網路釣魚詐騙是一種數位騙術,誘使受害者自願交出個人資訊,間接提供詐騙者訪問其安全帳戶的權限。本文由資安專家 Ben Finn 為無國界記者組織 (RSF) 撰寫,教大家如何辨識及預防網路釣魚詐騙。
記者和媒體機構可能會因經手敏感資訊而成為網路釣魚詐騙的對象。騙徒可以在取得訪問記者安全帳戶或敏感資訊的權限後,利用這些資訊勒索他們或危害他們的職位。上述情形也可能導致記者被迫不發表報導,或交出消息來源的相關資訊。
防毒軟體、防火牆或加密工具可以擋下許多資安威脅,但網路釣魚詐騙利用的是人為因素:騙徒會利用人們的低警覺心或天真,誘使他們自願交出資訊。
騙徒會同時將這種騙術應用在同一組織的多名人士,或同一人的身邊的相關人士身上。當他們收集到的資訊加起來足以讓他們進入受害單位的數位系統並造成嚴重破壞時,就是詐騙得逞的時候。
網路釣魚詐騙類型
- 常見的網路釣魚技術:一般的網路釣魚詐騙通常以下列形式出現:社群媒體上的垃圾郵件機器人、詐騙電郵或網站上可疑的彈出視窗,藉此鼓勵受害者點開連結或輸入個人資訊。雖然熟悉數位科技的記者大多能立即辨識出這些騙局,但其他網路釣魚技術可能更難辨識。
- 「魚叉式網路釣魚」:騙徒向受害者發送客製化的電子郵件或訊息,內含與受害者相關的特定資訊。這些郵件比較不會被收件匣當成垃圾郵件過濾掉,而且更有可能被受害者打開,因為他們會以為是認識的人寄來的郵件。
- 「社交工程」:騙徒常以電子郵件或電話進行詐騙,操縱受害者,讓他們洩露機密資訊,並獲得可以進入受害者數位系統的訪問權限。這類騙徒會編造可信的謊言和圓謊用的故事,或冒充公司代表或同事,甚至可能操縱受害者,讓他們洩露姓名、電話號碼、電子郵件地址等個人資訊。
如何自保,避免落入網路釣魚陷阱
- 限制「管理員」權限。訪問數位設備安全系統的權限可透過設定密碼或只授權給設備「管理員」帳號的方式進行管制。如果有辦法完成安全驗證的人數有限,騙徒能闖進設備的破口也會減少。
- 設定身份驗證方法。在某些情況下,合法的利益相關者(合作夥伴、資助者等)可能會要求從記者或媒體機構的數位設備中獲取訪問資料。記者和媒體組織應建立健全的驗證程序來確認請求者的身份。原則上,員工不得在未經特定授權的情況下向外界透露任何敏感資訊。
- 少在網路上分享資訊。記者應慎選放在社群媒體上的個人資訊。任何資訊都可能被騙徒用來誘騙受害者,使他們相信自己正與認識的人交談。
- 定期接受資安培訓。記者和媒體機構應定期參加資安培訓,並提醒團隊成員,即使是平凡的互動 (例如有人主動接洽,確認他們是否為該公司工作) 也可能是騙徒嘗試取得訪問權限,以更深入受害組織的方式。
請參考無國界記者的網路釣魚詐騙系列以了解更多相關資訊。
作者Benjamin Finn來自美國休士頓,在 IT領域已有十年資歷,期間主要工作為協助大型企業部署內部資安工具,包含提升網路安全的措施。他致力於高壓民族國家 (緬甸)提供安全培訓。他也和數個台灣團體合作,為其進行資安和安全措施相關的培訓。