表。更重要的是,通報攻擊或許能幫助受害者重新取回對受盜用帳戶的控制,保護其避免詐騙者進行身份盜竊,並阻止任何可疑的金融交易。在美國,如發生網路釣魚攻擊,可向反網路釣魚工作小組和聯邦貿易委員會通報,而在歐洲,負責此方面的組織為歐洲反欺詐辦公室。向此類單位通報能幫助未來的網路釣魚攻擊預防工作。
通知被假冒的公司
合法公司經常在不知情的情況也成為網路釣魚攻擊的相關方,因為網路釣魚者假冒公司代表或傳送貌似來自公司的訊息。遭受網路釣魚攻擊後能採取的措施包括通知相關公司並告知攻擊內容。如此一來,該公司就能採取措施預防未來的網路釣魚攻擊,通知客戶詐騙者正假冒其名義聯繫使用者。
斷開裝置的連線
網路釣魚攻擊有時是藉由惡意軟體的幫助下所進行。因此,網路釣魚受害者應該將被盜用的裝置與網路斷開,包括斷開裝置的 Wi-Fi 連線或完全斷開並重設 Wi-Fi 網路。這一點很重要,因為此動作能確保惡意軟體不會進一步透過網路傳播。
變更可能遭到盜用的密碼
網路釣魚詐騙通常會誘導受害者提供敏感資訊。詐騙份子會使用一個連結將使用者導向至假冒的網站並讓其輸入密碼等登入憑證。如果有點擊過類似的網路釣魚連結,最好變更攻擊中可能已遭到盜用的密碼。請務必使用真正的網站完成密碼變更,而非再次使用網路釣魚連結,如果同一密碼也是使用於其他帳戶上,也請務必一併變更。
進行反惡意軟體掃描
防毒軟體不只對確保裝置安全和隱私有著關鍵作用,對防止網路釣魚攻擊也很有用。安裝軟體後,讓其自動掃描裝置並偵測可能的惡意軟體。使用者應確保軟體維持更新(只需設定自動更新)並定期執行手動掃描,檢查連結至網路的所有裝置、檔案、應用程式和伺服器是否帶有惡意軟體。
留意身份盜竊
某些網路釣魚攻擊的目的是竊取足夠的個人資訊以讓網路釣魚者能夠假冒其身份進行非法活動。例如:取得某人的身分證字號、電話號碼和出生日期,攻擊者就可能可以進行 SIM 卡轉移攻擊、申請新的信用卡或進行其他類型的欺騙。因此,網路釣魚的受害者應該密切留意是否出現身份盜竊的跡象,例如:預期外的金融交易或醫療帳單、未申請的新信用卡、可疑的線上帳戶登入嘗試等。如果發生財務損失且您住在美國,請務必向美國的 TransUnion、Equifax 和 Experian 等主要信用報告機構通報攻擊,以確保受害者的信用評分不會因身份欺詐而受到影響。
防止網路釣魚攻擊的 8 項建議
儘管網路釣魚攻擊很常發生,人們仍有許多方法可以避免成為網路釣魚受害者。以下八個建議能配合電子裝置的一般安全措施,幫助抵禦網路釣魚。
- 學習辨識網路釣魚攻擊的跡象:了解網路釣魚詐騙的進行方式,使用者就能保持警惕,避免成為網路釣魚受害者。
- 刪除或忽略可疑的電子郵件和簡訊:了解網路釣魚的跡象後就可分辨潛在的惡意訊息,並主動刪除此類訊息,避免成為詐騙受害者。
- 確認寄件人:檢查可疑訊息的寄件人,例如,檢查寄信域名是否與其應來自的公司一致,或檢查寄送簡訊的電話號碼是否為官方公司號碼。
- 不要點擊可疑的電子郵件中的連結或下載檔案:此為重要的網路釣魚攻擊防護措施,能確保收件者不會前往假冒的網站並洩露敏感資訊,或意外安裝惡意軟體。
- 通報網路釣魚攻擊:此動作能保護他人避免成為網路釣魚受害者,並讓詐騙中被假冒的公司加強其安全措施並警告其客戶。
- 安裝並使用防毒和防網路釣魚軟體:此類程式能過濾可疑訊息、移除並警告使用者潛在的惡意軟體,保護使用者的安全和隱私。定期更新此類程式,並執行手動掃描。
- 使用多因素驗證:此措施能確保帳戶有額外的安全保護,即使遭受網路釣魚攻擊,網路釣魚者不容易使用盜取來的資訊攻擊銀行帳戶、社群媒體檔案或電子郵件帳戶。
- 定期備份所有資料:無論是使用智慧型手機還是筆記型電腦,務必定期以外部硬碟或雲端等方式備份裝置上的所有資料,保護資料並隨時可以重新取得。
結論
網路犯罪份子的手法日益精進,人們一不小心就會成為網路釣魚的受害者。因此,應對此類網路犯罪有所認識、實施防止網路釣魚攻擊的措施,並了解在遭受網路釣魚攻擊後的應對方式,包括保護裝置和帳戶、通報網路釣魚攻擊,並了解其發生的原因,以減少任何後續的損害。
Kaspersky Endpoint Security 榮獲 2021 年企業端點安全產品最佳性能、保護和可用性三項 AV-TEST 獎項。在所有測試中,Kaspersky Endpoint Security 都展示了為企業設計的出色性能、保護和可用性。
相關產品和服務: