网络钓鱼使用欺骗性讯息窃取受害者的个人资料,借此进入受害者帐户。无国界记者(RSF)推出介绍网络钓鱼的多媒体系列,一共分为三章。第二章将介绍记者可能会遇到的五种常见网络钓鱼手法,以及遇到时该如何应对。
网络钓鱼是一种网络犯罪,窃贼使用欺骗性讯息和连结诱使受害者个人资讯和帐户登入资讯。各国政府、公司或个人可能会利用这种类型的攻击来危害记者的工作、锁定他们的联络人或窃取他们的金钱。
1) 电子邮件网络钓鱼
电子邮件网络钓鱼是什么?电子邮件网络钓鱼通常用的手段为发送内含真人姓名的新商机讯息,或通知收件者其帐户已被骇客攻击。这种电子邮件透过提供联络窗口或要求重设密码的方式,诱骗受害者点开连结,将他们重新导向恶意网站。
如何保护自己?如有疑虑,请验证信件里的电子邮件地址是否合法,还有内含的连结是否真的导向所述网址。如果想加强自我保护,记者还可以更改电子邮件服务的设定,让系统永远显示寄件者的完整地址。某些防毒软体亦内建侦测网络钓鱼的功能。
2) HTML 网络钓鱼
HTML 网络钓鱼是什么? HTML 网络钓鱼是一种攻击,网站上的连结看似导向脸书或电邮登入页面等安全网址,实际上却会将受害者带到要求他们输入帐户资讯和密码的页面。这些连结的呈现方式可能是有底线的「请点开」或类似文字,或显示为短网址,因此很难判断它们实际导向何处。
如何保护自己?在连结上按一下右键,选择「复制连结地址」再贴到文字编辑器里,检查连结的URL是否和连结文字相符。某些程式(例如 CheckShortURL 或 URLEX)可以让使用者在不点开连结的情况下,检视短网址的完整连结。
3)鱼叉式网络钓鱼
鱼叉式网络钓鱼是什么?鱼叉式网络钓鱼是一种诈骗手法。攻击者在网络上找到受害者详细个资,利用这些资料来冒充他们的朋友或同事,借此诱骗受害者交出敏感资讯。
如何保护自己?如果认识的人突然在网上跟你要个人资料或敏感资讯,请透过打电话等其他方式验证对方身份;对方的帐户可能已被骇客入侵,相关资讯可能也已落入歹徒手中。
4) 浏览器中的浏览器 (BITB) 网络钓鱼
BITB 网络钓鱼是什么?浏览器中的浏览器 (BITB) 网络钓鱼会在受害者的浏览器上弹出视窗,要求受害者登入帐户或交出个资。
如何保护自己?请想办法将弹出的视窗拉到原本的浏览器视窗外,验证该视窗的真伪。如果无法拉到主页面之外,该视窗有可能是网络钓鱼。
5) OAuth 网络钓鱼
OAuth 网络钓鱼是什么? OAuth 是开放授权的缩写,这种协议不但允许使用者在不创建帐户的情况下登入第三方应用程式或网站,同时也允许上述应用程式或网站在不需透露使用者假名或密码的情况下访问使用者的资讯。 OAuth 网络钓鱼是一种欺骗性诈骗手法,利用模仿或破解身分验证系统的方式窃取受害者的凭证,借此存取他们的个人或工作相关资讯。
如何保护自己?无论在任何情况下,都不应在不熟悉的应用程式中使用 OAuth进行身份验证。如果非得透过这种方式登入不可,记者应核实该应用程式或网站的合法性,仔细审视这些应用程式或网站想要存取哪些资讯,以及允许存取的风险。
→ 阅读第三章:如何防范网络钓鱼
← 阅读第一章:什么是网络钓鱼诈骗?
