网络钓鱼诈骗是一种数位骗术,诱使受害者自愿交出个人资讯,间接提供诈骗者访问其安全帐户的权限。本文由资安专家 Ben Finn 为无国界记者组织 (RSF) 撰写,教大家如何辨识及预防网络钓鱼诈骗。
记者和媒体机构可能会因经手敏感资讯而成为网络钓鱼诈骗的对象。骗徒可以在取得访问记者安全帐户或敏感资讯的权限后,利用这些资讯勒索他们或危害他们的职位。上述情形也可能导致记者被迫不发表报导,或交出消息来源的相关资讯。
防毒软体、防火墙或加密工具可以挡下许多资安威胁,但网络钓鱼诈骗利用的是人为因素:骗徒会利用人们的低警觉心或天真,诱使他们自愿交出资讯。
骗徒会同时将这种骗术应用在同一组织的多名人士,或同一人的身边的相关人士身上。当他们收集到的资讯加起来足以让他们进入受害单位的数位系统并造成严重破坏时,就是诈骗得逞的时候。
网络钓鱼诈骗类型
- 常见的网络钓鱼技术:一般的网络钓鱼诈骗通常以下列形式出现:社群媒体上的垃圾邮件机器人、诈骗电邮或网站上可疑的弹出视窗,借此鼓励受害者点开连结或输入个人资讯。虽然熟悉数位科技的记者大多能立即辨识出这些骗局,但其他网络钓鱼技术可能更难辨识。
- 「鱼叉式网络钓鱼」:骗徒向受害者发送客制化的电子邮件或讯息,内含与受害者相关的特定资讯。这些邮件比较不会被收件匣当成垃圾邮件过滤掉,而且更有可能被受害者打开,因为他们会以为是认识的人寄来的邮件。
- 「社交工程」:骗徒常以电子邮件或电话进行诈骗,操纵受害者,让他们泄露机密资讯,并获得可以进入受害者数位系统的访问权限。这类骗徒会编造可信的谎言和圆谎用的故事,或冒充公司代表或同事,甚至可能操纵受害者,让他们泄露姓名、电话号码、电子邮件地址等个人资讯。
如何自保,避免落入网络钓鱼陷阱
- 限制「管理员」权限。访问数位设备安全系统的权限可透过设定密码或只授权给设备「管理员」帐号的方式进行管制。如果有办法完成安全验证的人数有限,骗徒能闯进设备的破口也会减少。
- 设定身份验证方法。在某些情况下,合法的利益相关者(合作伙伴、资助者等)可能会要求从记者或媒体机构的数位设备中获取访问资料。记者和媒体组织应建立健全的验证程序来确认请求者的身份。原则上,员工不得在未经特定授权的情况下向外界透露任何敏感资讯。
- 少在网络上分享资讯。记者应慎选放在社群媒体上的个人资讯。任何资讯都可能被骗徒用来诱骗受害者,使他们相信自己正与认识的人交谈。
- 定期接受资安培训。记者和媒体机构应定期参加资安培训,并提醒团队成员,即使是平凡的互动 (例如有人主动接洽,确认他们是否为该公司工作) 也可能是骗徒尝试取得访问权限,以更深入受害组织的方式。
请参考无国界记者的网络钓鱼诈骗系列以了解更多相关资讯。
作者Benjamin Finn来自美国休士顿,在 IT领域已有十年资历,期间主要工作为协助大型企业部署内部资安工具,包含提升网络安全的措施。他致力于高压民族国家 (缅甸)提供安全培训。他也和数个台湾团体合作,为其进行资安和安全措施相关的培训。