網路釣魚使用欺騙性訊息竊取受害者的個人資料,藉此進入受害者帳戶。無國界記者(RSF)推出介紹網路釣魚的多媒體系列,一共分為三章。第二章將介紹記者可能會遇到的五種常見網路釣魚手法,以及遇到時該如何應對。
網路釣魚是一種網路犯罪,竊賊使用欺騙性訊息和連結誘使受害者個人資訊和帳戶登入資訊。各國政府、公司或個人可能會利用這種類型的攻擊來危害記者的工作、鎖定他們的聯絡人或竊取他們的金錢。
1) 電子郵件網路釣魚
電子郵件網路釣魚是什麼? 電子郵件網路釣魚通常用的手段為發送內含真人姓名的新商機訊息,或通知收件者其帳戶已被駭客攻擊。這種電子郵件透過提供聯絡窗口或要求重設密碼的方式,誘騙受害者點開連結,將他們重新導向惡意網站。
如何保護自己? 如有疑慮,請驗證信件裡的電子郵件地址是否合法,還有內含的連結是否真的導向所述網址。如果想加強自我保護,記者還可以更改電子郵件服務的設定,讓系統永遠顯示寄件者的完整地址。某些防毒軟體亦內建偵測網路釣魚的功能。
2) HTML 網路釣魚
HTML 網路釣魚是什麼? HTML 網路釣魚是一種攻擊,網站上的連結看似導向臉書或電郵登入頁面等安全網址,實際上卻會將受害者帶到要求他們輸入帳戶資訊和密碼的頁面。這些連結的呈現方式可能是有底線的「請點開」或類似文字,或顯示為短網址,因此很難判斷它們實際導向何處。
如何保護自己? 在連結上按一下右鍵,選擇「複製連結地址」再貼到文字編輯器裡,檢查連結的URL是否和連結文字相符。某些程式(例如 CheckShortURL 或 URLEX)可以讓使用者在不點開連結的情況下,檢視短網址的完整連結。
3)魚叉式網路釣魚
魚叉式網路釣魚是什麼? 魚叉式網路釣魚是一種詐騙手法。攻擊者在網路上找到受害者詳細個資,利用這些資料來冒充他們的朋友或同事,藉此誘騙受害者交出敏感資訊。
如何保護自己? 如果認識的人突然在網上跟你要個人資料或敏感資訊,請透過打電話等其他方式驗證對方身份;對方的帳戶可能已被駭客入侵,相關資訊可能也已落入歹徒手中。
4) 瀏覽器中的瀏覽器 (BITB) 網路釣魚
BITB 網路釣魚是什麼? 瀏覽器中的瀏覽器 (BITB) 網路釣魚會在受害者的瀏覽器上彈出視窗,要求受害者登入帳戶或交出個資。
如何保護自己? 請想辦法將彈出的視窗拉到原本的瀏覽器視窗外,驗證該視窗的真偽。如果無法拉到主頁面之外,該視窗有可能是網路釣魚。
5) OAuth 網路釣魚
OAuth 網路釣魚是什麼? OAuth 是開放授權的縮寫,這種協議不但允許使用者在不創建帳戶的情況下登入第三方應用程式或網站,同時也允許上述應用程式或網站在不需透露使用者假名或密碼的情況下訪問使用者的資訊。OAuth 網路釣魚是一種欺騙性詐騙手法,利用模仿或破解身分驗證系統的方式竊取受害者的憑證,藉此存取他們的個人或工作相關資訊。
如何保護自己?無論在任何情況下,都不應在不熟悉的應用程式中使用 OAuth進行身份驗證。如果非得透過這種方式登入不可,記者應核實該應用程式或網站的合法性,仔細審視這些應用程式或網站想要存取哪些資訊,以及允許存取的風險。
→ 閱讀第三章:如何防範網路釣魚
← 閱讀第一章:什麼是網路釣魚詐騙?
